局域网中防止ARP攻击的安全整体解决方案设计

课程设计成绩评价表
成都信息工程学院
课程设计
题目：局域网中防止ARP攻击的安全整体解决方案设计
作者姓名：朱云骄
班级：信安一班
学号：2009122033
指导教师：林宏刚
日期：2012年 12月 20日
作者签名：
局域网中防止ARP攻击的安全整体解决方案设计
摘要
随着计算机网络技术的飞速发展，网络安全越来越受到人们的重视，特别是局域网内面临ARP攻击的安全问题迫切需要得到解决。

ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。

它的攻击原理就是像目标主机或网关发送修改后的ARP封包，从而更改目标主机的或网关的ARP表，以至于让攻击者截取数据包或篡改数据包，会造成特定主机网络连接断开，严重是会使整个局域网瘫痪。

针对以上问题，本方案设计首先讨论ARP地址解析协议的含义和工作原理，分析了ARP协议所存在的安全漏洞，分析网段内ARP欺骗的实现过程，ARP攻击的分类。

然后，结合网络管理的实际工作，提出了基于用户端和网络管理中心的安全整体解决方案。

关键词：ARP协议 IP地址局域网 MAC地址网络安全
目录
1.引言 (1)
2.对于ARP协议各种问题的讨论 (1)
2.1. ARP协议的含义及工作原理 (1)
2.1.1. ARP协议简介 (1)
2.1.2. ARP协议的数据结构 (2)
2.1.3. 如何利用ARP协议进行欺骗 (2)
2.1.4. ARP协议的工作原理 (3)
2.2. ARP协议的先天缺陷 (4)
2.3. ARP欺骗攻击的实现过程 (4)
2.4. ARP攻击的分类 (5)
2.4.1. 欺骗主机 (5)
2.4.2. 欺骗网关 (5)
2.4.3. 双向欺骗 (5)
2.4.4. 广泛拒绝服务攻击DOS (5)
2.4.5. ip地址冲突 (6)
2.4.6. 伪装成目标主机 (6)
3.基于用户端和网络管理中心端的整体防范策略 (6)
3.1. 需求分析 (7)
3.2. 用户端的防范策略 (7)
3.2.1. 清空ARP缓存表 (7)
3.2.2. 设置静态的ARP缓存表 (8)
3.2.3. 设置假网关 (9)
3.2.4. 安装ARP防火墙 (10)
3.2.5. 其他办法 (10)
3.3. 网路管理中心端的防范策略 (10)
3.3.1. 划分vlan (10)
3.3.2. 添加静态ARP (11)
3.3.3. 对ARP报文进行限速 (11)
3.3.4. 检测混杂模式节点 (12)
3.3.5. 查找ARP攻击源 (12)
3.3.6. 用户认证 (13)
3.3.7. 更换网络管理中心的设备 (13)
3.4. 基于用户端和管理中心的整体防范策略 (13)
3.4.1. 防范策略的可行性和合理性分析 (13)
3.4.2. 整体防范策略设计 (14)
结论 (15)
参考文献 (15)
1.引言
网络的飞速发展改变了人们的工作和生活，在带来便利的同时也带来了很多麻烦。

由于网络安全问题的日益突出，使得计算机病毒、网络攻击和犯罪频繁发生。

根据国家计算机病毒应急处理中心发布的《中国互联网网络安全报告（2009年上半年）》中的数据显示，2009年上半年，国家互联网应急中心（CNCERT）通过技术平台共捕获约90万个恶意代码，比去年同期增长62.5%。

每年都有相当数量具有一定影响力的新计算机病毒出现，它们造成的破坏和损失也更大，人们花费在病毒防治方面的精力和技术也越多。

如2008年ARP（Address Resolution Protocol）病毒就表现很突出，江民公司发布的《07年上半年病毒报告及十大病毒》中ＡＲＰ病毒排名第四，瑞星公司发布的《2007年上半年电脑病毒疫情和互联网安全报告》中ARP病毒排名第六。

造成信息和网络安全问题的因素很多，主要可归纳为两方面。

一方面是技术方面的问题，目前的计算机操作系统和应用软件或多或少存在一定的安全漏洞，而攻击者恰恰利用了这些漏洞，由于计算机病毒防治技术相对要落后于病毒攻击，因此会造成病毒在一定范围内蔓延；另一方面是管理方面的问题，由于管理人员的技术水平不足和管理不善造成的安全问题也层出不穷，系统漏洞修复的滞后和安全防护措施的不够给攻击者提供了机会。

再加之，互联网是一个开放的系统，任何微小的漏洞和病毒都会快速蔓延，甚至殃及全球，因此网络安全问题不容忽视。

ARP病毒很大程度上是因为技术方面的问题而导致的，因此，可以通过技术改进加以防范。

2.对于ARP协议各种问题的讨论
2.1.ARP协议的含义及工作原理
2.1.1.ARP协议简介
ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。

在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。

在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。

但这个目标MAC地址是如何获得的呢？它就是通过
地址解析协议获得的。

所谓“地址解析”就是主机在发送帧前将目标IP 地址转换成目标MAC地址的过程。

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

2.1.2.ARP协议的数据结构
typedefstructarphdr{
unsignedshortarp_hrd;/*硬件类型*/
unsignedshortarp_pro;/*协议类型*/
unsignedchararp_hln;/*硬件地址长度*/
unsignedchararp_pln;/*协议地址长度*/
unsignedshortarp_op;/*ARP操作类型*/
unsignedchararp_sha[6];/*发送者的硬件地址*/
unsignedlongarp_spa;/*发送者的协议地址*/
unsignedchararp_tpa [6];/*目标的硬件地址*/
unsignedlongarp_tpa;/*目标的协议地址*/
}ARPHDR,*PARPHDR
2.1.
3.如何利用ARP协议进行欺骗
2.1.
3.1. 通过ARP应答包改变ARP缓存
当计算机收到ARP应答数据包时，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。

那么就可以利用以上方式进行欺骗。

比如在局域网中有两台主机A和B。

A向B发送一个伪造的ARP 应当数据包ip1-mac2(B的ARP缓存表ip1对应的是mac1),当B接收的这个ARP应答包时，就会自动更新ARP缓存，将ip1-mac1改为ip1-mac2，这都是B的系统自动完成，B本身不知道被欺骗。

APR缓存表
2.1.
3.2. 通过ARP应答包造成ip地址冲突
局域网中有两台主机A和B，如果这两台主机的ip地址相同，那么就会造成ip地址的冲突。

ARP协议规定，当局域网中的主机A连接网络（或更改IP地址）的时候就会向网络发送ARP包广播自己的IP地址，如果主机B的ip地址及A相同，B出现ip地址冲突警告，同时B发送ARP来reply 该地址，A收到后会发出警告。

所以可以伪造ARPreply，从而让目标主机遭受ip地址冲突攻击。

2.1.
3.3. 让目标主机无法连接网络
这其实利用了到了前面讲到的通过伪造ARP应答包来改变目标主机的ARP缓存。

如果局域网内的目标主机要联网需要达到两个条件。

一个是目标主机能把数据发送到正确的网关，第二是网关能把数据发送到目标主机。

那么我们也可以通过两种方法来进行欺骗。

一，向目标主机发送伪造的ARP应答包，其实发送方地址为网关ip，而发送方mac地址伪造。

二向网关发送伪造的ARP应答包，其实发送方地址为目标主机ip，而发送方mac地址伪造。

通过以上两种方式就能让目标主机无法连接网络。

2.1.4.ARP协议的工作原理
以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。

当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。

如
果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到目标IP地址，主机A就会在网络上发送一个广播，A主机MAC地址是“主机A的MAC地址”，这表示向同一网段内的所有主机发出这样的询问：“我是192.168.1.5，我的硬件地址是"主机A的MAC地址".请问IP地址为192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。

这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。

同时A和B还同时都更新了自己的ARP缓存表（因为A在询问的时候把自己的IP和MAC地址一起告诉了B），下次A再向主机B或者B向A发送信息时，直接从各自的ARP缓存表里查找就可以了。

ARP缓存表采用了老化机制（即设置了生存时间TTL），在一段时间内（一般15到20分钟）如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度
2.2. ARP协议的先天缺陷
APR协议高效，但不安全，它主要有三点缺陷。

一，主机可以随时随地的接收ARP应答报文，然后更新本地的ARP高速缓存，这就为ARP欺骗提供了可能性，恶意的节点可以发送虚假的ARP 应答报文，从而影响局域网通信甚至截取数据。

二，任何的ARP应答报文都是合法的，无需认证，只要是ARP应答报文主机都会接收，以至于伪造的ARP应答报文被接收。

三，主机的ARP高速缓存表是动态更新的，只要接收到新的ARP报文系统就会自动更新ARP缓存表，这样就可以被欺骗。

2.3. ARP欺骗攻击的实现过程
ARP欺骗攻击主要是向目标主机发送伪造的ARP应答报文。

举例：局域网内有三台主机A，B，C。

其中C是攻击方，A和B相互通信。

所以在A和B的ARP缓存表中就保存了一条对应的ip 到mac的映
射。

A
A：ipB-macB （发送数据给B时，就找到相对应的macB）
B：ipA-macA （发送数据给A时，就找到相对应的macA）
现在C不停的向A发送伪造的ARP应答报文。

其中发送者ip地址为ipB 而发送者的mac地址则改为macC，A接收到这个报文后，自动更新缓存表：ipB-macB被改为ipB-macC，这样A发送给B的数据全部发送给了C，从实现对A和B的监听。

2.4. ARP攻击的分类
2.4.1.欺骗主机
攻击者通过发送错误的网关mac地址给受攻击者或发送错误的终端mac地址给受攻击者，从而导致受攻击主机无法及网关或者本网段内的其它计算机终端进行通信。

2.4.2.欺骗网关
攻击者通过发送错误的终端mac地址给网关，从而导致网关无法和受攻击计算机终端用户进行通信。

2.4.
3.双向欺骗
它的基本原理是讲攻击方插入到两个目标主机主机之间，截取两个目标之间的通信数据。

举例：主机A和主机B是通信方，主机C是攻击方，现在C先A发送伪造的ARP应答报文，包括B的ip地址和C的mac地址，A收到后更新APR高速缓存，把B的mac地址改为C的mac地址。

然后，C再向B发送伪造的ARP应答报文，包括A的ip地址和C的mac地址，B收到后更新APR高速缓存，把A的mac地址改为C的mac地址。

最后主机B启动IP转发功能。

主机A及C的所有直接的通讯将经过B，再由B转发给他们。

这样主机B就成功的对网内的用户进行了ARP欺骗。

2.4.4.广泛拒绝服务攻击DOS
拒绝服务攻击DOS就是使目标主机不能正常响应外界请求，不能对外提供服务。

拒绝服务攻击主要有以下方式:
1.进攻主机响应本网段内所以的ARP应答包，然后向目标主机应答一个
虚构的MAC地址，那么目的主机向外发送的所有数据帧都会丢失，使得上层应用忙于处理这种异常而无法响应外来请求，也就导致目标主机产生拒绝服务。

2.进攻主机响应本网段内所以的ARP，然后进行应答，应答包的mac地
址为本网段网关的mac地址，那么本网段所有主机的数据都需要传送给网关进行转发，这样就造成了网关超负荷工作，从而导致网关崩溃。

3.对于采用交换机的网络，交换机自身维持着一个ARP缓存，记录mac
地址对应的端口号，但是这个缓存是有限的。

如果攻击方，发送大量的包含无效MAC地址的ARP包，就有可能造成交换机DOS，不能正常转发数据包，使得交换机所连接的所有网络中断。

2.4.5.ip地址冲突
进攻主机发送更改后的ARP报文，其包括目的主机的IP地址和伪装的MAC地址，当系统检测到两个不同的MAC地址对应同一个IP地址则会提示IP地址冲突，
使目的主机发生网络中断。

2.4.6.伪装成目标主机
进攻主机可以修改自己网络接口的mac地址，这就使得进攻主机可以伪装成目标主机。

攻击者首先对目标主机进行拒绝访问攻击，让其不能对外界做出任何反应，然后将自己的ip地址和mac地址修改成目标主机的ip 地址和mac地址，这样进攻主机就伪装成了目标主机，然后实施各种非法操作。

3.基于用户端和网络管理中心端的整体防范策略
通过以上的对ARP协议和攻击原理的详细讨论，我们发现防范ARP欺骗的最大困难在于攻击不是针对服务器或交换机系统本身，并且攻击源可以是局域网上的任一台主机，隐蔽性高，发现困难。

所以我们发现了网络遭受了攻击，但想要在短时间内定位攻击源也是比较困难的事，这就意味着像防治普通攻击或病毒那样单一的从服务器系统或者从网络网关上进行防范效果不是很好。

所以我们的整体防范策略应该从两方面入手：用户端的防范和网络管理中心端的防范。

两者相结合，对于局域网内的ARP攻击能够起到很好的防御作用。

3.1. 需求分析
针对ARP协议的工作原理和攻击方式，我们对ARP的防护提出一些基本需求。

用户端
1.能够即时发现ARP攻击，并即使清理ARP缓存表。

2.能够阻止ARP欺骗改变ARP缓存表。

3.能够阻止主机被ARP病毒感染，若感染能即时清理。

管理中心
1.能够防止非法用户进入局域网。

2.能够即时发现ARP攻击，并定位攻击源。

3.能够提前防止ARP病毒对整个局域网或局域网内特定主机进行攻击。

4.若发生了ARP攻击，能够采取相应的措施并阻止，并让局域网恢复正常。

3.2. 用户端的防范策略
3.2.1.清空ARP缓存表
如果用户端发现自己的主机遭受到了ARP攻击，那么可以通过dos命令清空本机的ARP缓存表，这样错误的ARP映射将会被删除，根据ARP协议，新的正确的ARP缓存表将重新被建立起来，但此方法不针对定时攻击的病毒，病毒每隔一段时间自动发送ARP欺骗数据包，这时使用清空ARP缓存
的方法将无能为力。

方法：在dos窗口下使用 arp –d 命令
3.2.2.设置静态的ARP缓存表
设置静态的ARP缓存表主要在网关和本地计算机上设置，是双向的。

因为ARP欺骗有欺骗路由器ARP表和欺骗计算机ARP表两种，如过只对其中一种实现静态绑定，那么攻击者这可以通过另一种方式进行ARP攻击，所以绑定是双向的，但是在经常要更换IP地址且有较多主机的的局域网里，这种方法就显得十分繁琐，工作量大。

举例：在用户端主机上设置静态ARP映射的方法。

由于网关ip一般是固定的，所有我们绑定网关ip 和网关 mac地址，首先要找到网关ip和网关mac地址。

网关ip：172.16.1.1 MAC: b8-a3-86-39 -10-16 动态
Xp下现在我们输入如下命令：arp –s 172.16.1.1 b8-a3-86-39-10-16 Win7 下我们输入如下命令：netsh -c "i i" add neighbors 29 172.16.1.1 b8-a3-86-39-10-16 （29是网络接口的idx号）
改为静态了。

如果我们需要用户端每次开机自动绑定，那么就需要建立一个x.bat文件。

文件内容就是都是写下绑定命令。

@echo off
arp -d
arp –s 172.16.1.1 b8-a3-86-39-10-16 或netsh -c "i i" add neighbors 29 172.16.1.1 b8-a3-86-39-10-16
同时需要将这个批处理文件拖到“windows--开始--程序--启动”中，以便用户每次开机后计算机自动加载并执行该批处理文件，对用户起到一个很好的保护作用。

3.2.3.设置假网关
我们知道ARP病毒一般都是读取本机tcp/ip的网关然后进行欺骗，我们人为的设置一条假网关口路由，优先级别设置很低，然后添加一条静态路由，设置真网关，并且设置执行级别比那条用来欺骗ARP病毒的那条路由的权限要高，这样一般就能反欺骗ARP病毒
网关ip是 172.16.1.1
设置方法：在dos命令窗口下，输入netsh interface ip set address name =“本地连接” gateway=172.16.1.222 gwmetric=20 （20代表最低优先级）
进行以上操作后，由于网关地址错误，所以不能上网是正常的，还要添加一条静态路由。

在dos命令窗口下输入：route add –p 0.0.0.0 mask 0.0.0.0 172.16.1.1 metric 1
其中172.16.1.1 是正确的网关地址，优先级为1最大。

通过以上设置就可以对ARP进行欺骗，如果需要开机自动执行，那么需要建立批处理文件*.bat文件，
@echo off
netsh interface ip set address name =“本地连接”gateway=172.16.1.222 gwmetric=20
route add –p 0.0.0.0 mask 0.0.0.0 172.16.1.1 metric 1
exit
同时需要将这个批处理软件拖到“windows--开始--程序--启动”中，以便用户每次开机后计算机自动加载并执行该批处理文件，对用户起到一个很好的保护作用.
3.2.
4.安装ARP防火墙
我们可以利用市面上出现的很多安全软件，他们都有防范ARP欺骗攻击的能力，并且这些软件很多都是免费的。

比如360ARP防火墙，金山ARP 防火墙，瑞星ARP防火墙。

这些防火墙操作简单，并且有较好的防御效果，对于用户端的防御是一个不错的选择。

3.2.5.其他办法
1.安装杀毒软件定期对计算机进行杀毒，降低计算机被ARP感染的几率。

2.给操作系统打补丁，防止操作系统被各种漏洞攻击。

3.关闭计算机上不需要的服务及断开计算机上。

4.关闭一些不必要的端口，打开太多的端口可能为黑客攻击提供平台，在实际应用过程中，可以尽可能多的关闭不必要的端口，保障计算机本身的安全。

5.不要随便点击打开聊天工具上发来的不明超链接信息，不要随便打开或运行陌生、可疑文件和程序等，尤其是各种可执行文件。

3.3. 网路管理中心端的防范策略
3.3.1.划分vlan
Vlan的划分需要在网络管理中心进行，对交换机进行操作。

Vlan即虚拟局域网，它是建立在物理局域网基础之上，通过支持VLAN功能的网络设备，及其管理软件构成的，可以跨越不同网段，不同网络的逻辑网络。

一般情况下，ARP广播包是不能跨子网或者网段传播的。

一个VLAN就是一个逻辑广播域，通过vlan在局域网上创建很多子网，这样广播包传播的范围大大缩小，减小了广播风暴产生的几率，同时又可以简化网络管理，提高网络性能。

如果其中一个vlan受到ARP攻击后，并不影响其他vlan 上主机的工作，同时VLAN的划分对于ARP病毒定位非常有帮助，能快速的定位受进攻的主机。

3.3.2.添加静态ARP
1.在局域网的管理设备上（交换机或路由器）手动添加静态ARP映射，这样可以防止ARP欺骗攻击，但这种方式不适于网络经常改变的局域网。

2.在局域网上设置一台ARP服务器集中进行管理，服务器保存保存和维护局域网内相对可靠主机的IP-MAC地址映射记录。

当局域网内有ARP请求时，服务器就通过查询自己的ARP缓存的静态记录并以被查询主机的名义响应ARP请求，并且服务器按照一定的时间间隔在局域网内广播正确的IP-MAC地址表。

同时，设置局域网内部的其他主机只使用来自ARP 服务器的ARP响应。

3.3.3.对ARP报文进行限速
ARP报文限速就是限制端口接受ARP报文的单位时间的数量。

当通过交换机启动某个端口的ARP报文限速功能后，交换机会统计该端口每秒内接收的ARP报文数量，如果每秒内统计到的的ARP报文数量超过设定值，则认为该端受到ARP报文攻击。

此时，交换机将关闭该端口，使其不再接收任何报文，经过一段时间自动恢复被关闭的端口的开启状态。

ARP欺骗有一个特征就是不断的发送ARP欺骗包，以达到欺骗的目的。

对于该类的广泛DOS，我们可以通过设置三层交换机的ARP报文限速避免其进攻。

3.3.
4.检测混杂模式节点
什么是混杂模式？网卡接收包时，一般有两种模式，一种是普通模式，处于普通模式的网卡只将本地地址和广播地址的数据包提交给系统。

另一种是混杂模式，网卡将所有接收的数据包都提交给系统，这时就容易被一些软件利用，如sniffer。

那么如何检测局域网内处于混杂模式的主机？我们只要向局域网内的每个主机发送mac地址为FF-FF-FF-FF-FF-FE的ARP请求，处于普通模式的节点会抛弃此数据包，而处于混杂模式的节点会接收此数据包并提交给系统核心，同时系统会作出应答，这样就可以检查局域网中是否存在嗅探器了。

3.3.5.查找ARP攻击源
1.局域网中有很多主机，当发生ARP攻击时，一个一个的检测显然很麻烦。

我们知道ARP病毒发送的是伪造的ARP报文，那么我们需要在管理中心保存可信任的IP-MAC映射表，并不断监控局域网内的ARP包，如果检测到ip-mac及可信任IP-MAC不相同时，那么就可以断定网内发生了ARP 欺骗攻击，然后再通过这个ARP包的中错误的MAC地址及可信任的IP-MAC 映射表对照查询，找到相应的ip地址，这样就定位其攻击者，并发出警告。

2.通过配置主机定期向管理中心主机报告其ARP缓存的内容。

这样中心管理主机上的程序就会查找出两台或者多台主机报告信息的不一致，以及同一台主机前后报告内容的变化。

根据这些情况可以初步确定谁是进攻者，谁被进攻者。

管理员知道后，找到该MAC地址对应的IP地址和计算机名从而找到该用户，找到连接此用户的计算机，切断其及局域网的连接，等该用户经过彻底杀毒修复系统或是重新安装操作系统后，再恢复其及局域网的连接。

3.3.6.用户认证
对于接入局域网的新用户，需要在管理中心注册。

管理中心再对新用户的mac地址进行绑定。

用户连接进入局域网时，管理中心会对用户的mac 地址进行认证，如果用户的mac地址已经过注册，则允许用户连接，反之则不允许用户连接。

采用mac认证可以防止非法的计算机进入局域网，从而防止局域网被非法用户攻击。

3.3.7.更换网络管理中心的设备
在局域网中使用能用防止ARP攻击的交换机，动态ARP监测交换机上建立了ＩＰ地址和物理地址的对应绑定关系。

动态ARP监测交换机以动态主机分配协议监听，绑定表为基础，通过动态ARP监测交换机还可以控制某个端口的ARP请求报文数量，通过这些技术可以防止ARP欺骗
在局域网中使用防止ARP病毒攻击的路由器，能很好的防范局域网中出现的各种攻击，，但是路由器价格高，资本投入较大。

3.4. 基于用户端和管理中心的整体防范策略
以上分别从用户端角度和管理中心角度讨论了对ARP攻击的防范措施，但是局域网有大有小，局域网中的用户的网络安全意识参差不齐，所以仅仅靠网管中心端或是用户端的单点防护防范方法，从根本上无法解决局域网中出现的ARP欺骗攻击问题，解决这个问题需要从整体的防范策略来考虑。

3.4.1.防范策略的可行性和合理性分析
通过分析得出结论：
网关中心：
1.网关中心采用mac地址认证的方法可行。

2.网管中心端采用VLAN划分的方法可行。

3.对ARP报文限速可行。

4.定位ARP攻击源可由软件自动完成，可行。

5.采用添加静态ARP地址表项的方法，管理员的负担较重，因为要收
集IP地址及MAC地址。

如果采用ARP服务器实施难度较大。

6.更换网管中心设备需要的设备要求高，成本高。

用户端：
由于局域网内用户的计算机基础薄弱，网络安全意识差，无法在遭受ARP攻击的情况下即时清除ARP缓存，无法在自己的计算机上实现ARP 静态绑定和假网关的设置及配置，无法强制让用户安装杀毒软件或是ARP防火墙，也无法强制用户端去进行系统升级和杀毒软件及各种木马病毒库的，所以用户端的ARP防护难度比较大。

3.4.2.整体防范策略设计
对防范策略比较，设置出整体防范策略。

网关中心：
1.网管中心需要对连入局域网用户进行mac地址认证，以确保用户合法。

2.网管中心根据实际情况划分vlan。

3.网管中心需要保存可信任的IP-MAC映射表，并不断监控局域网内的ARP
包，以即时发现ARP攻击和定位ARP攻击源。

4.对ARP报文进行限速，ARP包的速率限制要根据具体环境而设置，需要
测试后才能实施。

5.加强对服务器的管理，对服务器进行升级，杀毒，安装ARP防火墙，关
闭服务器上不必要的端口和不必要的服务，保障服务器的安全，防止服务器及网络设备遭到ARP攻击，增加带宽限制及流量控制设备。

用户端：
由于大多数使用局域网的用户都对计算机知识不甚了解，所以用户对计算机安全的意识比较低，所以，我们应该加强对用户的培训。

同时，我们需要提醒用户需要加强对计算机的安全保护措施，安装杀毒软件定期杀毒，安装比较好的ARP防火墙。

通过以上的方式，相信可以对局域网中ARP欺骗攻击的防范，取得较好的效果。