防范方法

　　1、捆綁MAC和IP地址

　　杜絕IP 地址盜用現象。 如果是通過代理服務器上網：到代理服務器端讓網絡管理員把上網的靜態IP 地址與所記錄計算機的網卡地址進行捆綁。 如： ARP-s 192.16.10.400-EO-4C-6C-08-75。 這樣， 就將上網的靜態IP 地址192.16.10.4 與網卡地址為00-EO-4C-6C-08-75 的計算機綁定在一起了， 即使別人盜用您的IP 地址， 也無法通過代理服務器上網。 如果是通過交換機連接， 可以將計算機的IP地址、網卡的MAC 地址以及交換機端口綁定。

　　2、修改MAC地址， 欺騙ARP欺騙技術

　　就是假冒MAC 地址， 所以最穩妥的一個辦法就是修改機器的MAC 地址， 只要把MAC 地址改為別的， 就可以欺騙過ARP 欺騙， 從而達到突破封鎖的目的。

　　3、使用ARP服務器

　　使用ARP 服務器。 通過該服務器查找自己的ARP 轉換表來響應其他機器的ARP 廣播。 確保這臺ARP 服務器不被攻擊。

　　4、交換機端口設置

　　(1)端口保護(類似于端口隔離)：ARP 欺騙技術需要交換機的兩個端口直接通訊， 端口設為保護端口即可簡單方便地隔離用戶之間信息互通， 不必占用VLAN 資源。 同一個交換機的兩個端口之間不能進行直接通訊， 需要通過轉發才能相互通訊。

　　(2)數據過濾：如果需要對報文做更進一步的控制用戶可以采用ACL(訪問控制列表)。 ACL 利用IP 地址、TCP/UDP 端口等對進出交換機的報文進行過濾， 根據預設條件， 對報文做出允許轉發或阻塞的決定。 華為和Cisco 的交換機均支持IP ACL 和MAC ACL， 每種ACL 分別支持標準格式和擴展格式。 標準格式的ACL 根據源地址和上層協議類型進行過濾， 擴展格式的ACL 根據源地址、目的地址以及上層協議類型進行過濾， 異詞檢查偽裝MAC 地址的幀。

　　5、禁止網絡接口做ARP 解析

　　在相對系統中禁止某個網絡接口做ARP 解析(對抗ARP欺騙攻擊)， 可以做靜態ARP 協議設置(因為對方不會響應ARP 請求報義)如： ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系統中如：Unix ， NT 等， 都可以結合“禁止相應網絡接口做ARP 解析”和“使用靜態ARP 表”的設置來對抗ARP 欺騙攻擊。 而Linux 系統， 其靜態ARP 表項不會被動態刷新， 所以不需要“禁止相應網絡接口做ARP 解析”， 即可對抗ARP 欺騙攻擊。

　　6、使用硬件屏蔽主機

　　設置好你的路由， 確保IP 地址能到達合法的路徑。 ( 靜態配置路由ARP 條目)， 注意， 使用交換集線器和網橋無法阻止ARP 欺騙。

　　7、定期檢查ARP緩存

　　管理員定期用響應的IP 包中獲得一個rarp 請求, 然后檢查ARP 響應的真實性。 定期輪詢, 檢查主機上的ARP 緩存。 使用防火墻連續監控網絡。 注意有使用SNMP 的情況下， ARP 的欺騙有可能導致陷阱包丟失。

技巧一則

　　址的方法個人認為是不實用的， 首先, 這樣做會加大網絡管理員的工作量， 試想， 如果校園網內有3000個用戶， 網絡管理員就必須做3000 次端口綁定MAC 地址的操作， 甚至更多。 其次, 網絡管理員應該比較清楚的是, 由于網絡構建成本的原因， 接入層交換機的性能是相對較弱的, 功能也相對單一一些, 對于讓接入層交換機做地址綁定的工作， 對于交換機性能的影響相當大, 從而影響網絡數據的傳輸。

　　建議用戶采用綁定網關地址的方法解決并且防止ARP 欺騙。

　　1) 首先, 獲得安全網關的內網的MAC 地址。 ( 以windowsXP 為例)點擊"開始"→"運行", 在打開中輸入cmd。 點擊確定后將出現相關網絡狀態及連接信息, 然后在其中輸入ipconfig/all， 然后繼續輸入arp - a 可以查看網關的MAC 地址。

　　2) 編寫一個批處理文件rarp.bat( 文件名可以任意) 內容如下:

　　@echo off

　　arp - d

　　arp - s 192.168.200.1 00- aa- 00- 62- c6- 09

　　將文件中的網關IP 地址和MAC 地址更改為實際使用的網關IP 地址和MAC 地址即可。

　　3) 編寫完以后, 點擊"文件" →"另存為"。 注意文件名一定要是*.bat 如arp.bat 保存類型注意要選擇所有類型。 點擊保存就可以了。 最后刪除之前創建的"新建文本文檔"就可以。

　　4) 將這個批處理軟件拖到"windows- - 開始- - 程序- - 啟動"中, ( 一般在系統中的文件夾路徑為C:\Documents and Settings\All Users\「開始」菜單\ 程序\ 啟動) 。

　　5) 最后重新啟動一下電腦就可以。

　　靜態ARP 表能忽略執行欺騙行為的ARP 應答, 我們采用這樣的方式可以杜絕本機受到ARP 欺騙包的影響。 對于解決ARP 欺騙的問題還有多種方法: 比如通過專門的防ARP 的軟件, 或是通過交換機做用戶的入侵檢測。 前者也是個針對ARP欺騙的不錯的解決方案, 但是軟件的設置過程并不比設置靜態ARP 表簡單。 后者對接入層交換機要求太高, 如果交換機的性能指標不是太高, 會造成比較嚴重的網絡延遲, 接入層交換機的性能達到了要求, 又會使網絡安裝的成本提高。

　　在應對ARP 攻擊的時候， 除了利用上述的各種技術手段， 還應該注意不要把網絡安全信任關系建立在IP 基礎上或MAC 基礎上， 最好設置靜態的MAC->IP 對應表， 不要讓主機刷新你設定好的轉換表， 除非很有必要， 否則停止使用ARP， 將ARP 做為永久條目保存在對應表中。