在某台感染ARP木马的Windows主机中运行“arp-a”命令，系统显示的

解析：TCP/IP协议簇维护着一个ARP Cache表，在构造网络数据包时，首先从ARP表中找目标IP对应的MAC地址，如果找不到，就发一个ARP Request广播包，请求具有该IP地址的主机报告它的MAC地址，当收到目标IP所有者的ARPReply后，将更新ARP Cache表。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用(Windows系统：为2分钟，Cisco路由器：5分钟)，就会被删除。  假设某局域网中存在着主机A(10.3.12.109)、主机B(IP地址：10.3.12.110，MAC地址：00-00-5e-00-01- 1b)、网关C(IP地址：10.3.12.254，MAC地址：00-10-db-92-aa-30)和主机D(10.1.1.2)。由于计算机在实现ARP缓存表的机制中存在着不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息，因此将导致主机B截取主机A与主机D之间的数据通信成为可能。  首先主机B向主机A发送一个ARP应答包，告知网关C(10.3.12.254)的MAC地址是00-00-5e-00-01- 1b，主机A收到该应答包后并没有去验证包的真实性而是直接将自己ARP列表中的10.3.12.254对应的 MAC地址替换成00-00-5e-00-01-比。同时主机B向网关C发送一个ARP响应包，告知10.3.12.109的MAC地址是00-00-5e-00-01-1b，同样，网关C也没有去验证该应答包的真实性就将自己ARP表中的10.3.12.109对应的MAC地址替换成00-00-5e-00-01-1b。当主机A想要与主机D通信时，它直接把发送给网关 10.3.12.254的数据包发送到MAC地址为00-00-5e-00-01-1b的主机B，主机B在收到该数据包后经过修改再转发给真正的网关C。当从主机D返回的数据包到达网关C后，网关C通常查找自己的ARP表，将发往IP地址为10.3.12.109的数据发往MAC地址为00-00-5e-00-01-1b的主机B。主机B在收到该数据包后经过修改再转发给主机A，以完成一次完整的数据通信，这样就成功实现了一次ARP欺骗攻击。  当网络感染ARP木马时，由图3-5所显示的信息可知，IP地址为10.3.12.254的主机或网关所对应的 MAC地址被修改为“00-00-5e-00-01-1b”。