網路監聽處在共享

1. 網路監聽技術的原理是什麼

在區域網實現監聽的基本原理

對於目前很流行的乙太網協議，其工作方式是：將要發送的數據包發往連接在一起的所有主機，包中包含著應該接收數據包主機的正確地址，只有與數據包中目標地址一致的那台主機才能接收。但是，當主機工作監聽模式下，無論數據包中的目標地址是什麼，主機都將接收(當然只能監聽經過自己網路介面的那些包)。

在網際網路上有很多使用乙太網協議的區域網，許多主機通過電纜、集線器連在一起。當同一網路中的兩台主機通信的時候，源主機將寫有目的的主機地址的數據包直接發向目的主機。但這種數據包不能在IP層直接發送，必須從TCP/IP協議的IP層交給網路介面，也就是數據鏈路層，而網路介面是不會識別IP地址的，因此在網路介面數據包又增加了一部分以太幀頭的信息。在幀頭中有兩個域，分別為只有網路介面才能識別的源主機和目的主機的物理地址，這是一個與IP地址相對應的48位的地址。

傳輸數據時，包含物理地址的幀從網路介面(網卡)發送到物理的線路上，如果區域網是由一條粗纜或細纜連接而成，則數字信號在電纜上傳輸，能夠到達線路上的每一台主機。當使用集線器時，由集線器再發向連接在集線器上的每一條線路，數字信號也能到達連接在集線器上的每一台主機。當數字信號到達一台主機的網路介面時，正常情況下，網路介面讀入數據幀，進行檢查，如果數據幀中攜帶的物理地址是自己的或者是廣播地址，則將數據幀交給上層協議軟體，也就是IP層軟體，否則就將這個幀丟棄。對於每一個到達網路介面的數據幀，都要進行這個過程。

然而，當主機工作在監聽模式下，所有的數據幀都將被交給上層協議軟體處理。而且，當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網時，如果一台主機處於監聽模式下，它還能接收到發向與自己不在同一子網(使用了不同的掩碼、IP地址和網關)的主機的數據包。也就是說，在同一條物理信道上傳輸的所有信息都可以被接收到。另外，現在網路中使用的大部分協議都是很早設計的，許多協議的實現都是基於一種非常友好的、通信的雙方充分信任的基礎之上，許多信息以明文發送。因此，如果用戶的賬戶名和口令等信息也以明文的方式在網上傳輸，而此時一個黑客或網路攻擊者正在進行網路監聽，只要具有初步的網路和TCP/IP協議知識，便能輕易地從監聽到的信息中提取出感興趣的部分。同理，正確的使用網路監聽技術也可以發現入侵並對入侵者進行追蹤定位，在對網路犯罪進行偵查取證時獲取有關犯罪行為的重要信息，成為打擊網路犯罪的有力手段。

2. 我的電腦網路連接顯示監聽是什麼意思

簡單說就是在一直在等待這個埠上有沒有數據發過來，監聽是一支處於於隨時接收的狀態，就好比，你要跑百米，一直在聽著有沒槍響，聽不到就一直蹲著，聽到了就跑。
把IP地址比作一間房子 ，埠就是出入這間房子的門。在Internet上，各主機間通過TCP/IP協議發送和接收數據包，各個數據包根據其目的主機的ip地址來進行互聯網路中的路由選擇。大多數操作系統都支持多程序（進程）同時運行，那麼目的主機應該把接收到的數據包傳送給眾多同時運行的進程中的哪一個呢？埠機制便由此被引入進來。
當目的主機接收到數據包後，將根據報文首部的目的埠號，把數據發送到相應埠，而與此埠相對應的那個進程將會領取數據並等待下一組數據的到來。
不光接受數據包的進程需要開啟它自己的埠，發送數據包的進程也需要開啟埠，這樣，數據包中將會標識有源埠，以便接受方能順利的回傳數據包到這個埠。
一個數據包包括了文件，ip，和埠號，ip是為了伺服器可以找到你的主機，埠號是你接受數據包的門戶
而所謂的埠監聽，是指主機網路進程接受到IP數據包後，察看其的目標埠是不是自己的埠號，如果是的話就接受該數據包進行處理。進行網路通訊的主機，既要發送數據，也要接受數據，所以就要開啟相應的埠以接受數據。
一個網路上的主機有可能開啟多個網路進程（如即瀏覽網頁又上QQ），也就是監聽了多個埠。

3. 網路監聽的攻擊技術

在網路中，當信息進行傳播的時候，可以利用工具，將網路介面設置在監聽的模式，便可將網路中正在傳播的信息截獲或者捕獲到，從而進行攻擊。網路監聽在網路中的任何一個位置模式下都可實施進行。而黑客一般都是利用網路監聽來截取用戶口令。比如當有人佔領了一台主機之後，那麼他要再想將戰果擴大到這個主機所在的整個區域網話，監聽往往是他們選擇的捷徑。很多時候我在各類安全論壇上看到一些初學的愛好者，在他們認為如果佔領了某主機之後那麼想進入它的內部網應該是很簡單的。其實非也，進入了某主機再想轉入它的內部網路里的其它機器也都不是一件容易的事情。因為你除了要拿到他們的口令之外還有就是他們共享的絕對路徑，當然了，這個路徑的盡頭必須是有寫的許可權了。在這個時候，運行已經被控制的主機上的監聽程序就會有大收效。不過卻是一件費神的事情，而且還需要當事者有足夠的耐心和應變能力。 Ethernet（乙太網，它是由施樂公司發明的一種比較流行的區域網技術，它包含一條所有計算機都連接到其上的一條電纜，每台計算機需要一種叫介面板的硬體才能連接到乙太網）協議的工作方式是將要發送的數據包發往連接在一起的所有主機。在包頭中包括有應該接收數據包的主機的正確地址，因為只有與數據包中目標地址一致的那台主機才能接收到信息包，但是當主機工作在監聽模式下的話不管數據包中的目標物理地址是什麼，主機都將可以接收到。許多區域網內有十幾台甚至上百台主機是通過一個電纜、一個集線器連接在一起的，在協議的高層或者用戶來看，當同一網路中的兩台主機通信的時候，源主機將寫有目的的主機地址的數據包直接發向目的主機，或者當網路中的一台主機同外界的主機通信時，源主機將寫有目的的主機IP地址的數據包發向網關。但這種數據包並不能在協議棧的高層直接發送出去，要發送的數據包必須從TCP/IP協議的IP層交給網路介面，也就是所說的數據鏈路層。網路介面不會識別IP地址的。在網路介面由IP層來的帶有IP地址的數據包又增加了一部分以太禎的禎頭的信息。在禎頭中，有兩個域分別為只有網路介面才能識別的源主機和目的主機的物理地址這是一個48位的地址，這個48位的地址是與IP地址相對應的，換句話說就是一個IP地址也會對應一個物理地址。對於作為網關的主機，由於它連接了多個網路，它也就同時具備有很多個IP地址，在每個網路中它都有一個。而發向網路外的禎中繼攜帶的就是網關的物理地址。
Ethernet中填寫了物理地址的禎從網路介面中，也就是從網卡中發送出去傳送到物理的線路上。如果區域網是由一條粗網或細網連接成的，那麼數字信號在電纜上傳輸信號就能夠到達線路上的每一台主機。再當使用集線器的時候，發送出去的信號到達集線器，由集線器再發向連接在集線器上的每一條線路。這樣在物理線路上傳輸的數字信號也就能到達連接在集線器上的每個主機了。當數字信號到達一台主機的網路介面時，正常狀態下網路介面對讀入數據禎進行檢查，如果數據禎中攜帶的物理地址是自己的或者物理地址是廣播地址，那麼就會將數據禎交給IP層軟體。對於每個到達網路介面的數據禎都要進行這個過程的。但是當主機工作在監聽模式下的話，所有的數據禎都將被交給上層協議軟體處理。
當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網的時候，那麼要是有一台主機處於監聽模式，它還將可以接收到發向與自己不在同一個子網（使用了不同的掩碼、IP地址和網關）的主機的數據包，在同一個物理信道上傳輸的所有信息都可以被接收到。
在UNIX系統上，當擁有超級許可權的用戶要想使自己所控制的主機進入監聽模式，只需要向Interface（網路介面）發送I/O控制命令，就可以使主機設置成監聽模式了。而在Windows9x的系統中則不論用戶是否有許可權都將可以通過直接運行監聽工具就可以實現了。
在網路監聽時，常常要保存大量的信息（也包含很多的垃圾信息），並將對收集的信息進行大量的整理，這樣就會使正在監聽的機器對其它用戶的請求響應變的很慢。同時監聽程序在運行的時候需要消耗大量的處理器時間，如果在這個時候就詳細的分析包中的內容，許多包就會來不及接收而被漏走。所以監聽程序很多時候就會將監聽得到的包存放在文件中等待以後分析。分析監聽到的數據包是很頭疼的事情。因為網路中的數據包都非常之復雜。兩台主機之間連續發送和接收數據包，在監聽到的結果中必然會加一些別的主機交互的數據包。監聽程序將同一TCP會話的包整理到一起就相當不容易了，如果你還期望將用戶詳細信息整理出來就需要根據協議對包進行大量的分析。Internet上那麼多的協議，運行進起的話這個監聽程序將會十分的大哦。
現在網路中所使用的協議都是較早前設計的，許多協議的實現都是基於一種非常友好的，通信的雙方充分信任的基礎。在通常的網路環境之下，用戶的信息包括口令都是以明文的方式在網上傳輸的，因此進行網路監聽從而獲得用戶信息並不是一件難點事情，只要掌握有初步的TCP/IP協議知識就可以輕松的監聽到你想要的信息的。前些時間美籍華人China-babble曾提出將望路監聽從區域網延伸到廣域網中，但這個想法很快就被否定了。如果真是這樣的話我想網路必將天下大亂了。而事實上現在在廣域網里也可以監聽和截獲到一些用戶信息。只是還不夠明顯而已。在整個Internet中就更顯得微不足道了。 網路監聽在上述中已經說明了。它是為了系統管理員管理網路，監視網路狀態和數據流動而設計的。但是由於它有著截獲網路數據的功能所以也是黑客所慣用的伎倆之一。
一般檢測網路監聽的方法通過以下來進行：
網路監聽說真的，是很難被發現的。當運行監聽程序的主機在監聽的過程中只是被動的接收在乙太網中傳輸的信息，它不會跟其它的主機交換信息的，也不能修改在網路中傳輸的信息包。這就說明了網路監聽的檢測是比較麻煩的事情。
一般情況下可以通過ps-ef或者ps-aux來檢測。但大多實施監聽程序的人都會通過修改ps的命令來防止被ps-ef的。修改ps只需要幾個shell把監聽程序的名稱過濾掉就OK了。一能做到啟動監聽程序的人也絕對不是個菜的連這個都不懂的人了，除非是他懶。
上邊提到過。當運行監聽程序的時候主機響應一般會受到影響變的會慢，所以也就有人提出來通過響應的速率來判斷是否受到監聽。如果真是這樣判斷的話我想世界真的會大亂了，說不準一個時間段內會發現無數個監聽程序在運行呢。呵呵。
如果說當你懷疑網內某太機器正在實施監聽程序的話（怎麼個懷疑？那要看你自己了），可以用正確的IP地址和錯誤的物理地址去ping它，這樣正在運行的監聽程序就會做出響應的。這是因為正常的機器一般不接收錯誤的物理地址的ping信息的。但正在進聽的機器就可以接收，要是它的IP stack不再次反向檢查的話就會響應的。不過這種方法對很多系統是沒效果的，因為它依賴於系統的IP stack。
另一種就是向網上發大量不存在的物理地址的包，而監聽程序往往就會將這些包進行處理，這樣就會導致機器性能下降，你可以用icmp echo delay來判斷和比較它。還可以通過搜索網內所有主機上運行的程序，但這樣做其的難度可想而知，因為這樣不但是大的工作量，而且還不能完全同時檢查所有主機上的進程。可是如果管理員這樣做也會有很大的必要性，那就是可以確定是否有一個進程是從管理員機器上啟動的。
在Unix中可以通過ps –aun或ps –augx命令產生一個包括所有進程的清單：進程的屬主和這些進程佔用的處理器時間和內存等。這些以標准表的形式輸出在STDOUT上。如果某一個進程正在運行，那麼它將會列在這張清單之中。但很多黑客在運行監聽程序的時候會毫不客氣的把ps或其它運行中的程序修改成Trojan Horse程序，因為他完全可以做到這一點的。如果真是這樣那麼上述辦法就不會有結果的。但這樣做在一定程度上還是有所作為的。在Unix和Windows NT上很容易就能得到當前進程的清單了。但DOS、Windows9x好象很難做到哦，具體是不是我沒測試過不得而知。
還有一種方式，這種方式要靠足夠的運氣。因為往往黑客所用的監聽程序大都是免費在網上得到的，他並非專業監聽。所以做為管理員用來搜索監聽程序也可以檢測。使用Unix可以寫這么一個搜索的小工具了，不然的話要累死人的。呵呵。
網路監聽技術是系統安全領域內一個非常敏感的話題,也是一項重要技術,具有很強的現實應用背景.對網路監聽的原理和實現技術進行了比較詳細的介紹,設計實現了一個網路監聽器,並用其對當前互聯網的安全狀況進行了初步的分析。
有個叫Ifstatus的運行在Unix下的工具，它可以識別出網路介面是否正處於調試狀態下或者是在進聽裝下。要是網路介面運行這樣的模式之下，那麼很有可能正在受到監聽程序的攻擊。Ifstatus一般情況下不會產生任何輸出的，當它檢測到網路的介面處於監聽模式下的時候才回輸出。管理員可以將系統的cron參數設置成定期運行Ifstatus，如果有好的cron進程的話可以將它產生的輸出用mail發送給正在執行cron任務的人，要實現可以在crontab目錄下加****/usr/local/etc/ifstatus一行參數。這樣不行的話還可以用一個腳本程序在crontab下00****/usr/local/etc/run-ifstatus。
抵禦監聽其實要看哪個方面了。一般情況下監聽只是對用戶口令信息比較敏感一點（沒有無聊的黑客去監聽兩台機器間的聊天信息的那是個浪費時間的事情）。所以對用戶信息和口令信息進行加密是完全有必要的。防止以明文傳輸而被監聽到。現代網路中，SSH（一種在應用環境中提供保密通信的協議）通信協議一直都被沿用，SSH所使用的埠是22，它排除了在不安全信道上通信的信息，被監聽的可能性使用到了RAS演算法，在授權過程結束後，所有的傳輸都用IDEA技術加密。但SSH並不就是完全安全的。至少現在我們可以這么大膽評論了。 Sniffer之所以著名，權因它在很多方面都做的很好，它可以監聽到（甚至是聽、看到）網上傳輸的所有信息。Sniffer可以是硬體也可以是軟體。主要用來接收在網路上傳輸的信息。網路是可以運行在各種協議之下的，包括乙太網Ethernet、TCP/IP、ZPX等等，也可以是集中協議的聯合體系。
Sniffer是個非常之危險的東西，它可以截獲口令，可以截獲到本來是秘密的或者專用信道內的信息，截獲到信用卡號，經濟數據，E-mail等等。更加可以用來攻擊與己相臨的網路。
Sniffer可以使用在任何一種平台之中。而現在使用Sniffer也不可能被發現，這個足夠是對網路安全的最嚴重的挑戰。
在Sniffer中，還有「熱心人」編寫了它的Plugin，稱為TOD殺手，可以將TCP的連接完全切斷。總之Sniffer應該引起人們的重視，否則安全永遠做不到最好。

4. 關於網路監聽

網路監聽沒你想像的那麼可怕 及時可以實現那也是相當困難的 ~~
我們通常所說的網路監聽指的是 ：
在網路中，當信息進行傳播的時候，可以利用工具，將網路介面設置在監聽的模式，便可將網路中正在傳播的信息截獲或者捕獲到，從而進行攻擊。
網路監聽在網路中的任何一個位置模式下都可實施行。而黑客一般都是利用網路監聽來截取用戶口令。比如當有人佔領了一台主機之後，那麼他要再想進將戰果擴大到這個主機所在的整個區域網話，監聽往往是他們選擇的捷徑。很多時候我在各類安全論壇上看到一些初學的愛好者，在他們認為如果佔領了某主機之後那麼想進入它的內部網應該是很簡單的。其實非也，進入了某主機再想轉入它的內部網路里的其它機器也都不是一件容易的事情。因為你除了要拿到他們的口令之外還有就是他們共享的絕對路徑，當然了，這個路徑的盡頭必須是有寫的許可權了。在這個時候，運行已經被控制的主機上的監聽程序就會有大收效。不過卻是一件費神的事情，而且還需要當事者有足夠的耐心和應變能力。主要包括：
數據幀的截獲
對數據幀的分析歸類
dos攻擊的檢測和預防
IP冒用的檢測和攻擊
在網路檢測上的應用
對垃圾郵件的初步過濾

更多參考網路：http://ke..com/view/644729.htm

5. 網路監聽技術的防範

（1）發現可能存在的網路監聽。網路監聽是很難被發現的，因為運行網路監聽的主機只是被動地接收在區域網上傳輸的信息，不主動地與其他主機交換信息，也沒有修改在網上傳輸的數據包。
對於懷疑運行監聽程序的機器，用正確的IP地址和錯誤的物理地址ping，運行監聽程序的機器會有響應。或者向網上發大量還在的物理地址的包，由於監聽程序要分析和處理大量的數據包會佔用很多的CPU資源，這將導致性能下降。通過比較前後該機器性能加以判斷，這種方法難度比較大。也可以使用反監聽工具進行檢測。
（2）對網路監聽的防範措施，從邏輯或物理上對網路分段。網維分段通常被認為是控制網路廣播風暴的一種基本手段，但其實也是保證網路安全的王菲措施，其目的是將非法用戶與敏感的網路資源相互隔離，從而防止可能的非法監聽。
心交換式集線器代替共享式集線器。當用戶與主機進行數據通信時，兩台機器之間的數據包（稱為單播包Unicast Packet）會被同一台共享式集線器上的其他用戶所監聽。交換式集線器只能控制單播包而無法控制廣播包（Broadcast Packet)和多播包（Multicast Packet)。
使用加密技術。數據經過加密後，通過監聽仍然可以得到傳送的信息，但顯示的是亂碼。
劃分VLAN。運用VLAN(虛擬區域網）技術，將以網通信變為點到點通信，可以防止大部分基於網路監聽的入侵。

6. 網路連接器的狀態的監聽是什麼

我也是這樣的，不知道是怎麼回事。。今天晚上突然就這樣了

7. 網路監聽技術的簡介

網路監聽在網路中的任何一個位置模式下都可實施行。而黑客一般都是利用網路監聽來截取用戶口令。比如當有人佔領了一台主機之後，那麼他要再想進將戰果擴大到這個主機所在的整個區域網話，監聽往往是他們選擇的捷徑。很多時候我在各類安全論壇上看到一些初學的愛好者，在他們認為如果佔領了某主機之後那麼想進入它的內部網應該是很簡單的。其實非也，進入了某主機再想轉入它的內部網路里的其它機器也都不是一件容易的事情。因為你除了要拿到他們的口令之外還有就是他們共享的絕對路徑，當然了，這個路徑的盡頭必須是有寫的許可權了。在這個時候，運行已經被控制的主機上的監聽程序就會有大收效。不過卻是一件費神的事情，而且還需要當事者有足夠的耐心和應變能力。主要包括：
數據幀的截獲
對數據幀的分析歸類
dos攻擊的檢測和預防
IP冒用的檢測和攻擊
在網路檢測上的應用
對垃圾郵件的初步過濾

8. 共享式網路與交換式網路中，網路監聽有何不同

.發生在共享式區域網內的竊聽 所謂的「共享式」區域網(Hub-Based Lan)，指的是早期採用集線器HUB作為網路連接設備的傳統乙太網的結構，在這個結構里，所有機器都是共享同一條傳輸線路的，集線器沒有埠的概念，它的數據發送方式是「廣播」， 集線器接收到相應數據時是單純的把數據往它所連接的每一台設備線路上發送的，例如一台機器發送一條「我要和小金說話」的報文，那麼所有連接這個集線器的設備都會收到這條報文，但是只有名字為「小金」的計算機才會接收處理這條報文，而其他無關的計算機則會「不動聲色」的拋棄掉該報文。因此，共享乙太網結構里的數據實際上是沒有隱私性的，只是網卡會「君子」化的忽略掉與自己無關的「閑言碎語」罷了，但是很不巧，網卡在設計時是加入了「工作模式」的選項的，正是這個特性導致了噩夢。每塊網卡基本上都會有以下工作模式：Unicast、Broadcast、Multicast、Promiscuous，一般情況下，操作系統會把網卡設置為Broadcast(廣播)模式，在Broadcast模式下，網卡可以接收所有類型為廣播報文的數據幀——例如ARP定址，此外它會忽略掉目標地址並非自己MAC地址的報文，即只接收發往自身的數據報文、廣播和組播報文，這才是網卡的正常工作模式;如果一塊網卡被設置為Unicast或Multicast模式，在區域網里可能會引發異常，因為這兩個模式限制了它的接收報文類型;而Promiscuous(混雜)模式，則是罪惡的根源。在混雜模式里，網卡對報文中的目標MAC地址不加任何檢查而全部接收，這樣就造成無論什麼數據，只要是路過的都會被網卡接收的局面，監聽就是從這里開始的。一般情況下，網卡的工作模式是操作系統設置好的，而且沒有公開模式給用戶選擇，這就限制了普通用戶的監聽實現，但是自從嗅探器(Sniffer)家族發展到一定程度後，開始擁有了設置網卡工作模式的權力，而且矛頭直指Promiscuous，任何用戶只要在相應選擇上打個勾，他的機器就變成了可以記錄區域網內任何機器傳輸的數據的耳朵，由於共享式區域網的特性，所有人都是能收到數據的，這就造成了不可防禦的信息泄漏。可是，最終這種監聽方式還是被基本消滅了，人們用了什麼手段呢?很簡單，區域網結構升級了，變成「交換式區域網」。2、發生在交換式區域網內的竊聽作為與「共享式」相對的「交換式」區域網(Switched Lan)，它的網路連接設備被換成了交換機(Switch)，交換機比集線器聰明的一點是它連接的每台計算機是獨立的，交換機引入了「埠」的概念，它會產生一個地址表用於存放每台與之連接的計算機的MAC地址，從此每個網線介面便作為一個獨立的埠存在，除了聲明為廣播或組播的報文，交換機在一般情況下是不會讓其他報文出現類似共享式區域網那樣的廣播形式發送行為的，這樣即使你的網卡設置為混雜模式，它也收不到發往其他計算機的數據，因為數據的目標地址會在交換機中被識別，然後有針對性的發往表中對應地址的埠，決不跑到別人家裡去。這一改進迅速扼殺了傳統的區域網監聽手段，但是歷史往往證明了人是難以被征服的……(1)、對交換機的攻擊：MAC洪水不知道是誰第一個發現了這種攻擊模式，大概是因為交換機的出現破壞了嗅探器的工作，所以一肚子氣泄到了交換機身上，另一種看法則是精明的技術人員設想交換機的處理器在超過所能承受信息量的時候會發生什麼情況而進行的試驗，無論是從什麼論點出發的，至少這個攻擊模式已經成為現實了：所謂MAC洪水攻擊，就是向交換機發送大量含有虛假MAC地址和IP地址的IP包，使交換機無法處理如此多的信息而引起設備工作異常，也就是所謂的「失效」模式，在這個模式里，交換機的處理器已經不能正常分析數據報和構造查詢地址表了，然後，交換機就會成為一台普通的集線器，毫無選擇的向所有埠發送數據，這個行為被稱作「泛洪發送」，這樣一來攻擊者就能嗅探到所需數據了。不過使用這個方法會為網路帶來大量垃圾數據報文，對於監聽者來說也不是什麼好事，因此MAC洪水使用的案例比較少，而且設計了埠保護的交換機可能會在超負荷時強行關閉所有埠造成網路中斷，所以如今，人們都偏向於使用地址解析協議ARP進行的欺騙性攻擊。(2)、地址解析協議帶來的噩夢回顧前面提到的區域網定址方式，我們已經知道兩台計算機完成通訊依靠的是MAC地址而與IP地址無關，而目標計算機MAC地址的獲取是通過ARP協議廣播得到的，而獲取的地址會保存在MAC地址表裡並定期更新，在這個時間里，計算機是不會再去廣播定址信息獲取目標MAC地址的，這就給了入侵者以可乘之機。當一台計算機要發送數據給另一台計算機時，它會以IP地址為依據首先查詢自身的ARP地址表，如果裡面沒有目標計算機的MAC信息，它就觸發ARP廣播定址數據直到目標計算機返回自身地址報文，而一旦這個地址表裡存在目標計算機的MAC信息，計算機就直接把這個地址作為數據鏈路層的乙太網地址頭部封裝發送出去。為了避免出現MAC地址表保持著錯誤的數據，系統在一個指定的時期過後會清空MAC地址表，重新廣播獲取一份地址列表，而且新的ARP廣播可以無條件覆蓋原來的MAC地址表。假設區域網內有兩台計算機A和B在通訊，而計算機C要作為一個竊聽者的身份得到這兩台計算機的通訊數據，那麼它就必須想辦法讓自己能插入兩台計算機之間的數據線路里，而在這種一對一的交換式網路里，計算機C必須成為一個中間設備才能讓數據得以經過它，要實現這個目標，計算機C就要開始偽造虛假的ARP報文。ARP定址報文分兩種，一種是用於發送定址信息的ARP查詢包，源機器使用它來廣播定址信息，另一種則是目標機器的ARP應答包，用於回應源機器它的MAC地址，在竊聽存在的情況下，如果計算機C要竊聽計算機A的通訊，它就偽造一個IP地址為計算機B而MAC地址為計算機C的虛假ARP應答包發送給計算機A，造成計算機A的MAC地址表錯誤更新為計算機B的IP對應著計算機C的MAC地址的情況，這樣一來，系統通過IP地址獲得的MAC地址都是計算機C的，數據就會發給以監聽身份出現的計算機C了。但這樣會造成一種情況就是作為原目標方的計算機B會接收不到數據，因此充當假冒數據接收角色的計算機C必須擔當一個轉發者的角色，把從計算機A發送的數據返回給計算機B，讓兩機的通訊正常進行，這樣，計算機C就和計算機AB形成了一個通訊鏈路，而對於計算機A和B而言，計算機C始終是透明存在的，它們並不知道計算機C在偷聽數據的傳播。只要計算機C在計算機A重新發送ARP查詢包前及時偽造虛假ARP應答包就能維持著這個通訊鏈路，從而獲得持續的數據記錄，同時也不會造成被監聽者的通訊異常。計算機C為了監聽計算機A和B數據通訊而發起的這種行為，就是「ARP欺騙」(ARP Spoofing)或稱「ARP攻擊」(ARP Attacking)，實際上，真實環境里的ARP欺騙除了嗅探計算機A的數據，通常也會順便把計算機B的數據給嗅探了去，只要計算機C在對計算機A發送偽裝成計算機B的ARP應答包的同時也向計算機B發送偽裝成計算機A的ARP應答包即可，這樣它就可作為一個雙向代理的身份插入兩者之間的通訊鏈路。