众所周知，在不影响工作效率的情况下，很难解决ARP 缓存中毒问题。唯一可行的防御
方法就是使用静态ARP 表项。为了防止欺骗攻击，ARP 表必须为网络上的所有机器分配静态
表项。部署这些表项以及保持正常使用的开销太大，并不现实。众所周知，如果有些操作系
统接收到 Gratuitous ARP 数据包，那么这些操作系统就会覆盖静态 ARP 表项。此外，这也
可以防止使用DHCP配置，该配置频繁改变MAC/IP关联数据。另一个有效方法是端口安全机
制，即端口绑定或MAC绑定。端口安全机制可保持交换机MAC表不变，除非由网络管理员手
动执行。但其并不适用于大型网络，或是使用 DHCP 的网络。下一步将讨论其它各种 ARP 欺
骗的预防机制和检测技术。
防御技术
a）安全地址解析协议：Bruschi、Ornaghi 和 Rosti推荐了一个ARP安全版本，该ARP
中每个主机都有一对公有/私有密钥，由局域网中的受信任方（扮演认证机构的角色）所认
证。为了防止欺骗信息的注入，信息由发送方进行数字签名。它提供了一个永久性解决ARP
欺骗的方法，但其最大的缺点是需要对所有主机的网络协议栈进行修改。此外S-ARP 使用数
字签名算法（DSA），这将导致额外的加密计算的开销。Goyal 和 Tripathy 建议修改基于数
字签名组合的机制之上的S-ARP，以及基于散列链的一次性密码技术（为了认证ARP的<IP,
MAC>映射）。该计划基于与S-ARP 相似的架构，但却更加巧妙地使用加密技术。

b）TARP：Lootah、Enck 和 McDaniel 展示了基于 Ticket 的地址解析协议（TARP），该
协议为加入网络的客户端实现了分布式集中生成的MAC/ IP地址的映射attestations机制，
即所谓的门票。主机用请求的IP 地址发送应答消息，同时附上之前获取的Ticket，Ticket
上的签名证明本地票务代理（LTA）已经将其发行。发送请求的主机接收Ticket，并用LTA

的公钥进行验证。如果签名有效，地址关联将得到认可；否则，将被忽略。随着TARP Ticket
的使用，对手就无法成功地伪造 TARP 的应答，因此，就不能使用 ARP 中毒进行攻击。但缺
点就是实现TARP 机制的网络很容易受到两类攻击：活动主机模拟攻击和通过Ticket进行的
拒绝服务攻击。此外，只要 Ticket 有效，攻击者就可以通过欺骗其 MAC 地址并应答被捕获
的门票消息，进而模拟受害主机。
c）部署虚拟专用网络（VPN）来进行身份验证，同时传输的数据的客户端对网关的安全
机制也提供了部分解决方案。尽管网络受VPN 保护，攻击者仍可以通过基于ARP的攻击对通
信进行重定向并被动地监视通信，但其只能访问加密的数据流。尽管通过将伪造的数据注入
客户端的 ARP 缓存，攻击者仍然能够制造拒绝服务攻击，但是数据 compromise 的问题将不
存在。 
d）使用中央 ARP 服务器：Taietal 建议使用改进的 ARP 技术，该 ARP 的请求数据包并
不广播，而是单播至ARP服务器，该服务器将获得所有连接至网络主机的<ip, MAC>映射集。
这大大降低了ARP 信号传输和处理的开销。为了获得所有主机的<ip,MAC>映射，网络中所有
主机之间通信数据包都被监听，并且这些数据包试图建立基于传输于主机和 DHCP 之间的
DHCP消息的 ARP 表。但是为防止机器IP地址的变化，并防止更新ARP缓存，就必须对 DHCP
消息进行不断地扫描。其主要缺点是，如果网络没有启动DHCP，就无法捕获任何主机的<ip,
MAC>映射。 

检测技术
1）请求应答不匹配算法：在该算法中嗅探器监听 ARP 数据包，并保存由 MAC 地址 key
的等待决定的请求表。如果匹配的应答超时到达，表中的表项将被删除。如果表中没有与应
答匹配的请求，那么就要通知管理员。该算法在小型网络中运行较好，但在大型网络中，这
种算法可能会被误认为攻击。这是一种被动检测技术，在该技术中网络上的 ARP 请求/
应答被嗅探去构建一个 MAC 地址到 IP 地址映射数据库中。如果未来ARP 通信映射表出现变
化，那么就会发出 ARP 欺骗攻击的警报。该类别中最常用的工具是 ARPWATCH。该被动式检
测技术的主要缺点就是学习地址映射与随后的攻击检测之间的时间延迟。倘若启动检测工具