二、防范措施
1. 建立DHCP服务器(建议建在网关上 ， 因为DHCP不占用多少CPU ， 而且ARP欺骗攻击一般总是先攻击网关 ， 我们就是要让他先攻击网关 ， 因为网关这里有监控程序的 ， 网关地址建议选择192.168.10.2  ， 把192.168.10.1留空 ， 如果犯罪程序愚蠢的话让他去攻击空地址吧) ， 另外所有客户机的IP地址及其相关主机信息 ， 只能由网关这里取得 ， 网关这里开通DHCP服务 ， 但是要给每个网卡 ， 绑定固定唯一IP地址 。 一定要保持网内的机器IP/MAC一一对应的关系 。 这样客户机虽然是DHCP取地址 ， 但每次开机的IP地址都是一样的 。
2. 建立MAC数据库 ， 把网吧内所有网卡的MAC地址记录下来 ， 每个MAC和IP、地理位置统统装入数据库 ， 以便及时查询备案 。
3. 网关机器关闭ARP动态刷新的过程 ， 使用静态路邮 ， 这样的话 ， 即使犯罪嫌疑人使用ARP欺骗攻击网关的话 ， 这样对网关也是没有用的 ， 确保主机安全 。
网关建立静态IP/MAC捆绑的方法是：建立/etc/ethers文件 ， 其中包含正确的IP/MAC对应关系 ， 格式如下：
192.168.2.32 08:00:4E:B0:24:47
然后再/etc/rc.d/rc.local最后添加：
arp -f 生效即可
4. 网关监听网络安全 。 网关上面使用TCPDUMP程序截取每个ARP程序包 ， 弄一个脚本分析软件分析这些ARP协议 。 ARP欺骗攻击的包一般有以下两个特点 ， 满足之一可视为攻击包报警：第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配 。 或者 ， ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内 ， 或者与自己网络MAC数据库 MAC/IP 不匹配 。 这些统统第一时间报警 ， 查这些数据包(以太网数据包)的源地址(也有可能伪造) ， 就大致知道那台机器在发起攻击了 。
5. 偷偷摸摸的走到那台机器 ， 看看使用人是否故意 ， 还是被任放了什么木马程序陷害的 。 如果后者 ， 不声不响的找个借口支开他 ， 拔掉网线(不关机,特别要看看Win98里的计划任务) ， 看看机器的当前使用记录和运行情况 ， 确定是否是在攻击 。