0×001  靜態綁定網關MAC

0×002  ARP防火墻

0×003  VLAN和交換機端口綁定

1、靜態綁定網關MAC

方法一、手工綁定：

(1).確定用戶計算機所在網段

(2).查出用戶網段網關IP

(3).根據網關IP查出用戶網段網關Mac

(4).用命令 arp -s 網關IP 網關MAC

靜態綁定網關IP和MAC

例如：“arp –s 192.168.1.1 AA-AA-AA-AA-AA-AA”。

Linux下綁定IP和MAC地址

新建一個靜態的mac–>ip對應表文件：ip-mac，將要綁定的IP和MAC地下寫入此文件，格式為 ip mac。

[root@localhost ~]# echo '192.168.1.1 00:01:B5:38:09:38 ' > /etc/ip-mac

[root@localhost ~]# more /etc/ip-mac

192.168.1.1 00:01:B5:38:09:383、設置開機自動綁定

[root@localhost ~]# echo 'arp -f /etc/ip-mac ' >> /etc/rc.d/rc.local4、手動執行一下綁定

[root@localhost ~]# arp -f /etc/ip-mac5、確認綁定是否成功

[root@localhost ~]# arp -a

2、ARP防火墻

免費的ARP防火墻軟件很多的，可以百度找，一般的服務器維護軟件都帶有這個功能.

3、VLAN和交換機端口綁定

懂路由交換的朋友應該懂，看起來比較容易.

通過劃分VLAN和交換機端口綁定，以圖防范ARP，也是常用的防范方法。劃分VLAN，減小廣播域的范圍，使ARP在小范圍內起作用，而不至于發生大面積影響。有些網管交換機具有MAC地址學習的功能，學習完成后，再關閉這個功能，就可以把對應的MAC和端口進行綁定.

缺陷：

（1）、沒有對網關的任何保護，網關一旦被攻擊，照樣會造成全網上網的掉線和癱瘓。

（2）、不利于移動終端的接入

（3）、實施交換機端口綁定，整個交換網絡的造價大大提高。思科2950交換機為例，登錄進入交換機，輸入管理口令進入配置模式，敲入命令：

Switch＃c onfig terminal

＃進入配置模式

Switch(config)# Interface fastethernet 0/1

＃進入具體端口配置模式

Switch(config-if)#Switchport port-secruity

＃配置端口安全模式

Switch(config-if )switchport port-security mac-address MAC(主機的MAC地址)

＃配置該端口要綁定的主機的MAC地址

Switch(config-if )no switchport port-security mac-address MAC(主機的MAC地址)

＃刪除綁定主機的MAC地址

注意：

以上命令設置交換機上某個端口綁定一個具體的MAC地址，這樣只有這個主機可以使用網絡，如果對該主機的網卡進行了更換或者其他PC機想通過這個端口使用網絡都不可用，除非刪除或修改該端口上綁定的MAC地址，才能正常使用。

其實現在有一種動態ARP檢查的技術來防范ARP攻擊，這種方法非常有效，它是根據DHCP所生成的DHCP監聽表，以及IP源防護中靜態ip源綁定表的內容對ARP報文進行檢測，有興趣的可以百度了解。