Uma estratégia para impedir um invasor man-in-the-middle é restringir o pacote de ARPs aceito apenas àqueles que precisam do roteador.
Quais são as regras de arptables para restringir os ARPs aceitos somente ao meu roteador com MAC conhecido?
O pacote ARP gerado com o seguinte comando da máquina atacante deve ser removido:
arpspoof -i wlan0 -t <Victim IP (me) > < gateway IP >
PS: Estou ciente de que o IGMP também pode ser usado para rotear o pacote para o invasor.
# Block ARP traffic from and to all machines (default: DENY)
arptables -P INPUT DROP
arptables -P OUTPUT DROP
# Allow router (fixed ARP)
arptables -A INPUT --source-mac <ROUTER_MAC> --destination-mac <USER MAC> -j ACCEPT
onde <ROUTER_MAC> é o mac do roteador de sub-rede.