去ettercap的论坛翻了一下，发现一个不错的文章，转载之。How can I prevent myself from being detected while sniffing--you'll have to be a little more specific. do you mean another computer detecting your computer's activity? It depends on what kind of security there is. You can use the delay functions ( -D and -Z ) you could not use arp modes, but instead use the non-switched network methods (if possible). You could also not scan ( -z ) or use pings instead of arp requests ( -b ) and there's always passive scanning ( -O ) to see what hosts you can get just by sitting around.
However you should know that an administrator that's on the ball will detect your activity. When you redirect traffic to yourself (mitm) it disrupts stuff. If the machines are on different switches than you, LAN traffic will slow down a bit because it has to travel further.
...just food for thought.

当然，上面的方法我没验证过，如何逃避arpwatch和arpcop的确是一个很关键的问题，虽然不是人人都把arpwatch配置好并使用的，我想应该是很少人使用arpwatch的，虽然只是猜测。

cain以前我搞过一下arp欺骗的测试，还挺不错的，图形的东西，用起来好上手，使用过程也简单，不过在功能上和ettercap比起来差距就是十分之大了，灵活使用arp欺骗是可以做很多事情的，比如用arp欺骗挂马。

检测和防止arp欺骗攻击是一个大问题，要做到检测应该不难，但要防止的话，似乎两边做mac绑定是唯一的办法，并且可以使用vlan来降低风险，但是mac绑定操作起来挺麻烦的，并且不能解决所有的欺骗问题，不知道是否有什么更好更完美的办法来防止arp欺骗呢。

https ssh都可以被攻击这个十分清楚了，https是通过伪造证书，而ssh是通过发送虚假banner来降级到sshv1来达到目的，喜欢按 YES的朋友注意了，呵呵。而用pre-shared key的pptpd和ipsec呢？他们都可以通过降级来达到欺骗的目的，即使不能搞到密码，我们可能搞到会话信息还原吗？这个可能性有多大，需要什么样 的条件呢？可操作性如何？用pre-shared key的openssl vpn呢？这些都是需要我们去好好验证的事情，光听人家嘴巴说说那不实在，谁知道他有没忽悠我们，呵呵。

下面是云舒的回复
ARP SPOOF的话，根据信息敏感程度划分VLAN，分割不同的安全域。静态IP的话，可以绑定，动态DHCP的话，可以使用Cisco的DAI技术。

多谢云舒MM的提示，我在google搜索了cisco dai关键字，找到下面的文章。
http://edu.yesky.com/edupxpt/255/2149255.shtml
结合思科下面的几个功能，基本上可以检测和防护2层欺骗攻击了
• Port Security feature• DHCP Snooping• Dynamic ARP Inspection (DAI)• IP Source Guard

我没有实践过cisco这套东西，也不知道需要什么版本的IOS什么级别的设备才有上面的功能。在DHCP的解决方案DAI+ip source guard里，DAI根据arp速率来判断是否出现攻击的，这个如果攻击者降低arp发包速率，不知道是否会存在问题。

静态IP的话简单绑定MAC/ip地址只能挡住cain这种简单好用但比较低级的工具的攻击，遇到ettercap就不行了，还必须得用port security把端口和MAC绑定一下。

CISCO这套方案的确不错，不知道华为或者其他的设备上有没类似的功能。

然后SS跟上提出对vlan划分的置疑

别的看不懂，划分VLAN上我倒是觉得并非说的那么简单

如果按公司部门划分VLAN的话，具有敏感信息的用户和普通用户混在一起，这个问题就不说了

如果按敏感程度划分VLAN，把多个敏感信息用户放到一个VLAN，万一这个VLAN里有个ARP SPOOF，岂不是一次性把所有敏感信息都给泄露了？

接着我YY了一把

顶一下ss
划分vlan的标准是什么呢？
按部门？还是按角色？
我们一起想想黑客要进入我们的公司最想得到的是什么东西？
他可以通过什么途径得到他想要的东西？
我们公司的什么人可以从网络上接触到他们最想得到的东西？
黑客想得到的东西是否是我们最重要的东西，如果丢失这些东西我们会有多大的损失？
比如一个网络游戏公司，黑客最想要的是什么东西？数据库服务器，代码服务器(cvs,vss,svn等)。
黑客可以通过什么途径进入数据库服务器？
web server，backup db server，还有参与数据库管理的员工。
黑客可以通过什么途径进入代码服务器呢？
获取员工或者部门经理cvs/svn/vss密码并直接checkout代码，溢出服务器或者获取AD管理员密码直接进去打包。

这个时候，我们考虑一下，黑客从哪里进来？钓鱼！就是钓鱼！
一般的游戏公司多会请一些安全公司或者招聘安全人员加固服务器，做渗透测试等等，再加上一个防火墙，基本上比较难从外面直接进来了。

鱼是谁？！
HR！HR！
人力资源的MM经常是被钓的对象，部分部门经理也是被钓的对象，因为他们都必须看网上投递的基于各种格式的简历，并且没有选择的去打开各种格式的压缩包。 所以，hr不要追求美观，看到word简历好像很爽一样，注明简历只要txt的，并且不要发压缩文件，宁愿不招这个人，也不冒这个险。
当然，上面两种人只是最容易受到攻击的人，HR还好，如果是部门经理，搞不好不需要arp sniff就可以直接checkout cvs或者vss里的重要内容了。

所以我觉得按照风险级别并结合角色来划分vlan比较合适，当然这些都是我自己YY的，这个也是我渴望到一个公司，给自己做安全的原因之一 ：）

YY成分比较多，还望各位斧正。

还有，客服MM也要小心。。。。