【轉】談談arp欺騙的那點破事

（一）ARP 工做原理、ARP 攻擊分析敘述：

隨着網絡設備在接入市場的應用也愈來愈多；同時遇到的問題也愈來愈多樣，其中最讓人頭疼的就是ARP的問題。

衆所周知，ARP的基本功能就是在以太網環境中，經過目標設備的IP地址，查詢目標設備的MAC地址，以保證通訊的順利進行。但因爲ARP的廣播、動態學習等特性註定了它不是一種安全的協議，因此在實際應用中，會因爲各類各樣的緣由使ARP學習失敗，從而影響網絡的互通性，並進而影響用戶的業務穩定運行。

因爲ARP處於數據鏈路層，處於整個OSI開放式七層模型的倒數第二層，因此除了HUB等極少數的、幾乎全部跟以太網接口有關的設備，都涉及到ARP處理的問題。若是ARP問題處理很差，帶來的影響也是很是巨大的。

在整個internet網絡體系中，網絡設備主要分爲兩類：一類就是安裝有各類操做系統平臺的PC、服務器等host；而另一類就是負責網絡互聯的路由器、交換機、防火牆等數據通信設備。這些設備因爲自身所處的網絡位置的不一樣、安全穩定程度的不一樣、服務的不一樣，在ARP機制的處理上也不盡相同，固然本文不是要全面闡述ARP的原理和實現，只是但願可以說明並解決或規避在咱們的應用環境中出現的問題――咱們考慮的範圍是Win2K/XP主機和路由器、交換機。

1 ARP 基礎知識

通常的，正常的ARP過程只需ARP Request和ARP Response兩個過程，簡單的說就是一問一答，以下：

這記錄了局域網內一臺IP爲192.168.19.180的PC與網關設備（IP爲192.168.1.6）之間的ARP交互，該PC發送請求以後，在0.000434秒以後，網關設備作出了迴應，此時路由器就學習到了對方的ARP信息：以下：

咱們關注的是ARP的過程，而不是結果；來看一下ARP Request：

從 [Ethernet Header]能夠看出，ARP請求的目標地市是全F，也就是廣播地址；由於在請求以前，本PC不知道對方的MAC地址，爲了確保ARP Request可以讓對方收到，以廣播形式方式是很天然的選擇。在 [ARP]中能夠看到，發送的源IP和源MAC都是本PC的網卡設置值，這是已知參數；目的IP地址是我要請求的地址，而目的MAC地址是全0，用於表示本PC不知道該參數，暫時忽略/ignore。

網關設備在收到ARP Request以後，會首先讀取Sender的IP和MAC地址，並在存入本身的緩衝中，以備後用。由於ARP請求畢竟是廣播性質的，若是每次通信都要完成一個ARP的流程，對於以太網的壓力是很是巨大的，爲了儘量減小這種廣播的負面影響，這裏引入了緩衝機制，這就是ARP Table。

ARP Response又是怎樣迴應的呢？

先看 [Ethernet Header]，能夠看到以太網目的MAC地址爲PC的MAC地址，由於網關設備只要把迴應的信息發送給請求者便可，局域網內的其餘主機是沒有必要同步知道的，這很好理解。在 [ARP]中，網關設備把本身的MAC地址填充在ARP Response中，發送給原請求者。

固然收到ARP Response以後也會把這個ARP信息緩存下來，這樣一個ARP的過程就完成了。從中能夠看出，不管是哪方先發起ARP Request，最終雙方都會獲得對方的MAC地址信息的。這也是處於減小網絡上沒必要要流量的考慮。

2 免費 ARP

整個ARP的體系裏基本上就是由ARP Request和Response組成的，從上面的描述中，能夠看出Request就是告知對方「我要什麼」，而Response是回答「我是什麼」。但有些時候也會例外，他們雖然從形式上仍是Request和Response的，但它們一般不會不是一問一答的，而是隻有其中的一部分，因此一般被稱爲免費ARP或無爲ARP（Gratuitous ARP）。

從做用而言，它們主要是能夠分爲兩類：

一、以ARP Request的形式發送廣播，請求本身的MAC地址，目的是探測局域網中是否有跟本身IP地址相同的主機，也就是常說的IP衝突，以下：

正常狀況下，這樣的報文是不會有回覆的，若是有，則說明有衝突發生。

二、以ARP Response的形式發送廣播，它一般只是爲了把本身的ARP信息通告/更新給局域網全體，這種Response不須要別人請求，是本身主動發送的通告。報文結構以下。

這兩種ARP幀雖然都是廣播發送的，但目的不一樣，從幀結構上來講，前者注重的是Target Internet Address，然後者注重的是Sender Hardware Address和Sender Inteernet Address。

RG NBR系列路由器就採用上述第二種方式來發布本身的免費ARP，來防止網內PC機被其它中毒機器惡意修改其ARP Cache中保存的網關正確MAC地址信息；

3 觸發 ARP動做的事件

固然，若是windows的應用須要經過IP與別的IP地址進行通信，並且本機ARP Table中沒有對方的相應cache時，就會觸發ARP自動學習。

另外，經過實驗觀察，咱們發現Wind2K/XP在設置/修改IP、網卡禁用/啓用、網線拔插、系統重啓的時候，都會連續發送三次免費ARP Request，目的顯然是爲了判斷網絡上是否存在IP地址衝突。

對於RG Routers和Layer 3 Switch來講，若是存在上層IP通信，那麼天然須要觸發ARP學習過程，這一點跟windows是徹底相同的。

在以太網端口設置/修改IP時，路由器、Layer3 Switch會自動發送免費ARP Request報文來探測是否有IP衝突；而在端口shut/no shut、端口線纜拔插、系統重啓的時候，路由器又會自動發送免費ARP Response報文，用以把本身的ARP信息通告全體主機。

同時，不管是那種免費ARP，路由器、Layer 3 Switch都只發送一次。

很顯然，windows的ARP觸發事件跟路由器、Layer 3 Switch是有差異的：

一、Windows/PC做爲網絡上的一個主機，它可能只是跟少數的幾個PC進行信息交互，因此它在非必要狀況下不（經過免費ARP Response）把本身的ARP信息廣播給全部主機是合理、也是明智的。路由器、Layer 3 Switch雖然不直接參與應用層的處理，但它一般是一個局域網的網關，肩負則全部主機的數據轉發任務，也就是說幾乎全部的主機跟路由器、Layer 3 Switch之間都會存在ARP交互，與其被動的響應ARP請求，還不如主動的把本身的ARP信息廣播給全部主機，這對於下降路由器、Layer 3 Switch的工做負荷、減小網絡帶寬佔用都是有好處的。

二、從免費ARP報文的發送數量來看，Windows發送的免費ARP都是3次，這有利於確保對方成功收到，同時也有利於減小其餘主機的免費ARP干擾；而RG路由器、Layer 3 Switch僅僅發送一次，並且任何狀況都再也不重複，這顯然是不夠的。

4 異常狀況下的 ARP處理機制

常見的局域網異常情況有：IP地址衝突、MAC地址冒用、ARP欺騙等，極端狀況下還可能IP+MAC同時冒用，下面咱們就來具體分析。

4.1 IP 地址衝突

一、網關Router設置IP成某PC的地址

有些時候，如用戶網絡使用windows作代理（NAT），如今要用一個路由器 、Layer 3Switch（IP地址與網關windows相同）來替換當網關；當二者共存時，就會出現Windows IP地址與路由器、Layer 3 Switch衝突的狀況。固然還有其餘的可能性。

這裏，若是路由器、Layer 3 Switch是調試完以後接入局域網的，按照前面的描述，RG路由器、Layer 3 Switch直接發送1個免費ARP Response，這樣就強制局域網內的PC學習到路由器、Layer 3 Switch SVI接口的ARP信息，此時原有Windows網關沒有任何響應，工做也正常；但此時局域網內的PC關於網關IP的ARP內容卻發生了改變，路由器、Layer 3 Switch的SVI接口成爲了實際意義上的網關。

若是路由器、Layer 3 Switch是接入局域網以後纔開始配置和調試的，那麼路由器、Layer3 Switch SVI接口設置IP以後會先發送1個免費ARP Request報文，探測有無地址衝突，若是有，則強制發送免費ARP Response；此時Windows主機提示地址衝突，網卡變爲不可用狀態，而路由器、Layer 3 Switch SVI接口則成爲了實際的網關。

二、Windows設置IP成網關路由器、Layer 3 Switch SVI的IP地址

在網吧、企業網環境中，上點後，路由器工做正常，局域網中的PC學習到的網關ARP信息就是路由器、Layer 3 Switch對應端口的IP和MAC；假設此時內網中有一個Windows PC修改本身的IP地址，不慎和網關IP衝突，會發生什麼呢？

從這個抓包狀況看，PC修改IP以後，發送免費ARP Request，看是否有地址衝突，這顯然是有的，從第二個包就能夠看出來，RG Router、Layer 3 Switch SVI回覆了一個ARP Response；此時PC桌面上提示IP地址衝突，網卡處於不正常工做狀態，用戶通常會修改IP地址再次嘗試；

而緊隨其後的是，路由器、Layer 3 Switch發送了1個免費ARP Request包，用來判斷衝突是否繼續存在？固然因爲Windows對於網卡的管理，致使衝突自動消失，路由器、Layer 3 Switch也就再也不有後續動做了。但若是此時衝突繼續存在呢？從上面的實驗來看，路由器、Layer 3 Switch會強制發送1次免費ARP Response，用以讓局域網的主機確認，我纔是真正的網關。

顯然，應付普通的非惡意的IP地址衝突，路由器、Layer 3 Switch現行的機制應足夠了。

4.2 MAC 地址冒用

無論是處於什麼目的，用戶可能經過某種手段從新燒錄本身網卡的MAC地址，若是這個地址正好和路由器、Layer 3 Switch的網關IP相同，會出現什麼狀況呢？

因爲條件的限制，這個實驗沒有作成，但咱們能夠分析一下：

根據前面的分析，網絡設備是經過發送免費ARP Request報文，查詢本身IP的對應MAC地址來確認是否存在衝突的，在單純的MAC地址冒用的狀況下，上述機制是探測不到任何異常的。

可是當兩個設備的MAC地址相同時，最直接的影響就是局域網交換機（一般爲二層）的MAC Table中，有兩個端口學習到的MAC地址是徹底相同的，這有點相似環路發生的現象；但這確實不是環路，由於交換機生成樹的BPDU報文不可能從其中的一個端口發出，從另一個端口收到，因此STP是探測不出什麼的，也就是說這兩個端口仍是會正常工做的。

此時交換機會作的就是，把發往該MAC地址的以太網幀同時發送到兩個端口上，以求儘量的數據丟失；這看起來有點象「端口鏡像」。

看來，單純的MAC地址冒用/衝突是不會到路由器、Layer 3 Switch形成什麼直接的影響的，不過它會把全部通過網關路由器的流量複製一份到某個特定的端口，若是這個端口鏈接的某個主機別有所圖的話，後果仍是很嚴重的。不過這屬於信息安全的範圍了，這裏再也不詳細討論。

4.3 ARP 欺騙

ARP自動學習的目的，就是通信的雙方主機互相請求/告知MAC地址，並以此完成二層的以太網幀交換，因爲通信的雙向性，很顯然若是任何一方的ARP信息是空或者錯誤的，那麼通信就會失敗。而ARP欺騙的目的就是頻繁的發送錯誤消息欺騙網絡通訊的任何一方，最終致使不能正常通訊。

那麼怎樣防止ARP欺騙呢？從根本上說就是雙方的IP-MAC地址對應信息要正確，以前咱們說過，ARP是自動學習的，是經過ARP Request和Response報文的交互，由別人告知的，正是這個特性讓ARP欺騙有了可乘之機，顯然最有效的方法就是不採用「學習」機制，如今不少設備廠商都是這麼實現的，但配置靜態ARP工做量很是大，後期維護也極不方便，假設局域網內主機數量爲N，那麼最少要配置的ARP條目有N+(N-1)=2N-1個；若是N=200，也就是說最後總共要配置400條，這還不算原始IP、MAC地址信息的收集、校對和維護工做。若是要全網ARP綁定的話，總條目可達N(N-1)，那就更驚人了。

是否能夠避開靜態ARP綁定這種煩瑣的方式呢？對Windows主機是沒有辦法的；但咱們能夠從路由器、Layer 3 Switch上着手，要回答這個問題，首先要弄清ARP欺騙的具體過程，先看實驗拓撲結構：

因爲很難找到合適的病毒重現真正的ARP欺騙，咱們採用安裝聚生網管（也叫Netsense、P2P終結者）來模擬，其實現的基礎就是進行ARP欺騙。

在這個環境中，使用路由器做爲網關，進行NAT操做，內網中鏈接兩個PC，其中一臺安裝聚生網管，進行ARP欺騙。開始時，PC的ARP表中192.168.1.6對應的MAC地址是正確的，而後啓動聚生網管，來看看現象：

一、第一階段，ARP Cheater會發送大量ARP Request來逐個掃描內網中的PC：

正常狀況下局域網PC會迴應ARP Request，ARP Cheater就是靠這個來確認並收集內網中已經啓動的PC的，並在本地造成一個數據庫。

二、第二階段，Cheater就開始進行實質的欺騙了，其過程爲就是向真實網關和PC同時發送免費ARP Response，強行更新其ARP Table。

其中，發送給PC的爲：

顯然，Cheater強行通告給PC的ARP內容是錯誤的，由於00-0D-60-8C-0D-C9和192.168.1.6分別是Cheater的MAC地址和路由器的網關IP。

其次，發給網關路由器的爲：

在這個信息中，00-00-E2-58-AC-EA和192.168.1.158都是對應的普通PC，是一個正確的信息，Cheater代替PC向網關發送ARP強制更新信息，是爲了確保通信可以正常完成。

欺騙完成以後，局域網中的全部PC都根據錯誤的ARP信息把數據包發給ARP Cheater，Cheater再經過路由器轉發到公網真正的服務器上；當數據包從公網返回到路由器以後，路由器會把數據包直接返回到PC，中間再也不通過ARP Cheater（若是須要，也能夠通過ARP Cheater），參閱前面的拓撲結構圖。

這樣，ARP欺騙就完成了，PC上面關於網關的ARP信息發生了改變；不過爲了「鞏固」成果，聚生網管每隔2秒再次進行欺騙。

固然，聚生網管不算是一種病毒、木馬或者惡意程序，只是它利用了ARP欺騙，把全部的局域網全部的主機流量都導入的本身的網卡上，籍此，聚生網管就能夠進行相應的過濾和限制了。

如今比較流行的竊取密碼的木馬程序就是按照這個原理來實現的，固然密碼只是在用戶登錄的時候才輸入的，因此木馬程序會故意讓本身的網卡失效又馬上恢復，此時，內網的用戶覺得是網絡質量很差掉線，接着就是從新登錄、輸入密碼……

上面兩種狀況雖然是ARP欺騙，但多數時間網絡仍是正常運行的；若是隻是要讓網絡中斷，那麼ARP Cheater只需頻繁發送免費ARP Response便可，固然裏面包含的Sender Address是錯誤的。

4.4 如何應對 ARP欺騙？

前面提到，ARP欺騙可能會欺騙網關路由器或者內網的PC，下面咱們就分這兩種狀況來分析一下。

4.4.1 避免 ARP欺騙PC

要找到應對方法，必須先識別出ARP欺騙的特色：

一、ARP欺騙發生時

不管出於什麼目的， ARP欺騙最開始、也是最關鍵的一步就是經過免費ARP Response信息，發送錯誤的網關ARP信息給局域網主機，其方法不外乎兩種：

n 在本網段首先發送大量的ARP Request掃描，經過Response報文收集當前活動的主機，隨後給每一個主機發送免費的ARP Response；在這種狀況下，路由器只能看到從一個固定的MAC地址發出大量ARP請求廣播，並且這個過程可能會週期性重複。

n 第二，ARP Cheater不須要逐個找局域網的主機IP，它直接冒充網關，經過免費ARP Response廣播通告全網；在這種狀況下，路由器上應該能夠觀察到免費ARP Response報文，其Sender Internet Addr信息就是本身的IP地址，並且從上面的實驗中能夠看到，這種免費ARP Response廣播報文是很是頻繁的。

不管是那種狀況，其目的都是欺騙PC，路由器雖然可能經過某些特徵判斷ARP欺騙的發生，可是根本沒法制止，由於路由器對該PC是沒有控制權的。

二、ARP欺騙發生後

ARP欺騙發生後的狀況是怎樣呢？固然是PC的ARP表被篡改了，固然咱們能夠經過手工方式來清除ARP表項從新學習，但ARP欺騙是不斷的重複進行的，人工維護的工做量恐怕遠遠大於前面說的「靜態ARP」，顯然可行性爲零。

既然手工方式不行，那麼自動方式怎麼樣呢？跟ARP Cheater同樣，咱們能夠考慮讓網關路由器或者其餘專用主機來發送免費ARP廣播，把正確的網關ARP信息通報給全網。若是網內的ARP欺騙不是很頻繁，這種是方法可行；但若是象聚生網管這樣的狀況，ARP欺騙爲每2秒一次，要讓PC的ARP表正確，路由器或專用主機發送的免費ARP Response廣播必須更頻繁，即使如此，內網PC的ARP表可能還會處於頻繁變更的過程當中，致使其正常通信也會隨之而產生丟包狀況，同時整個網絡上會所以而充滿大量的以太網廣播，我想這事誰也不肯看到的。RG Router的內網口上 arp gratuitous interval xx 的配置實際上就是按期向網內發送 arp Response；

綜上，能夠得出結論，對於內網主機的ARP欺騙，做爲路由器自己基本上是無能爲力的，至少效果很是有限。因此在對付ARP欺騙的時候，PC仍是乖乖的進行靜態ARP綁定措施。好比在PC機上配置autoexec.bat批處理文件：

@echo off

Arp –d

Arp –s 192.168.1.1 00-d0-0f-23-44-89

使得在PC機上可以靜態綁定網關的正確MAC地址，防止網關欺騙；

在RG 2126G交換機上能夠採用在端口下，anti-arp-spoofing ip xxx.xxx.xxx.xxx

xxx.xxx.xxx.xxx是網關地址；RG 2126G將阻止源IP是本網段網關地址的報文從這個端口進入；達到防止該端口上鍊接的PC發出對其它PC進行網關欺騙的ARP Response、ARP Request報文；

4.4.2 避免 ARP欺騙路由器

跟PC的狀況不一樣，因爲路由器、Layer 3 Switch是一款三層設備，幾乎沒有什麼上層應用會跟內網主機直接通信，因此它的ARP表項一般不是主動請求得到的，而是被動學習到的，好比收到ARP Request或者免費的ARP Response前者是正常狀況，不在咱們討論範圍以內；然後者就是ARP Cheater欺騙網關路由器的手段。

仍是分爲兩個階段來分析：

一、ARP欺騙發生時

一般狀況下下，ARP Cheater是經過單播性質的免費ARP Response把錯誤的主機ARP信息強制通告路由器、Layer 3 Switch的，並且因爲內網的主機數量衆多，路由器、Layer 3 Switch每次會收到大量的免費ARP Response單播報文。它們的Sender Internet Addr分別是局域網的主機IP地址，可是Sender Hardware Addr卻都是ARP Cheater的網卡MAC地址。

顯然，路由器、Layer 3 Switch徹底能夠經過免費ARP Response報文的特徵來肯定欺騙是否發生，但當肯定的同時，ARP欺騙的結果是已經形成了的。

二、ARP欺騙發生後

因爲路由器、Layer 3 Switch的ARP表項是被動學習的，因此在ARP欺騙發生以後，路由器、Layer 3 Switch必須本身主動的去查詢正確的ARP信息，方法恐怕只有一種：就是根據現有ARP表項中的IP地址列表，強制性的逐一發送ARP Request，經過對方的Response信息來更新校訂本身的ARP Table。顯然這個工做量是很大的。尤爲是在ARP Cheater的欺騙很是頻繁的時候，路由器、Layer 3 Switch的ARP「自我校訂」機制顯得太蒼白無力了。

4.5 應對 ARP欺騙的其餘方法

從前面的分析來看，單純的經過ARP機制自己來防止ARP欺騙，幾乎是不可能完成的任務。那麼還有什麼方法來避免呢？

4.5.1 硬件角度

路由器畢竟是一種三層設備，對於ARP二層協議的支持和處理老是有限的；咱們是否能夠從局域網交換機來入手呢？

由於ARP發生以後的結果（錯誤的ARP信息）是存儲在網關路由器和主機中的，跟交換機沒有任何關係，因此要經過交換機來處理，重點就是一個字：「防」。從前面的分析來看，不管怎樣欺騙，其關鍵的特徵就是發送免費ARP Response報文，並且ARP字段的Sender信息與其自身MAC地址不相符合，若是二層以太網交換機可以進行ARP報文合法性的判斷，那麼就天然能夠進行相應的屏蔽了；

這個技術看起來不是很難事先，但涉及到交換機ASIC芯片的支持和軟件功能的增長，其可行性和性價比還須要考證；同時須要把寬帶路由器和交換機做爲一個總體推給使用者。如今銳利網絡在網吧等寬帶市場中的路由交換一體化解決方案就是基於這個原理的。

這種思路應該能夠從源頭上解決ARP欺騙的發生，但對於交換機的要求比較高，不只是功能方面，還同時涉及到性能、穩定性和性價比等特性。

在RG 2七、29系列交換機上就是從硬件架構上進行設計，使得交換機可以根據報文類型，好比對報文類型Type是0X0806的ARP報文會檢查其Source IP和Source MAC，根據在該端口上綁定的IP地址與相應的MAC地址來將攻擊者的欺騙性ARP Response過濾掉，從而達到從根源上防止了ARP Attacking的實現；

4.5.2 軟件角度

單純的利用ARP特性是解決不了ARP欺騙的問題的，那麼在軟件上還有什麼出路呢？方法仍是有的，能夠看一下艾泰的解決方案：

既然ARP欺騙最終影響的是ARP表項的內容，而表中的內容又是動態學習的，因此ARP機制纔不安全，那麼我爲什麼不摒棄ARP自動學習這種機制呢？固然咱們說的不是進行手工靜態ARP綁定。其具體處理方法是把ARP表項的相關信息放到NAT的表項中一塊兒處理。

原來NAT表項中的主要內容有：NAT轉換前源IP地址、轉換前源TCP/UDP端口、轉換後源IP地址、轉換後TCP/UDP端口、目的IP地址、目的端口等6項信息，而轉換前IP地址和MAC地址的對應關係是靠ARP的動態學習機制來實現的。

如今，NAT表項的內容調整爲：NAT轉換前源IP地址、 轉換前源 MAC 地址、轉換前源TCP/UDP端口、轉換後源IP地址、轉換後TCP/UDP端口、目的IP地址、目的端口等7項信息。這個新增長的源MAC地址能夠不做爲NAT判斷的依據，其做用是讓數據包從公網一側回到路由器，通過NAT轉換以後，可以送回到正確的PC主機。

那麼如何才能保證PC主機的數據包不受ARP欺騙的影響，正確的送到路由器呢？很簡單，進行手工的靜態ARP綁定。前面分析過，對於ARP欺騙PC主機的狀況，路由器是無能爲力的。

這樣，PC能夠根據靜態（正確）的ARP信息把數據包發到網關路由器，路由器在記錄必要的信息轉存爲NAT cache的時候，把該以太網幀的源MAC地址也異同記錄，寫到NAT cache中，做爲數據包返回時的參考。

這種方式的優勢是不用一來交換機，避免ARP的欺騙，但PC主機仍是須要進行手工的ARP綁定。能夠說這是「硬件角度」的一種折中方案。其缺點是NAT存儲和判斷的因素較多，必然影響性能；並且這種機制只能避免PC和路由器之間的通訊免受ARP欺騙的干擾，對於PC與PC之間的通信則無能爲力了。

4.5.3 消極角度

什麼是消極角度？簡單的說就是沒有辦法了，我不用ARP了，那麼在以太網中怎麼通信？PPPoE！在理論上，這的確能夠徹底規避ARP的問題，但在實際應用的時候，須要讓路由器來充當PPPoE服務器，這樣全部局域網通信的流量都要通過路由器進行三層轉發。對於路由器的處理壓力可想而知――不過確實有這種網絡的實際案例，好比ISP的運維辦公網，但他們使用PPPoE的目的更重要的是爲了網絡信息安全和管理。

4.6 建議

對於ARP欺騙，僅僅從ARP自己恐怕是沒有什麼好的解決方案的，要解決或避免ARP欺騙的問題，須要動一番手術的。

而對於普通的ARP衝突，我到時以爲還能夠增強一下：

u 路由器、Layer 3 Switch在確認網絡中有IP衝突後，會馬上發送1個免費ARP Request，用以肯定衝突已經消失，若是衝突繼續存在，則強制發送1個免費ARP Response。

ü 是否能夠考慮延時一個時間段再發送免費ARP Request？用以免Windows主機沒有及時處理處於「非正常」狀態的狀況；

ü 其次，若是衝突繼續存在，發送1次ARP Response；更合理的應該是重複進行免費ARP Request探測，衝突存在則強制進行免費ARP Response通報，直到衝突消失。

4.7 總結

在主要的兩類ARP問題中，通常的非惡意地址衝突不會對路由器、Layer 3 Switch形成實質性的影響。而對於各類目的的ARP欺騙機制，不管是從預防仍是後期干預上，路由器都沒有直接有效的手段？

雖然如今可使用雙向的靜態ARP來避免ARP欺騙帶來的影響，但就實施和後期的維護來看，都很是的不方便，並且也何嘗容易出錯。

比較好的出路在於從硬件結構上對交換機進行改良，實現成本與功能的平衡，纔是防止ARP問題的根本之路