ARP协议用于完成从IP地址到MAC地址的映射，它是以局域网安全可信为前提而设计的，并且其缓存的更新没有任何认证措施。ARP欺骗攻击就是利用ARP协议无连接、无认证的缺陷，通过向目标主机发送假冒的ARP数据包来改变其ARP缓存，以窃取他人账号等用户个人信息，阻止或限制他人正常的网络通信为目的的一种局域网内部攻击行为。ARP欺骗自第一次出现以来就没有彻底解决过，由于ARP欺骗造成的局域网的各种问题屡见不鲜，给网络管理和网络安全带来严峻的挑战。本文通过对ARP协议的特点进行研究，并在模拟局域网里，用WinArpAttack软件进行了ARP欺骗模拟实验，通过该实验总结出了ARP缓存的更新规律和ARP协议的漏洞。分析了ARP欺骗的一般方式和常见的防御方法，并指出这些方法的局限和不足之处。研究了网络数据包捕获和WinPcap的相关应用。在上述工作的基础上，设计并实现了一种基于WinPcap的ARP欺骗进行实时检测与恢复的方法。该方法从ARP数据包入手，通过捕获网络上的ARP数据包，并进行假设检验，根据检验结果就可以实时发现ARP欺骗，并通过向被欺骗主机发送正确的ARP数据包来快速纠正其错误的ARP缓存记录。最后在模拟局域网中对该方法进行了测试，测试结果表明该方法能够实时检测到ARP欺骗数据包，并可以快速恢复被欺骗主机的ARP缓存中错误的映射记录。