本机ARP缓存是有生存期的，默认ARP缓存表的有效期是120秒。当超过该有效期后，将再次重复上面的过程。

一个完整的ARP会话包括ARP请求和ARP响应两个包。

如果攻击者向目标主机发送大量ARP请求报文，将导致其主机无法正常响应及崩溃，导致ARP请求风暴攻击。

勾选Detect ARP request storms复选框，可以用来探测ARP请求风暴，进而发现ARP攻击。

Number of requests to detect during period：在探测期间内发送的ARP请求包数。

Detection period(in ms)：探测多长时间内发送的ARP请求包。默认设置表示探测到100毫秒内发送30个ARP请求包，则属于ARP请求风暴。因为正常情况下，主机是不会频繁地发送ARP请求包。

DHCP使用UDP协议工作，常用的端口有两个，分别是67（DHCP server）和68（DHCP client）。

DHCP协议主要是为客户端分配IP地址。在该过程中将包括4个包，分别是DHCP发现、DHCP响应、DHCP请求和DHCP确认包。

LISTENING：正在监听。

ESTABLISHED：已创建连接，正在传输数据。

SYN_SENT：尝试创建连接。

SYN_RECV：接收到请求，等待确认。

FIN_WAIT1：socket连接关闭。

FIN_WAIT2：socket连接关闭，等待远端关闭。

TIME_WAIT：等待处理的请求。

CLOSED：无连接。

CLOSE_WAIT：远端关闭，等待socket关闭。

LAST_ACK：远端关闭，等待反馈。

CLOSING：两边都已关闭。

UNKNOWN：未知状态

TCP连接重置就是断开之前的连接，并且释放连接占用的所有资源。当流经防火墙的流量不对称时，可能导致TCP连接重置。

每个防火墙都有一个TCP超时时间，目前设置为半小时。对于通过防火墙的所有TCP连接，如果在半小时内没有任何活动，那么就会被防火墙拆除，这样就会导致连接中断。在拆除连接时，也不会向连接的两端发送任何数据通知连接已经被拆除。

吞吐量是指每秒接收到的不包括控制数据在内的比特数。当没有帧时，设备会降低最大速率；有效的吞吐量是指单位时间内发到DUT/SUT正确目标接口的比特数。如果减少了，就丢弃或者重传。

对于UDP协议，通常需要对报文同时传往多个接收者，所以通常会应用多播。