spoofing mac что это
MAC address spoofing (Русский)
В статье описаны способы подмены адреса Media Access Control (MAC).
Contents
Вручную
iproute2
Сперва проверьте ваш текущий MAC-адрес:
Необходимая нам в данный момент информация расположена в строке, начинающейся со слов «link/ether», за которыми следует 6-байтный номер:
Переходим к собственно подмене MAC-адреса. В качестве нового адреса подойдет любое шестнадцатеричное число, однако имейте в виду, что некоторые сети могут отказаться присваивать IP-адрес клиенту, чей MAC-адрес не принадлежат ни одному из производителей оборудования. Поэтому, если вы не контролируете сеть(и), к которой подключены, используйте префикс MAC (первые три байта) реального производителя, а для оставшихся трех укажите произвольные значения. Подробнее см. Википедия:Уникальный идентификатор организации.
Чтобы сменить MAC, выполните:
где вместо XX:XX:XX:XX:XX:XX необходимо указать любое 6-байтное значение.
Последний шаг — включить интерфейс обратно:
Чтобы убедиться, что подмена MAC-адреса действительно произошла, снова выполните команду ip link show интерфейс и проверьте значение «link/ether». Если подмена сработала, «link/ether» будет иметь то значение, которое вы ему присвоили.
macchanger
В этом способе используется macchanger (GNU MAC Changer). Он предоставляет набор функций для смены адреса на, например, соответствующий конкретному производителю или полностью случайный.
Подмена осуществляется для конкретного интерфейса: в каждой из следующих команд заменяйте интерфейс на имя вашего сетевого интерфейса.
Вы можете сгенерировать полностью случайный адрес:
Чтобы изменить только байты, которые являются уникальными для конкретного устройства (благодаря чему при проверке MAC-адрес будет по-прежнему считаться принадлежащим тому же производителю), выполните:
Для задания конкретного MAC-адреса выполните:
где XX:XX:XX:XX:XX:XX — MAC, который вы хотите присвоить.
Наконец, для восстановления исходного значения MAC-адреса:
Автоматически
systemd-networkd
systemd-networkd поддерживает подмену MAC-адреса при помощи файлов link (подробнее см. systemd.link(5) ).
Для подмены статическим адресом:
systemd-udevd
udev позволяет подменять MAC-адреса с помощью правил. Атрибут address позволяет udev найти нужное устройство по MAС-адресу производителя, после чего выполняется команда ip для его замены:
где XX:XX:XX:XX:XX:XX — оригинальный MAC-адрес, а YY:YY:YY:YY:YY:YY — новый. Для адреса необходимо использовать буквы в нижнем регистре.
Юнит systemd
Создание юнита
Ниже приведены примеры юнитов systemd для изменения MAC-адреса во время загрузки системы: первый устанавливает MAC утилитой ip, а второй использует macchanger для присвоения случайного адреса. Цель network-pre.target используется для задания очерёдности действий: MAC-адрес должен изменяться до запуска сетевых менеджеров вроде netctl, NetworkManager, systemd-networkd или dhcpcd.
iproute2
Юнит systemd, устанавливающий указанный MAC-адрес:
macchanger
Юнит systemd, устанавливающий случайный адрес с сохранением префикса производителя. Удостоверьтесь, пакет macchanger установлен:
Включение службы
Добавьте имя интерфейса в название службы (например, eth0 ; в итоге служба будет назваться как-то вроде macspoof@eth0.service ) и включите её.
Перезагрузитесь либо перезапустите необходимые службы в правильном порядке. Если вы являетесь администратором сети, в которой находится машина с изменяемым MAC-адресом, то изучите таблицу статических/динамических адресов на маршрутизаторе на предмет того, был ли MAC дествительно изменён.
netctl
Вы можете использовать хуки netctl для выполнения команд при каждом (пере)запуске профиля netctl на определённом сетевом интерфейсе. Замените интерфейс на необходимый:
Сделайте скрипт исполняемым:
NetworkManager
wpa_supplicant
wpa_supplicant может использовать случайный MAC-адрес для каждого ESS-соединения [1].
Добавьте следующие строки в файл настроек:
Со следующими настройками iwd будет генерировать случайный MAC-адрес при каждом запуске (подробнее см. iwd.config(5) ):
Параметр AddressRandomizationRange определяет, какая часть адреса будет сгенерирована. При значении nic изменяться будут последние три октета, относящиеся непосредственно к сетевому интерфейсу; первые три октета останутся прежними. При значении full сгенерирован будет весь адрес целиком.
Решение проблем
Не удается подключиться к сети DHCPv4
Если вы используете dhcpcd (в NetworkManager используется по умолчанию) и не можете подключиться к сети DHCPv4, необходимо изменить настройки dhcpcd, чтобы арендовать адрес.
Лживые козлы и MAC-адреса Статьи редакции
Автор Techdirt о том, как Apple «легализовала» технологию, за которую клеймили Аарона Шварца
Одним из нововведений, которые Apple внедрила в мобильную операционную систему iOS 8, стала рандомизация MAC-адресов. MAC-адрес — это уникальный идентификатор любой техники, подключающейся к сети. Обычно он жёстко «вшит» в устройство и не меняется при новых соединениях. Но устройства на iOS 8 будут выдавать «наружу» случайный идентификатор в процессе сканирования Wi-Fi сетей, чтобы защитить пользователей от слежки со стороны различных маркетинговых и аналитических систем.
TJournal перевёл колонку Майкла Масника.
Аарон Шварц
Всякий раз, когда мы пишем про Аарона Шварца и его уголовное преследование, некоторые из наших (и Аарона) критиков кричат, что он, «очевидно», знал, что поступает нехорошо, так как решил подделать MAC-адрес на компьютере, который использовал для скачивания статей из JSTOR. Конечно, как объясняли многие люди, подделка MAC-адреса — не что-то безумно гнусное, и нередко она несёт смысл.
Недавно Apple объявила, что iOS 8 будет выдавать случайные MAC-адреса для лучшей защиты частной жизни пользователей. Проще говоря, Apple устанавливает «подделку MAC-адреса» в качестве стандарта. И, как указывают ребята из Фонда электронных рубежей (EFF), это положительно скажется на конфиденциальности наших личных данных.
Кори Доктороу (Cory Doctorow) отмечает, что подделка MAC-адресов скоро станет стандартной функцией в айфонах и айпадах (и, надеюсь, в устройствах других производителей), что демонстрирует всю нелепость использования этого метода как доказательства против Шварца.
Одна заметная и грустная ирония тут в том, что подмена MAC-адреса использовалась как доказательство преступных действий Аарона Шварца: американские прокуроры характеризовали их как нечто, чем занимаются только преступники. Значит, или это доказательство тезиса «когда приватность станет преступлением, только у преступников будет частная жизнь», или того, что федеральные прокуроры — лживые козлы. И это не взаимоисключающие варианты. Кори Доктороу, писатель
Конечно, это одно из неудачных последствий того, что в правоохранительных органах находятся люди, которые просто не понимают технологии. Люди, которые разбираются и в приватности, и в способах решения проблем, возникающих у нас в интернете, осознают, что порой вполне разумно использовать подмену MAC-адресов — но такие действия выставляются правоохранителями как гнусные и опасные. Потому что так проще «состряпать дело», и потому что они не понимают, насколько повседневны эти действия.
Подмена MAC: атака и защита, теория и практика
Все достаточно просто, если протокол, используемой системой, специально разработан
для поддержки авторизации пользователя. В этом случае забота о безопасности лежит
на создателе протокола, и рядовому администратору сети не обязательно вникать в
детали его реализации. Достаточно лишь знать, что «старые» протоколы (ftp,
telnet) являются недостаточно безопасными, так как передают пароль в доступном
для чтения третьей стороной виде. Очевидно, во времена создания этих протоколов
защита информации от злонамеренного перехвата не была достаточно актуальна.
Большинство современных протоколов защищены от перехвата пароля средствами
криптографии, хотя и тут есть некоторые нехорошие возможности 🙂
Хуже, когда администраторы сетей пытаются защитить протоколы, в которых
авторизация никоим местом не предполагалась, тут уже начинается самодеятельность
и сопутствующие ей ошибки, если администратор не достаточно компетентен.
Несколько сложнее притвориться уже работающим компьютером: в сети не должно
находится несколько систем с одним IP-адресом одновременно, они не смогут
работать, кроме того, оператору второй системы ОС может выдать предупреждение:
«конфликтующие IP-адреса». В этом случае необходимо подменять стандартное
поведение ОС атакующего, чтобы она не выдавала себя. Такая технология
называется «ip-spoofing» и здесь рассматриваться не будет
(спуфинг на нашем сайте рассматривался
ранее).
Если компьютеры идентифицируются по IP-адресу, то в нашем примере с провайдером
очень просто работать в Internet за чужой счет. Применение ограничено только
физическими способами отслеживания источника сигнала, на которое способны
довольно «умные» устройства вроде маршрутизаторов или дорогостоящих свитчей
с возможностью настройки.
Отслеживание происходит так: у умного устройства есть несколько физических
входов aka дырок. Например, в случае маршрутизатора это входы сетевых карт.
Администратор настраивает устройство так, чтобы с дырки номер Х могла приходить
лишь информация от машин, которые на самом деле подключены к этой дырке. Если
же информация приходит не оттуда, откуда ей положено, то она блокируется. Кроме
того, устройство может ругаться администратору на попытку совершить
несанкционированные действия либо неверную конфигурацию.
Более надежным считается идентификация по MAC-адресу, якобы аппаратно зашитому
в карточке. Это миф. Во-первых, адрес зашит в ППЗУ (программируемом постоянном
запоминающем устройстве), и может быть изменен при помощи специальных программ,
которые часто идут в комплекте драйверов карточки.
Миф о невозможности изменения MAC-адреса настолько распространен, что многие
основывают на идентификации по MAC-адресу критически важную идентификацию,
например, позволяют выполнение команд без авторизации якобы достоверно
идентифицированной машине. Чем это может кончится, я думаю, понятно. Ну и
конечно, подавляющее большинство провайдеров «защищаются» от изменения
IP-адреса клиента, проверяя соответствие MAC-адреса и IP-адреса.
Как может выглядеть атака с подменой MAC и IP адреса? Рассматривается случай
с провайдером.
Первый этап выполняется, когда жертва в сети. С помощью снифера проверяется,
чтобы жертва находилась в том же сегменте сети. Сегмент сети
в данном случае область, внутри которой все машины равнозначны, т.е. получают одну и ту же
информацию. Например, все машины, соединенные хабом (хабами), находятся в
одном сегменте, так как хаб просто рассылает получаемую от одной машины
информацию по всем остальным.
Будьте внимательны, в том же сегменте сети находится машина, имеющая полученный
MAC-адрес, а не IP-адрес. IP-адрес может принадлежать системе, находящейся на
другом континенте, дело в том, что при передаче через маршрутизаторы MAC-адрес
отправителя заменяется MAC-адресом маршрутизатора, и увидеть вы сможете только
его. Узнать MAC-адрес реального отправителя в общем случае невозможно (да и
нужно ли?).
Можно вообще не искать маршрутизатор, а оставить тот, что выдан вам
(предполагается, что вы подключены к тому же провайдеру). Это еще более опасный
способ, но в большинстве случаев это срабатывает.
Выяснив все детали о жертве (IP, MAC, шлюз по умолчанию), можно приступать ко
второму этапу. Нужно дождаться момента, когда жертва не находится в сети
(выключена), установить параметры идентичными ей и спокойно работать. Когда
жертва вернется в сеть, работа нарушится, кроме того, она может получить
предупреждение о конфликтующих IP-адресах, но это ничем особым не грозит,
т.к. определить, кто именно из вашего сегмента сети пытается притвориться ей,
невозможно.
А как быть провайдерам? Полностью надежной защитой от использования чужого
трафика было бы использование для связи с маршрутизатором протокола,
поддерживающего безопасную авторизацию и защиту от перехвата. Таких я не
встречал 🙂
1. Microsoft Winsock proxy client-server. Программа, заменяющая стандартный
winsock в win9x, NT и win2k у клиента и MS Proxy server. Авторизуется через
netbios входом в домен NT. Однако, сомневаюсь, что протокол соединения
client-server защищен от перехвата и подмены отправителя.
2. Самодельный клиент, используемый одним из Екатеринбургских провайдеров.
Периодически посылает запрос «откройте доступ такому-то IP» на маршрутизатор.
Для отсылки запроса нужен пароль. Если запроса нет, то доступ закрывается. В
результате только знающий пароль откроет себе доступ, злоумышленник, изменивший
настройки, ничего сделать не сможет. Авторизация защищена качественно. От
работы двух станций с одними характеристиками, опять же, ничто не защищает.
MAC спуфинг
MAC спуфинг
MAC-спуфинг (от англ. spoof — мистификация) — это метод изменения MAC-адреса сетевого устройства. Это метод позволяет обойти список контроля доступа к серверам, маршрутизаторам, скрыть компьютер, что может нарушить работоспособность сети.
Содержание
Применение
В основном используется хакерами для атак (передачи и сбора информации, получения паролей) и для тестирования сети.
Кроме того может применяться MAC-спуфинг при:
Однако наиболее частое применение этот способ находит в Wi-Fi сетях, которые в настоящее время получили широкое распространение. Подмена в этом случае происходит в два этапа: слушается сетевой трафик и выделяются MAC-адреса, после этого происходит непосредственно смена MAC-адреса.
Многие системы тестирования безопасности, сканеры, снифферы и прочие сетевые утилиты в качестве дополнения поддерживают функцию спуфинга.
Программы
Примечания
Ссылки
См. также
Полезное
Смотреть что такое «MAC спуфинг» в других словарях:
MAC-спуфинг — (от англ. spoof мистификация) метод изменения MAC адреса сетевого устройства, позволяющий обойти список контроля доступа к серверам, маршрутизаторам, либо скрыть компьютер, что может нарушить работоспособность сети. Содержание 1… … Википедия
IP-спуфинг — (от англ. spoof мистификация) Вид хакерской атаки, заключающийся в использовании чужого IP адреса с целью обмана системы безопасности. Метод, используемый в некоторых атаках. Состоит в проставлении в поле обратного (source) адреса IP… … Википедия
Категория:Атаки и эксплойты — Страницы в категории «Атаки и эксплойты» Показано 27 страниц из 27 имеющихся. * Хакерская атака ЭксплойтA ARP spoofingD Deface DoS атакаF Fork бомбаI IP спуфингL LOICM MAC спуфинг P Ping of death … Википедия
ARP — Название: Address Resolution Protocol Уровень (по модели OSI): канальный Семейство: TCP/IP Создан в: 1982 г. Порт/ID: 0x0806/Ethernet Назначение протокола: Преобразование сетевых адресов в канальные С … Википедия
Система предотвращения вторжений — У этого термина существуют и другие значения, см. IPS. Система предотвращения вторжений (англ. Intrusion Prevention System) программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения… … Википедия
Отравление ARP: что это такое и как предотвратить ARP-спуфинг
«Отравление» ARP (ARP Poisoning) — это тип кибератаки, которая использует слабые места широко распространенного протокола разрешения адресов (Address Resolution Protocol, ARP) для нарушения или перенаправления сетевого трафика или слежения за ним. В этой статье мы вкратце рассмотрим, зачем нужен ARP, проанализируем его слабые места, которые делают возможным отравление ARP, а также меры, которые можно принять для обеспечения безопасности организации.
Что такое ARP?
ARP предназначен для определения MAC-адреса по IP-адресу другого компьютера. ARP позволяет подключенным к сети устройствам запрашивать, какому устройству в настоящее время назначен конкретный IP-адрес. Устройства также могут сообщать об этом назначении остальной части сети без запроса. В целях эффективности устройства обычно кэшируют эти ответы и создают список текущих назначений MAC-IP.
Что такое отравление ARP?
«Отравление» (подмена) ARP заключается в использовании слабых сторон ARP для нарушения назначений MAC-IP для других устройств в сети. В 1982 году, когда был представлен протокол ARP, обеспечение безопасности не было первостепенной задачей, поэтому разработчики протокола никогда не использовали механизмы аутентификации для проверки сообщений ARP. Любое устройство в сети может ответить на запрос ARP, независимо от того, является ли оно адресатом данного запроса. Например, если компьютер A запрашивает MAC-адрес компьютера B, ответить может злоумышленник на компьютере C, и компьютер A примет этот ответ как достоверный. За счет этой уязвимости было проведено огромное количество атак. Используя легкодоступные инструменты, злоумышленник может «отравить» кэш ARP других хостов в локальной сети, заполнив его неверными данными.
Этапы отравления ARP
Этапы отравления ARP могут различаться, но обычно их минимальный перечень таков:
Типы атак ARP Poisoning
Имеется два основных способа отравления ARP: злоумышленник может либо дождаться запроса ARP в отношении конкретной цели и дать на него ответ, либо использовать самообращённые запросы (gratuitous ARP). Первый вариант ответа будет менее заметен в сети, но его потенциальное влияние также будет меньшим. Cамообращенные запросы ARP могут быть более эффективными и затронуть большее количество жертв, но они имеют обратную сторону — генерирование большого объема сетевого трафика. При любом подходе поврежденный кэш ARP на устройствах-жертвах может быть использован для дальнейших целей:
Атаки Man-in-the-Middle
Атаки MiTM, вероятно, являются наиболее распространенной и потенциально наиболее опасной целью отравления ARP. Злоумышленник отправляет ложные ответы ARP по заданному IP-адресу (обычно это шлюз по умолчанию для конкретной подсети). Это заставляет устройства-жертвы заполнять свой кэш ARP MAC-адресом машины злоумышленника вместо MAC-адреса локального маршрутизатора. Затем устройства-жертвы некорректно пересылают сетевой трафик злоумышленнику. Такие инструменты, как Ettercap, позволяют злоумышленнику выступать в роли прокси-сервера, просматривая или изменяя информацию перед отправкой трафика по назначению. Жертва при этом может не заметить каких-либо изменений в работе.
Одновременное отравление ARP и отравление DNSможет значительно повысить эффективность атаки MiTM. В этом сценарии пользователь-жертва может ввести адрес легитимного сайта (например, google.com) и получить IP-адрес машины злоумышленника вместо корректного адреса.
Отказ в обслуживании (Denial of Service, DoS)
DoS-атака заключается в том, что одной или нескольким жертвам отказывается в доступе к сетевым ресурсам. В случае ARP, злоумышленник может отправить ответ ARP, который ложно назначает сотни или даже тысячи IP-адресов одному MAC-адресу, что потенциально может привести к перегрузке целевого устройства. Атака этого типа, иногда называемая «лавинной рассылкой ARP» (ARP-флудингом), также может быть нацелена на коммутаторы, что потенциально может повлиять на производительность всей сети.
Перехват сеанса
Перехват сеанса по своей природе похож на MiTM за исключением того, что злоумышленник не будет напрямую перенаправлять трафик с машины жертвы на целевое устройство. Вместо этого он захватывает подлинный порядковый номер TCP или файл cookie жертвы и использует его, чтобы выдавать себя за жертву. Так он может, к примеру, получить доступ к учетной записи данного пользователя в соцсети, если тот в нее вошел.
Какова цель отравления ARP?
У хакеров всегда самые разные мотивы, в том числе при осуществлении отравления ARP, начиная от шпионажа высокого уровня и заканчивая азартом создания хаоса в сети. В одном из возможных сценариев злоумышленник может использовать ложные сообщения ARP, чтобы взять на себя роль шлюза по умолчанию для данной подсети, эффективно направляя весь трафик на свое устройство вместо локального маршрутизатора. Затем он может следить за трафиком, изменять или сбрасывать его. Такие атаки являются «громкими», поскольку оставляют за собой улики, но при этом не обязательно влияют на работу сети. Если целью атаки является шпионаж, машина злоумышленника просто перенаправляет трафик изначальному адресату, не давая ему оснований подозревать, что что-то изменилось.
Другой целью может быть значительное нарушение работы сети. Например, довольно часто DoS-атаки выполняются не очень опытными хакерами просто для получения удовольствия от созданных проблем.
Опасным типом отравления ARP являются инсайдерские атаки. Поддельные сообщения ARP не выходят за пределы локальной сети, поэтому атака должна исходить от локального устройства. Внешнее устройство также потенциально может инициировать ARP-атаку, но сначала ему нужно удаленно скомпрометировать локальную систему другими способами, в то время как инсайдеру требуется только подключение к сети и некоторые легкодоступные инструменты.
ARP-спуфинг vs отравление ARP
Термины «ARP-спуфинг» и «отравление ARP» обычно используются как синонимы. Технически под спуфингом понимается выдача злоумышленником своего адреса за MAC-адрес другого компьютера, в то время как отравлением (подменой) называют повреждение ARP-таблиц на одной или нескольких машинах-жертвах. Однако на практике это элементы одной и той же атаки. Также эту атаку иногда называют «отравлением кэша ARP» или «повреждением ARP-таблицы».
Последствия атак ARP Poisoning
Основной эффект отравления ARP заключается в том, что трафик, предназначенный для одного или нескольких хостов в локальной сети, вместо этого направляется на устройство, выбранное злоумышленником. Конкретные последствия атаки зависят от ее специфики. Трафик может направляться на машину злоумышленника или в несуществующее место. В первом случае заметного эффекта может не быть, в то время как во втором может быть заблокирован доступ к сети.
Само по себе отравление кэша ARP не оказывает длительного воздействия. Записи ARP кэшируются от нескольких минут на конечных устройствах до нескольких часов на коммутаторах. Как только злоумышленник перестает активно заражать таблицы, поврежденные записи просто устаревают, и вскоре возобновляется нормальный поток трафика. Само по себе отравление ARP не оставляет постоянной инфекции или «точек опоры» на машинах-жертвах. Однако нередко хакеры совершают ряд атак по цепочке, и отравление ARP может быть элементом более масштабной атаки.
Как обнаружить отравление кэша ARP
Существует множество платных программ и программ с открытым исходным кодом для обнаружения отравления кэша ARP, однако проверить ARP-таблицы на своем компьютере можно даже без установки специального ПО. В большинстве систем Windows, Mac и Linux ввод команды arp-a в терминале или командной строке отобразит текущие назначения IP-адресов и MAC-адресов машины.
Такие инструменты, как arpwatch и X-ARP, позволяют осуществлять непрерывный мониторинг сети и могут предупредить администратора о выявлении признаков отравления кэша ARP. Однако достаточно высока вероятность ложных срабатываний.
Как предотвратить отравление ARP
Cуществует несколько методов предотвращения отравления ARP:
Статические ARP-таблицы
Можно статически назначить все MAC-адреса в сети соответствующим IP-адресам. Это очень эффективно для предотвращения отравления ARP, но требует огромных трудозатрат. Любое изменение в сети потребует ручного обновления ARP-таблиц на всех хостах, в связи с чем для большинства крупных организаций использование статических ARP-таблиц является нецелесообразным. Но в ситуациях, когда безопасность имеет первостепенное значение, выделение отдельного сегмента сети для статических ARP-таблиц может помочь защитить критически важную информацию.
Защита коммутатора
Большинство управляемых коммутаторов Ethernet оснащены функциями предотвращения атак ARP Poisoning. Эти функции, известные как динамическая проверка ARP (Dynamic ARP Inspection, DAI), оценивают достоверность каждого сообщения ARP и отбрасывают пакеты, которые выглядят подозрительными или вредоносными. С помощью DAI также можно ограничить скорость прохождения сообщений ARP через коммутатор, эффективно предотвращая DoS-атаки.
DAI и аналогичные функции когда-то были доступны исключительно для высокопроизводительного сетевого оборудования, но теперь они представлены практически на всех коммутаторах бизнес-класса, в том числе используемых в небольших компаниях. Обычно рекомендуется включать DAI на всех портах, кроме подключенных к другим коммутаторам. Эта функция не оказывает значительного влияния на производительность; при этом, вместе с ней может понадобиться включение других функций, например DHCP Snooping.
Включение защиты порта на коммутаторе также может помочь минимизировать последствия отравления кэша ARP. Защиту порта можно настроить таким образом, чтобы разрешить использование только одного MAC-адреса на порте коммутатора, что лишает злоумышленника возможности применять несколько сетевых идентификаторов.
Физическая защита
Предотвратить атаки ARP Poisoning также поможет надлежащий контроль физического доступа к рабочему месту пользователей. Сообщения ARP не выходят за пределы локальной сети, поэтому потенциальные злоумышленники должны находиться в физической близости к сети жертвы или уже иметь контроль над машиной в сети. Обратите внимание, что в случае беспроводной сети территориальная близость не обязательно означает прямой физический доступ: может быть достаточно сигнала, который достигает двора или парковки. Независимо от типа соединения (проводное или беспроводное), использование технологии наподобие 802.1x может гарантировать подключение к сети только доверенных и/или управляемых устройств.
Сетевая изоляция
Хорошо сегментированная сеть может быть менее восприимчива к отравлению кэша ARP в целом, поскольку атака в одной подсети не влияет на устройства в другой. Концентрация важных ресурсов в выделенном сегменте сети с более строгими мерами безопасности может значительно снизить потенциальное влияние атаки ARP Poisoning.
Шифрование
Хотя шифрование не предотвращает ARP-атаку, оно может снизить потенциальный ущерб. Раньше популярной целью атак MiTM было получение учетных данных для входа в систему, которые когда-то передавались в виде обычного текста. Благодаря распространению шифрования SSL/TLS совершать такие атаки стало сложнее.