Bài viết này Lovelinux đưa ra chỉ để các quản trị viên tham khảo, vì Lovelinux đã từng là 1 tay sniffer cách đây khá lâu rồi và hồi đó gặp nhiều cao thủ quá - nên tắt điện - ngủ đông luôn. Có một số cách phòng thủ mà Lovelinux ngán nhất.

1. Tay admin vào command (shell của linux) gõ:
HTML Code:

arp -a


nó sẽ hiện ra các máy có MAC Address trùng với Mac của Gateway hay modem.
Khi đó họ chỉ cần sử dụng phần mềm tìm Mac 1 phát
ví dụ tớ sử dụng lanlook Look@LAN Network Monitor download and review - network monitor from SnapFiles
thế là phát hiện ra kẻ tấn công, sợ wé .

Cách chống lại "cách phòng thủ trên": Đơn giản nhưng hiệu nghiệm
A. Cài vmwave, sử dụng hệ điều hành này để sniff
B. MAC Flooding: Sử dụng đa hệ thống - send khoảng 20.000 cái Mac - máy này giả mac máy này, máy kia giả mac gate, máy nọ giả mác máy ... mình . Cho dữ liệu chạy loạn lên ). Cách này có tác dụng làm ... đơ luôn mạng và nếu máy bạn không quá mạnh - cũng đơ luôn . (có thể dùng Cain để tấn công Flood).
C. Remote vào 1 thằng nào đó sau đó tấn công - Xóa log. - Hữu hiệu nhất và rất khó phát hiện .

2. Tắt ARP đi - disable ARP
Trong linux sử dụng:
HTML Code:

ifconfig eth0 -ARP

để disable ARP protocol trên interface eth0
Trên Windows sử dụng:
HTML Code:

arp -d inet- addr
Thí dụ: arp -d 192.168.1.60 00-AA-00-26-09-B5

hoặc:
To disable gratuitous ARPs after applying this hotfix:
1. Click Start, click Run, type regedt32, and then click OK.
2. On the Windows menu, click HKEY_LOCAL_ MACHINE on Local Machine.
3. Click the \System\CurrentControlSet\Services\TcpIp\Parameter s folder.
4. Double-click the ArpRetryCount value, type 0, (for Windows 2000, type 1) and then click OK.
5. Quit Registry Editor, and then restart the computer.
(nếu ko có key này thì add thêm vào).


3. ARP Static - Đặt ARP tĩnh cho máy cần bảo vệ (personal)

Linux:
HTML Code:

arp -a

để liệt kê các entries có sắn,
Code:

arp -d 192.168.X.X

để delete lần lượt các entries tìm thấy
sau đó thêm vào các arp entries bằng tay:
HTML Code:

sudo arp -s 192.168.1.60 XXXXXXXXXX

hiện tại chỉ cần add vào một số entries cần thiết nhất như của Gateway chẳng hạn hoặc citrix

4. Sử dụng 1 số tool sau:
a. Nhận biết & chống MAC Flooding: Cách này dễ nhận biết.
MACManipulator: tool này cho phép thiết lập 1 phiên MAC Flood, giúp admin test xem switch có chịu nổi khi bị flood hay không. MAC Flooding chỉ có tác dụng đối với các loại switch rẻ tiền (ít port).
b. Chống ARP Spoofing: hơi khó do khi đó network traffic không có biến đổi gì nhiều. Một dấu hiệu là khi 1 host bị spoof thì máy attack sẽ có MAC giống với máy đó. Vì vậy admin chỉ cần query MAC từ các host trong network, nếu có 2 MAC giống nhau thì coi như network under attack.
Các tool ARP analyzer:
Công cụ xARP có chức năng phát hiện ARP Spoofing trên windows
tools dùng cho Linux: ARPSpoofDetector, ARP - GUARD, SGUIL, ARP Watch cho hệ thống company (tuy nhiên ko phù hợp khi sử dụng DHCP).

5.> Cách khác
> OS x has a patch y which helps preventing ARP spoofing (like antidote)
> or
> -OS x in version y has a small built in ARP prevention (like SunOS)
> or
> -Firewall/IDS x is able to prevent/detect ARP spoofing

tham khảo một số nguồn:
[thảo luận] virus ARP spoofing - .:: HVAOnline ::.
ARP spoofing HTTP infection malware - Security Labs Blog
Defending ARP Spoofing
comp.os.ms-windows.nt.admin.security: Re: Defending ARP Spoofing
How to Disable the Gratuitous ARP Function
Defending ARP Spoofing
http://www.acsac.org/2003/papers/111.pdf
nguồn: http://hackingart.com/bao_mat_tren_c...g.html#post204