检测ARP欺骗攻击比较有效的方法主要有两种，一种是在局域网内部使用抓包软件进行抓
包分析、另一种是直接到到三层交换机上查询ARP表，这两种方法各有优缺点，具体分析如下：

1、抓包分析
方法——使用抓包软件（如windump、sniffer pro等）在局域网内抓ARP的reply包，以windump为
例，使用windump -i 2 -n arp and host 192.168.0.1(192.168.0.1是您的网关地址）抓下来
的包我们只分析包含有reply字符的，格式如下：
18:25:15.706335 arp reply 192.168.0.1 is-at 00:07:ec:e1:c8:c3
如果最后的mac不是您网关的真实mac的话，那就说明有ARP欺骗存在，而这个mac就是那台进行
ARP欺骗主机的mac。
                        
优点——简单易行，无需特别权限设置，所有用户都可以做，误判率较小！

缺点——必须在局域网内部（广播域内部）听包才有效。

2、三层交换机上查询ARP缓存表
方法——登陆局域网的上联三层交换机，并查看交换机的ARP缓存表（各种品牌的交换机命令有差异）
如果在ARP表中存在一个MAC对应多个端口（请注意是一个MAC对应多个端口，而不是一个端口上
存在多个MAC）的情况，那么就表明存在ARP欺骗攻击，而这个MAC就是欺骗主机的MAC。

优点——可以远程操作，无需到局域网内部，可以通过脚本来自动分析。

缺点——需要特殊权限，普通用户无法进行操作。


ARP欺骗的控制方法

1、主机静态绑定网关MAC
方法——使用arp命令静态绑定网关MAC，格式如下：
arp －s 网关IP 网关MAC
如果觉得每次手动输入比较复杂，您可以编写一个简单的批处理文件然后让它每次开机时自动运行，
批处理文件如下：
-----------------------------------
@echo off
echo "arp set"
arp -d
arp －s 网关IP 网关MAC
exit
------------------------------------

优点——简单易行，普通用户都能操作

缺点——只能单向绑定。需要跟网关绑定MAC结合使用。

2、网关使用IP+MAC绑定模式
方法——交换机启用静态ARP绑定功能，将用户的IP与MAC进行静态绑定，防止ARP欺骗发生。

优点——效果明显

缺点——操作复杂，工作量巨大。无法保证主机端不被欺骗，需要与主机端绑定网关MAC结合使用。

3、使用ARP服务器
方法——在局域网内架设ARP服务器，替代主机应答ARP包。

优点——效果明显

缺点——配置复杂，需要改变客户端设置。成本高，需要大量的服务器。

4、使用防ARP攻击的软件
方法——下载和使用防ARP攻击的软件，如ARPFix或者是AntiARP等。

优点——简单易行

缺点——需要用户端都安装，无法保证网关不被欺骗。

总结：因为ARP欺骗利用的是ARP协议本身的缺陷，所以到目前为止，我们依然没有一个十分有效
的方法去控制这种攻击。目前难点主要集中在网关交换机上，我们还没有找到一个很有效
的方法来防范网关上的ARP列表不被欺骗修改。所以当前最有效的办法还是迅速阻断这种攻击的来源。
这就要求能够快速检测到攻击并定位出攻击主机位置后加以处理。