▲

　　大家要清楚如果一个错误的记录被插入ARP或者IP route表，可以通过两种方式来删除。首先是使用arp –d host_entry;其次是自动过期，由系统删除。

　　知道了原因我们可以采取一些方法：

　　1、减少过期时间

　　#ndd –set /dev/arp arp_cleanup_interval 60000

　　#ndd -set /dev/ip ip_ire_flush_interval 60000

　　60000=60000毫秒 默认是300000

　　这样就能够加快过期时间，但并不能避免攻击，只能够使攻击更加困难，带来的影响是在网络中会大量的出现ARP请求和回复，不要在繁忙的网络上使用。

　　2、建立静态ARP表

　　建立静态ARP表是一种很有效的方法，而且对系统造成的影响不大;缺点是破坏了动态ARP协议。我们可以通过建立如下的文件来实现：

　　test.nsfocus.com 08:00:20:ba:a1:f2

　　user. nsfocus.com 08:00:20:ee:de:1f

　　使用arp –f filename加载进去，这样的ARP映射将不会过期和被新的ARP数据刷新，除非使用arp –d才能删除。但合法主机的网卡硬件地址如果发生改变，就必须手工刷新这个arp文件。这个方法并不适合于经常变动的网络环境使用。

　　3、禁止ARP

　　我们可以完全禁止ARP，通过ipconfig interface –arp命令，这样网卡就不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表，如果不在ARP表中的电脑 ，将不能通信。这个方法不适用与大多数网络环境，因为这增加了网络管理的成本，但对于小规模的安全网络来说，还是有效可行的。

　　总结：目前ARP病毒攻击可以说是层出不穷，已经不能单纯的依靠传统的方法去防范，比如简单的绑定本机ARP表，我们需要深入的去了解ARP攻击的原理，才能够对症下药，分析并解决ARP欺骗的问题。