Поскольку трафик ARP не пересекает маршрутизаторы, атаки, основанные на ARP, работают только тогда, когда злоумышленник контролирует систему в вашей локальной сети, ваши первые линии защиты должны быть направлены на защиту от них, как в цифровом, так и в физическом плане.
Чтобы выполнить наиболее разрушительные атаки на основе ARP, злоумышленник должен установить в сети устройство для получения трафика, который требуется спуферу. В противном случае они ограничиваются DOS внутренних сервисов (просто путаясь с доставкой сообщений) и отслеживая возможности, создаваемые атакующими таблицами ARP-коммутаторов (называемые mac/arp flooding или poacheing poisioning). Рассмотрите возможность изоляции любых сетей Wi-Fi, используя VLAN или другие структуры, которые разрушают сеть на уровне 2.
Одним из распространенных и надежных решений являются статические таблицы arp, если ваше оборудование поддерживает их, но ими довольно сложно управлять, так как они должны быть перенастроены при каждом изменении топологии сети.
Другим более выполнимым, но менее применимым решением является DHCP Snooping, который позволяет сетям, управляемым DHCP, игнорировать обновления ARP, которые не соответствуют информации на сетевом DHCP-сервере. эта функция поддерживается на устройствах Cisco под названием Dynamic ARP Inspection .
Утилита Linux ARPWatch может отслеживать изменения ARP для пар IP/MAC и сообщать о них. Затем это может быть расширено до автоматического ответа при необходимости, такого как выключение системы, блокировка затронутых IP-адресов в IPTables и т.д.
Усовершенствованные коммутационные инфраструктуры позволяют использовать несколько конфигураций, которые помогают предотвратить спуфинг, включая ограничение количества MAC-адресов на интерфейс (1, если быть точным) и возможность цифрового шифрования и подписи сетевого трафика между критическими системами с использованием IPSEC с сертификатами для идентификации.
