二、 ARP欺骗阻断的不足

　　首先，采用ARP欺骗阻断方式对网络的负荷影响很大。

　　ARP工作时，首先请求主机会发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC地址的数据包应答请求主机。在ARP欺骗阻断的实现中，一个ARP请求可能会收到数十个、设置数百个ARP应答，有些ARP欺骗阻断程序还通过主动发ARP请求实现欺骗，因此，在网络中采用大量发ARP包的动作对于网络资源的占用是十分巨大的，可能导致网络设备性能下降，影响用户正常的业务。

　　其次，ARP欺骗阻断方式准入效果不可靠。

　　ARP欺骗并不能100%保证有效，比如目标机器的ARP应答包和欺骗包都能正确达到ARP请求者，请求者是否被欺骗还存在一定的机率，或者客户端安装了防ARP欺骗的软件，如果采用ARP欺骗包来实现终端设备的准入控制，效果就可想而知，其自身的缺陷，使得准入的可靠性大为降低。

　　最后，ARP欺骗阻断和真正的ARP欺骗难以区分。

　　在一个网络内如果启用了ARP欺骗阻断，当真的发生ARP欺骗时，后果将是灾难性的。用户将不能区分主动的ARP欺骗阻断和真正的ARP欺骗，将给用户的故障排除带来极大的困难，严重影响用户业务。另一方面，在大多数的ARP欺骗阻断实现中，往往是子网内的所有电脑同时对目标电脑进行欺骗，如果目标电脑无需受欺骗后，要求所有电脑停止对其进行欺骗，而此时如果个别电脑没有收到停止欺骗的指令，将导致目标电脑持续不能正常访问网络，导致用户运维事故。