如何解決ARP問題的困擾?可行方法是使用可防止ARP攻擊的安全交換機，如上海紐盾公司的NBAD防病毒攻擊交換機;NBAD安全交換機檢查每一個ARP包所封裝地址，發現地址異常即自動丟棄，籍此可解決絕大部分ARP問題。但是，對于多數已建置的網絡來說，這需要替換現有的接入交換機，會造成前期網絡投資的浪費。如何既保護現有投資，又能解決ARP攻擊的困擾?

紐盾科技研發的NDM網絡異常檢測系統，可以協助檢測ARP封包異常，防止ARP攻擊。

眾所周知，ARP攻擊的理論基礎是利用ARP/RARP協議漏洞，因此使用特征偵測工具如殺毒軟件等無法徹底有效解決，這也是ARP病毒無法避免，倒致網絡變慢、大面積掉線、全網癱瘓、中間人攻擊…等網絡故障的原因所在。

基于ARP攻擊方式，我們可以簡單劃分為ARP欺騙攻擊和ARP泛洪攻擊，ARP泛洪攻擊較不常見，基原理是隨機發送大量ARP封包使網絡阻塞，造成交換機/路由器設備性能下降、或交換機CAM表溢出而無法學習正確主機地址。這種方式我們一般在交換機上限制廣播速率，或限制端口MAC數量即可解決。

而ARP欺騙又可以分為針對終端主機的網關地址欺騙和針對網關的終端地址欺騙。現有的終端防御工具如360安全助手，可協助防范針對終端的網關地址欺騙，而對于針對網關的終端欺騙封包，則無能為力。這不能怪罪于360安全助手，因為它無法捕獲和阻止發送給網關的欺騙封包。此外，根據封包類型，ARP欺騙包又分為request請求封包和reply回應封包，我們另立篇幅研究。

紐盾科技研發的NDM網絡異常檢測系統，可以協助檢測ARP封包異常，防止ARP攻擊。其工作原理詳析如下：

NDM異常行為檢測系統，是基于統計學原理，旁接在核心交換機上，動態監聽各終端主機的通訊封包。當檢測到ARP異常，如ARP掃描、ARP泛洪、ARP欺騙…等行為，自動開啟封鎖機制，將異常主機隔離起來，避免對網絡正常運行產生影響;同時，NDM可以短信、郵件等多種方式，提醒管理者留意網絡事件。下圖說明NDM檢測ARP欺騙的流程：

紐盾NDM異常檢測器，除檢測ARP封包異常外，還可以檢測端口掃描、分布式拒絕服務攻擊、蠕蟲病毒傳播……等異常流量，以及網絡設備運行狀態、廣播風暴、VLAN串接等網絡運行事件警示，為企業內網構建全方位的安全防御體系。