首先一点防arp攻击，ARP是只有二层MAC地址的广播包，如果有ARP攻击，也是连接在二层交换网络的主机所为，如果是企业网，也是内部员工干的，有时甚至是出问题的网卡触发的。这种ARP广播只要show interface summary 类似得命令，会看到每个接口 in/out unicast ，multicast ，broadcast 的统计，每10秒刷新一次，再 show一下就可以看到接口统计得变化，只要关心in方向的broadcast 增加最大得接口。那个接口就是肇事接口。如果是有线网络，如果交换机上有这个feature：arp inspection，可以很快发现这种行为，一般交换机接一个host，或host + IP电话，一个接口最多两个地址足够了，如果发现异常情况，可以直接触发error disable ，关掉接口。如果交换机下接Hub，可能会有多个主机，多个MAC，这种很难跟踪，因为HUB就是一个集线器，无从知道哪个端口发出来的。这个问题又牵扯到企业网的安全认证了，无论有线、无线，都需要认证，先802.1x认证，对应企业员工；MAC认证：打印机、不支持802.1x 的设备；web认证：临时访客，分配单独VLAN，分配最低权限，即只能访问Internet的权限。所有交换机、AP都启用这个安全认证，这样一旦发生攻击 可以很快定位某台交换机某个端口，可以找到惹事的个人，有证据在，不怕抵赖。

遭受ARP攻击，已拦截到底是什么意思啊?怎样阻止？

已成功拦截ARP攻击是指计算机拦截到了伪造IP地址和MAC地址实现ARP欺骗。 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 ARP攻击主要表现为：

1、局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp-d后，又可恢复上网。

2、个人电脑则表现在网速变慢，经常掉线，通讯信息被截取。 ARP攻击防御措施： 1、对于ARP的防御现在很多防火墙都已经集成这种功能，开启这项功能即可。 2、对于局域网来说最好的防止ARP攻击的办法就是使用“静态ARP”。

防范ARP攻击的最有效的方法是什么？

防护原理

防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。

首先，如果一个错误的记录被插入ARP或者IP route表，可以用两种方式来删除。

a. 使用arp –d host_entry

b. 自动过期，由系统删除

这样，可以采用以下的一些方法：

1）. 减少过期时间

#ndd –set /dev/arp arp_cleanup_interval 60000

#ndd -set /dev/ip ip_ire_flush_interval 60000

60000=60000毫秒 默认是300000

加快过期时间，并不能避免攻击，但是使得攻击更加困难，带来的影响是在网络中会大量的出现ARP请求和回复，请不要在繁忙的网络上使用。

2）. 建立静态ARP表

这是一种很有效的方法，而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。

test. nsfocus .com 08:00:20:ba:a1:f2

user. nsfocus . com 08:00:20:ee:de:1f

使用arp –f filename加载进去，这样的ARP映射将不会过期和被新的ARP数据刷新，除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变，就必须手工刷新这个arp文件。这个方法，不适合于经常变动的网络环境。