網絡攻防中，我們既要警惕安全的防護，也要警惕各種各樣的攻擊形式以及漏洞。那么在這之中，非常著名的就是ARP協議的攻防戰了。相關的內容和專題我們也介紹了不少。那么這里我們再來簡單地總結一下。

ARP協議欺騙的防范

1、運營商可采用Super VLAN或PVLAN技術

所謂Super VLAN也叫VLAN聚合，這種技術在同一個子網中化出多個Sub VLAN，而將整個IP子網指定為一個VLAN聚合（Super VLAN），所有的Sub VLAN都使用Super VLAN的默認網關IP地址，不同的Sub VLAN仍保留各自獨立的廣播域。子網中的所有主機只能與自己的默認網關通信。如果將交換機或IP DSLAM設備的每個端口化為一個Sub VLAN，則實現了所有端口的隔離，也就避免了ARP欺騙。

PVLAN即私有VLAN（Private VLAN） ，PVLAN采用兩層VLAN隔離技術，只有上層VLAN全局可見，下層VLAN相互隔離。如果將交換機或IP DSLAM設備的每個端口化為一個（下層）VLAN，則實現了所有端口的隔離。

PVLAN和SuperVLAN技術都可以實現端口隔離，但實現方式、出發點不同。PVLAN是為了節省VLAN，而SuperVlan的初衷是節省IP地址。

2、單位局域網可采用IP與MAC綁定

在PC上IP+MAC綁，網絡設備上IP+MAC+端口綁。但不幸的是Win 98/me、未打ARP補丁的win 2000/xp sp1（現在大多都已經打過了）等系統 使用ARP -s所設置的靜態ARP項還是會被ARP欺騙所改變。

如果網絡設備上只做IP+MAC綁定，其實也是不安全的，假如同一二層下的某臺機器發偽造的ARP reply（源ip和源mac都填欲攻擊的那臺機子的）給網關，還是會造成網關把流量送到欺騙者所連的那個（物理）端口從而造成網絡不通。

對于采用了大量傻瓜交換機的局域網，用戶自己可以采取支持ARP過濾的防火墻等方法。推薦Look ‘n’Stop防火墻，支持ARP協議規則自定義。

最后就是使用ARPGuard啦（才拉到正題上），但它只是保護主機和網關間的通訊。

ARPGuard的原理

ARPGuard可以保護主機和網關的通訊不受ARP協議欺騙的影響。

1、第一次運行（或檢測到網關IP改變）時獲取網關對應的MAC地址，將網卡信息、網關IP、網關MAC等信息保存到配置文件中，其他時候直接使用配置文件。

2、移去原默認路由（當前網卡的）

3、產生一個隨機IP，將它添加成默認網關。

4、默認網關IP 和網關的MAC綁定（使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表項）

5、周期性檢測ARP Cache中原默認網關（不是隨機IP那個） 網關的MAC在ARP Cache的值是否被改寫，若被改寫就報警。

6、針對有些攻擊程序只給網關設備（如路由器或三層交換機）發欺騙包的情況。由于此時本機ARP Cache中網關MAC并未被改變，因此只有主動防護，即默認每秒發10個ARP reply包來維持網關設備的ARP Cache（可選）

7、程序結束時恢復默認網關和路由。

值得說明的是ARP協議程序中限定了發包間隔不低于100ms，主要是怕過量的包對網絡設備造成負擔。如果你遭受的攻擊太猛烈，你也可以去掉這個限制，設定一個更小的數值，保證你的通訊正常。