这样，可以采用以下的一些方法：

　　1). 减少过期时间

　　#ndd –set /dev/arp arp_cleanup_interval 60000

　　#ndd -set /dev/ip ip_ire_flush_interval 60000

　　60000=60000毫秒 默认是300000

　　加快过期时间，并不能避免攻击，但是使得攻击更加困难，带来的影响是在网络中会大量的出现ARP请求和回复，请不要在繁忙的网络上使用。

　　2). 建立静态ARP表

　　这是一种很有效的方法，而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。

　　test.nsfocus.com 08:00:20:ba:a1:f2

　　user. nsfocus.com 08:00:20:ee:de:1f

　　使用arp –f filename加载进去，这样的ARP映射将不会过期和被新的ARP数据刷新，除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变，就必须手工刷新这个arp文件。这个方法，不适合于经常变动的网络环境。

　　3).禁止ARP

　　可以通过ipconfig interface –arp 完全禁止ARP，这样，网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表，如果不在ARP表中的计算机 ，将不能通信。这个方法不适用与大多数网络环境，因为这增加了网络管理的成本。但是对小规模的安全网络来说，还是有效可行的。

　　但目前的ARP病毒层出不穷，已经不能单纯的依靠传统的方法去防范，比如简单的绑定本机ARP表，我们还需要更深入的了解ARP攻击原理，才能够通过症状分析并解决ARP欺骗的问题。

　　精确的定位ARP攻击　　主动定位方式：因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。定位好机器后，再做病毒信息收集。

　　标注：网卡可以置于一种模式--混杂模式，在这种模式下工作的网卡能够收到一切通过它的数据，而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理：让网卡接收一切它所能接收的数据。

　　被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址;也可以在局域网中部署Sniffer工具，定位ARP攻击源的MAC。

　　也可以直接Ping网关IP，完成Ping后，用ARP –a查看网关IP对应的MAC地址，此MAC地址应该为欺骗地址，使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址。