ARP（address resolution protocol，地址解析协议）是以太网中重要的IPv4协议（RFC826），它通过请求-响应方式将IP地址转换为MAC地址，为发送网络层数据包传输提供正确的MAC地址。

ARP欺骗利用了ARP在身份认证机制上的弱点，攻击者可以在以太网中伪造任意的ARP请求包或ARP响应包，达到假冒身份、拒绝服务等攻击目的，也是数据窃听、数据篡改、中间人攻击等攻击手段的关键技术。

当主机A向以太网内的主机B发送网络层数据包时，需要确定主机B的IP地址所对应的MAC地址，用来填充MAC数据报头部中的目的MAC字段。假设主机A没有主机B的MAC地址，它首先向以太网中广播一个ARP请求包询问所有主机，主机B收到该请求包后向主机A返回一个ARP响应包，ARP响应包包含了自身的IP-MAC映射关系，其他主机则忽略该请求包。

ARP欺骗的关键原因是ARP缺乏有效的身份认证机制：ARP请求包和响应包都是明文传输，并且只以包中的IP地址为身份凭证，而该地址是可以被伪造的。

ARP欺骗的本质是污染受害者主机的ARP缓存，ARP缓存是现代操作系统常用的缓存机制。由于ARP请求包以网络广播包形式发送，为避免大量的广播包造成网络拥塞，操作系统将已经获得的IP-MAC映射关系存入本地ARP缓存中，以方便下次发送网络层数据包时快速查询该映射关系。

为提高效率，ARP请求包的源IP-源MAC和ARP响应包的源IP-源MAC映射都会被保存在缓存中。因此ARP欺骗有两种方法：攻击者主机S向受害者主机V发送一个ARP请求包，伪造虚假的源IP-源MAC映射；发送一个ARP响应包，伪造虚假的源IP-源MAC映射。主机V将虚假的映射关系存入ARP缓存代替真实的映射关系。

如果攻击者欺骗受害者主机V将网关G的IP与自身MAC对应，同时欺骗网关G将主机V的IP与自身MAC对应，则可重定向主机V与网关G之间所有的网络层数据包，达到中间人攻击的目的；如果欺骗主机V将网关G的IP与虚构的MAC对应，主机V将无法访问网关G，达到拒绝服务的目的。

ARP在IPv6中被NDP（neighbor discovery protocol，邻居发现协议）替代（RFC2461），但两者实现原理基本一致，所以NDP仍然存在类似ARP欺骗的攻击威胁。