Como o tráfego ARP não atravessa roteadores, os ataques baseados em ARP só funcionam quando o invasor tem o controle de um sistema dentro de sua LAN. Suas primeiras linhas de defesa devem se concentrar em mantê-las fora, tanto digital quanto fisicamente.
Para realizar a maior parte dos danos Ataques baseados em ARP , o atacante deve instalar um dispositivo na rede para receber o tráfego que o falsificador deseja. Caso contrário, eles estão limitados ao DOS de serviços internos (apenas mexendo com a entrega de mensagens) e oportunidades de sniffing criadas pelo ataque ao switch ARP tabelas (chamado mac / arp flooding, ou cache poisioning). Considere isolar qualquer rede wifi, usando VLANs , ou outras estruturas que dividem a rede na camada 2.
Uma solução comum e infalível é tabelas arp estáticas , Se o seu equipamento suporta-los, mas eles são muito dolorosos para gerenciar, na medida em que eles devem ser reconfigurados com todas as mudanças na sua topologia de rede.
Outra solução mais viável, mas menos aplicável, é DHCP Snooping , que permite que as redes controladas por DHCP ignorem atualizações de ARP não corresponde às informações no servidor DHCP da rede. esse recurso é suportado em Dispositivos Cisco sob o nome Dynamic ARP Inspection .
O utilitário Linux ARPWatch pode monitorar alterações ARP em pares IP / MAC e reportá-los. Isso pode ser estendido para resposta automatizada, se necessário , como o desligamento do sistema, o bloqueio de IPs afetados no IPTables, etc.
Infraestruturas de comutação avançadas permitem várias configurações que ajudam a derrotar a falsificação, incluindo a limitação do número de endereços MAC por interface (1 para ser preciso) e a capacidade de criptografar digitalmente e assinar tráfego de rede entre sistemas críticos usando IPSEC com certificados para identidade.