ARP协议的安全威胁问题解决技巧(3)

我们给出如下一些初步的防御方法。

（1）不要把你的网络安全信任关系建立在IP地址的基础上或硬件MAC地址基础上，（RARP同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。

（2）设置静态的MAC→IP对应表，不要让主机刷新你设定好的转换表。

（3）除非很有必要，否则停止使用ARP，将ARP作为永久条目保存在对应表中。在Linux下用ifconfig -arp可以使网卡驱动程序停止使用ARP。

（4）使用代理网关发送外出的通信。

（5）修改系统拒收ICMP重定向报文。在Linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。在Win 2000下可以通过防火墙和IP策略拒绝接收ICMP报文。