当局域网种存再ARP欺骗包的话，总的来说有主要又这么两种可能。
　　
一、有人恶意破坏网络。

　　这种事情，一般会出现在网吧，或是一些人为了找到更好的网吧上网座位，强行让别人断线。
又或是通过ARP欺骗偷取内网帐号密码。

二，病毒木马

如：传奇网吧杀手等，通过ARP欺骗网络内的机器，假冒网关。从而偷取对外连接传奇服务器的密码。

　　
ARP欺骗的原理如下：

　　假设这样一个网络，一个交换机接了3台机器
　　HostA HostB HostC 其中
　　A的地址为：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA －－－－－－－－－网关
　　B的地址为：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB －－－－－－－－ 黑客
　　C的地址为：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC －－－－－－－－－被欺骗者

　　正常情况下 C:\arp -a
　　Interface: 192.168.1.3 on Interface 0x1000003
　　Internet Address Physical Address Type
　　192.168.1.1 BB-BB-BB-BB-BB-BB dynamic

　　现在假设HostB开始了罪恶的ARP欺骗：假冒A像c发送ARP欺骗包
　　
B向C发送一个自己伪造的ARP欺骗包，而这个应答中的数据为发送方IP地址是192.168.1.1（网关的IP地址），MAC地址

是BB-BB-BB-BB-BB-BB (A的MAC地址本来应该是AA-AA-AA-AA-AA-AA，这里被伪造了）。当C接收到B伪造的ARP应答，就会更新

本地的ARP缓存（C可不知道被伪造了）。而且C不知道其实是从B发送过来的，这样C就受到了B的欺骗了，凡是发往A的数据就会发往B，

这时候那么是比较可怕的，你的上网数据都会先流向B,在通过B去上网，如果这时候B上装了SNIFFER软件，那么你的所有出去的密码都将被截获。

为了以后出现问题的时候好查找，我建议大家平时建立一个MAC和IP的对应表，把局域网内所有网卡的MAC地址和IP、地理位置统统装入数据库

，以便当以后发现ARP 欺骗时找出欺骗者的机器。

　　二、防范措施和解决方法。

　　方法一

通过arp –s 来绑定网关的MAC 地址和IP 地址。
这种方法对于XP 和2003系统是有用的，使用arp –s 来绑定的话。那么在ARP表中显示的是一条静态的记录。
这样就不会被动态的ARP 欺骗包给欺骗，而修改。

那么在2000的系统上也是可以使用arp -s来进行绑定得，在SP4的2000系统上需要下载2000 Rollup v2更新补丁包，ARP的补丁已经包含在里面 了，大小应该在38MB那样。
http://download.microsoft.com/download/7/e/9/7e969f31-e33d-45a2-9d1a-fecbcde29a0e/Windows2000-KB891861-v2-x86-CHS.EXE
并且装好后，下面几个文件不能小于下面的版本号。
Date Time Version Size File name
--------------------------------------------------------
19-Jun-2003 20:05 5.0.2195.6602 108,816 Msafd.dll
02-Jun-2004 22:44 5.0.2195.6938 318,832 Tcpip.sys
19-Jun-2003 20:05 5.0.2195.6601 17,680 Wshtcpip.dll
19-Jun-2003 20:05 5.0.2195.6687 120,240 Afd.sys
19-Jun-2003 20:05 5.0.2195.6655 16,240 Tdi.sys