ARP欺骗的控制方法

1、主机静态绑定网关MAC
方法――使用arp命令静态绑定网关MAC，格式如下：
arp －s 网关IP 网关MAC
如果觉得每次手动输入比较复杂，您可以编写一个简单的批处理文件然后让它每次开机时自动运行，
批处理文件如下：
-----------------------------------
@echo off
echo "arp set"
arp -d
arp －s 网关IP 网关MAC
exit
------------------------------------

优点――简单易行，普通用户都能操作

缺点――只能单向绑定。需要跟网关绑定MAC结合使用。

2、网关使用IP+MAC绑定模式
方法――交换机启用静态ARP绑定功能，将用户的IP与MAC进行静态绑定，防止ARP欺骗发生。

优点――效果明显

缺点――操作复杂，工作量巨大。无法保证主机端不被欺骗，需要与主机端绑定网关MAC结合使用。

3、使用ARP服务器
方法――在局域网内架设ARP服务器，替代主机应答ARP包。

优点――效果明显

缺点――配置复杂，需要改变客户端设置。成本高，需要大量的服务器。

4、使用防ARP攻击的软件
方法――下载和使用防ARP攻击的软件，如ARPFix或者是AntiARP等。

优点――简单易行

缺点――需要用户端都安装，无法保证网关不被欺骗。

总结：因为ARP欺骗利用的是ARP协议本身的缺陷，所以到目前为止，我们依然没有一个十分有效
的方法去控制这种攻击。目前难点主要集中在网关交换机上，我们还没有找到一个很有效
的方法来防范网关上的ARP列表不被欺骗修改。所以当前最有效的办法还是迅速阻断这种攻击的来源。
这就要求能够快速检测到攻击并定位出攻击主机位置后加以处理。



5、防范ARP欺骗的常用工具

ARP防火墙――ARPFix
这是我们CCERT为了解决ARP病毒所开发的一个小防火墙软件，当它被安装在正常主机上时，它能
有效地防范自身被ARP欺骗并能检测出感染主机的MAC地址，如果它被安装在感染主机上时它
可以阻断感染主机对外发起的ARP欺骗攻击。需要说明的是这只是一款防火墙软件，它不具备查
杀ARP病毒的能力，如果需要查杀ARP病毒，您还是需要专业杀毒软件。

windump软件――windump
tcpdump软件在windows系统下的版本，简单易用！需要winpcap的支持。

sniffer pro软件――sniffer
windows系统低下功能最强大的抓包分析软件。

趋势的ARP专杀工具――TSC_ARP
趋势提供的最新的ARP专杀工具，解压缩后直接运行TSC.exe即可。