通过上面的分析及应对方法我们可以明确的得出这样的结论，那就是该软件确实使用了ARP协议来实现对本LAN内计算机访问外网进行控制。我们来跟着笔者通过SNIFFER POR来深入剖析下他的数据包，在用SNIFFER之前先让我们了解下关于ARP欺骗的知识。

    同一网段的ARP欺骗：

    三台主机ABC，ip地址依次为192.168.0.1，192.168.0.2，192.168.0.3，硬件MAC地址依次为AA:AA:AA:AA:AA:AA，BB:BB:BB:BB:BB:BB，CC:CC:CC:CC:CC:CC。三台计算机处在同一个LAN内。主机B的入侵者想非法进入主机A，可是这台主机上安装有防火墙并且防火墙只对主机C有信任关系（例如开放23端口），而且主机A和主机C之间的信任关系是建立在硬件地址的基础上，通过简单的修改IP地址是不能实现的。

    这时就要用到ARP欺的手段让主机A把自己的ARP缓存中的关于192.168.0.3映射的硬件地址改为主机B的硬件地址。因为ARP协议并没有规定必须在接收到arp_echo后才可以发送响应包，所以我们可以人为的制造一个arp_reply的响应包,发送给想要欺骗的主机A。这就是ARP欺骗的全过程。