二．传统的防止ARP欺骗的方法介绍

　　通过建立静态ARP表并且禁止某个网络接口做ARP解析来对抗ARP欺骗攻击．
在solaris系统或者linux系统下，通过编辑/etc/static-arp-entry文件，输入类似内容：

192.168.0.1 MAC1 192.168.0.3 MAC3

    在/etc/re2.d/S69inet启动脚本中加入/usr/sbin/arp-s-f/etc/static-arp-entry这条命令就设定了静态ARP表，破坏了动态ARP解析过程。但是，Solaris系统下的静态ARP表项可以被动态刷新，仅仅依靠静态ARP表项并不能对抗ARP欺骗攻击，Solaris系统中静态ARP表不会过期，相反纵容了ARP欺骗攻击，因为虚假的静态ARP表项不会自动超时消失。为了对抗ARP欺骗攻击，对于Solaris系统来说，应该结合“禁止相应网络接口做ARP解析”和“使用静态ARP表”的设置。在/etc/rc2．d/S69inet启动脚本中加入,/sbin/ifconfig netif- arp命令，netif接口不会发送和接收ARP报文，通过配合使用静态ARP表来完成正常网络通信．这种方法充分地防止了ARP欺骗，但是对网络影响较大，破坏了动态ARP解析过程，使局域网的灵活性降到了相当低的程度，局域网中随时加入一台主机都必须在主机上加入相应的静态ARP表项。怎样才能保证在防止ARP欺骗的同时又保持局域网的较大灵活性呢?下面，就来讨论一下在ARP输入模块中加入控制代码防止ARP欺骗的实现．