ARP即Address Resolution Protocol(地址解析协议),该协议位于TCP/IP协议栈中的低层,它的主要功能是把局域网中主机的P地址解析为与之相应的MAC地址。因为ARP协议是建立在网络中每台主机都安全可信的前提下的,所以ARP缓存的更新缺乏有效的身份验证机制,这导致了多种形式的ARP欺骗攻击。ARP病毒通过伪造IP-MAC映射条目实现欺骗攻击,这种ARP协议的缺陷所造成的安全威胁,若被不发分子用来攻击受害者系统,往往会造成严重后果。ARP欺骗给人们的信息安全带来了严重的影响,这一问题引起了国内外许多专家的重视,并在这一问题上进行了长时间的研究和探索。虽然己研究出的很多方案可以给用户提供某种安全保障和服务,但或多或少的存在一定的局限性。本文通过在局域网当中的Windows系统的环境下,通过ARP欺骗实验的方法,分析了ARP欺骗都有哪些性质,通过分析ARP欺骗的这些性质,最终得出了一个结论：一旦受到攻击的主机收到了来自攻击方发送的伪造的ARP Reply数据包,就有可能产生ARP欺骗攻击。所以本文以此为出发点,结合Winpcap的数据包的捕获功能,设计并实现了一种ARP欺骗的侦测及防御系统。该防御系统通过连续不断的捕获网络中的ARP Reply数据包,并对ARP Reply数据包进行甄别,验证该数据包中的IP-MAC映射信息的真伪,以此来判断局域网中是否产生了ARP欺骗行为。若检测到网络中发生了AR.P欺骗行为,那么系统会自动向遭受攻击的主机发送一个正确的ARP Reply包,通过这种方式纠正被欺骗主机缓存表中错误的IP-MAC表项,达到防御ARP欺骗攻击的目的。最后,在局域网内通过实验验证了ARP欺骗防御系统的防御效果,实验结果显示,该系统在数据包延时大于50ms,且非连续发送伪造的ARP Reply数据包的情况下,可以得到预期的防御和恢复效果。