發現非控節點后， 最好的方法是將其隔離。 基于802.1X協議的認證提供了控制交換機端口

的方法， 可以通過關閉交換機端口來實現主機的不能聯網。 但只有高端交換機支持該方法， 不能

滿足共享以太網（HUB連接）的情況， 而旦主機仍然可以切換端口實現聯網。 ARP欺騙也叫ARP

Cache Poisoning， 通過向目標主機發送偽造的ARP應答數據包（ARPReply）， 誘使后者依據偽應答

包的IP與MAC映射信息對更新自己的ARP緩存， 從而被預先偽造的IP及MAC信息對欺騙。 假

設主機C為實施ARP欺騙的攻擊者， 并知道A和B的IP地址， C發送ARP包獲得主機A的MAC

地址， 然后向A發送ARPReply數據包， 其中的源IP地址為B的IP地址， 但是源MAC地址卻是主

機C的MAC地址。 主機A收到該ARPReply后， 以新的IP與MAC映射對更新ARP緩存。 這以

后， A發送給B的數據包目標MAC地址全部使用C的MAC地址， 數據實際被傳送至C。 CINSS

中， 攻擊者為Scanner或Spy， 通過將非控節點ARP緩存中的網關MAC地址、網關ARP緩存中的非

控節點MAC地址都改為“000000000000”， 可以實現非控節點訪問跨網段的網絡其他服務的中斷。

攻擊者按照每秒發送10次ARP應答包的速率進行欺騙， 即使采用ARP緩存恢復措施， 也不能根本

上解決問題， 非控節點的跨網段訪問仍將受到極大干擾。