面向小型網(wǎng)絡(luò)

如果你管理著一個(gè)小型網(wǎng)絡(luò)，你或許可以試試使用靜態(tài)IP地址和靜態(tài)ARP映射表。用命令行輸入，比如在Windows中是 “ipconfig/all” ，在NIX中是 “ifconfig” ，你就可以查看在你的網(wǎng)絡(luò)中的所有設(shè)備的IP地址和MAC地址了。然后使用 "arp-s" 命令，你可以為你所知道的設(shè)備添加靜態(tài)ARP映射。“靜態(tài)” 就是不會(huì)變化；這可以防止黑客的欺騙ARP進(jìn)入你的網(wǎng)絡(luò)設(shè)備中。你甚至可以創(chuàng)建一個(gè)登錄腳本當(dāng)它們啟動(dòng)時(shí)自動(dòng)添加這些靜態(tài)ARP到你的計(jì)算機(jī)中。

然而，靜態(tài)ARP很難被維護(hù)；在大型網(wǎng)絡(luò)中更是不可能。那是因?yàn)槟忝考尤胍慌_(tái)設(shè)備到你的網(wǎng)絡(luò)中都需要你手動(dòng)地編寫ARP腳本或輸入每臺(tái)設(shè)備的ARP映射表。但是如果你是管理一個(gè)少于兩打的設(shè)備，這個(gè)技術(shù)或許適合于你。

面向大型網(wǎng)絡(luò)

如果你是管理著一個(gè)大型網(wǎng)絡(luò)，好好去研究一下你的網(wǎng)絡(luò)交換機(jī)的 “端口安全” 功能。有一個(gè) “端口安全” 功能是允許你強(qiáng)制使你的交換機(jī)在每個(gè)端口只允許 (IP地址對(duì)應(yīng)的) 一個(gè)MAC地址通過。這個(gè)功能會(huì)阻止黑客改變他機(jī)器的MAC地址或試圖映射多個(gè)MAC地址到他的機(jī)器上。這種技術(shù)常常用于幫助防御基于ARP的中間人攻擊。

面向所有網(wǎng)絡(luò)

你最好的防御方法就是掌握ARP中毒的機(jī)制并監(jiān)視它。我強(qiáng)烈建議安裝一個(gè)ARP監(jiān)視工具，比如ARPwatch，當(dāng)有不正常的ARP通信時(shí)它會(huì)提醒你。這種警惕也是對(duì)付所有類型攻擊的最有力武器——就如Robert Louis Stevenson所寫的，“最殘酷的謊言常常是悄無聲息地說出來的”。