ARP（AddressResolutionProtocol）地址解析协议用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）[RFC826].ARP协议是属于链路层的协议，在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址（硬件地址）来确定接口的，而不是根据32位的IP地址。内核（如驱动）必须知道目的端的硬件地址才能发送数据。当然，点对点的连接是不需要ARP协议的。
　
　　ARP协议的数据结构：
　
　　
以下是引用片段：
　　typedefstructarphdr
　　{
　　unsignedshortarp_hrd;/*硬件类型*/
　　unsignedshortarp_pro;/*协议类型*/
　　unsignedchararp_hln;/*硬件地址长度*/
　　unsignedchararp_pln;/*协议地址长度*/
　　unsignedshortarp_op;/*ARP操作类型*/
　　unsignedchararp_sha[6];/*发送者的硬件地址*/
　　unsignedlongarp_spa;/*发送者的协议地址*/
　　unsignedchararp_tha[6];/*目标的硬件地址*/
　　unsignedlongarp_tpa;/*目标的协议地址*/
　　}ARPHDR,*PARPHDR;

　　为了解释ARP协议的作用，就必须理解数据在网络上的传输过程。这里举一个简单的PING例子。
　
　　假设我们的计算机IP地址是192.168.1.1，要执行这个命令：ping192.168.1.2.该命令会通过ICMP协议发送ICMP数据包。该过程需要经过下面的步骤：
　
　　1、应用程序构造数据包，该示例是产生ICMP包，被提交给内核（网络驱动程序）；
　
　　2、内核检查是否能够转化该IP地址为MAC地址，也就是在本地的ARP缓存中查看IP-MAC对应表；
　
　　3、如果存在该IP-MAC对应关系，那么跳到步骤9；如果不存在该IP-MAC对应关系，那么接续下面的步骤；
　
　　4、内核进行ARP广播，目的地的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令类型为REQUEST（1），其中包含有自己的MAC地址；
　
　　5、当192.168.1.2主机接收到该ARP请求后，就发送一个ARP的REPLY（2）命令，其中包含自己的MAC地址；
　
　　6、本地获得192.168.1.2主机的IP-MAC地址对应关系，并保存到ARP缓存中；
　
　　7、内核将把IP转化为MAC地址，然后封装在以太网头结构中，再把数据发送出去；
　
　　使用arp-a命令就可以查看本地的ARP缓存内容，所以，执行一个本地的PING命令后，ARP缓存就会存在一个目的IP的记录了。当然，如果你的数据包是发送到不同网段的目的地，那么就一定存在一条网关的IP-MAC地址对应的记录。
　
　　知道了ARP协议的作用，就能够很清楚地知道，数据包的向外传输很依靠ARP协议，当然，也就是依赖ARP缓存。要知道，ARP协议的所有操作都是内核自动完成的，同其他的应用程序没有任何关系。同时需要注意的是，ARP协议只使用于本网络。
　
　　ARP协议的利用和相关原理介绍。
　
　　一、交换网络的嗅探
　
　　ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，在上面的假设网络中，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存，将本地的IP-MAC对应表更换为接收到的数据格式，由于这一切都是A的系统内核自动完成的，A可不知道被伪造了。
　
　　ARP欺骗的主要用途就是进行在交换网络中的嗅探。有关交换网络的嗅探不是本文的讨论内容。