Esistono alcuni meccanismi di sicurezza contro lo spoofing dell'arp. A livello di dispositivo, hai software per windows / linux / android. Ad esempio "arp guard" per Android o "arptables" per linux, ecc. A livello di switch, ci sono alcuni switch avanzati (CISCO) che hanno una funzionalità chiamata "port security", ma questo tipo di switch sono più costosi. Puoi controllare come funziona qui .
Se il tuo switch è un livello 2 dell'interruttore standard del modello OSI (data-link), non comprende ips, true, e non avrà un proprio IP perché non è un interruttore configurabile e può essere intossicato come vittima diretta. Ma tutti gli switch hanno una memoria cache per archivare i mac arp. Memorizzano quali porte hanno quali indirizzi arp ... quindi una vittima può essere avvelenata tramite ARP perché non gli interessa.
Prende solo i pacchetti, guarda quale è l'indirizzo del destino arp e il lancio solo attraverso quella porta per evitare il "vecchio comportamento dell'hub" su cui tutti i pacchetti viaggiano attraverso tutte le porte causando molte collisioni e permettendo agli hacker di annusare su qualsiasi porta tutta la rete.
In ogni caso, ci sono più tipi di attacchi che possono essere fatti agli switch. Se il tuo switch è CISCO e ha una tabella CAM (Content Addressable Memory) dinamica a dimensione fissa, può essere attaccato in altro modo, flooding MAC. La tabella CAM memorizza informazioni come gli indirizzi MAC disponibili sulle porte fisiche con i relativi parametri VLAN associati. Gli hacker possono utilizzare alcuni strumenti (come Macof) per creare richieste con mac generati casualmente per riempire tutta la tabella, perché cosa succede quando la tabella CAM è piena? entra in modalità di apertura fallita. In questo stato, l'interruttore modifica il suo comportamento e inizia a trasmettere ogni pacchetto su ogni porta che agisce come un vecchio hub. Bello per sniffare.
Ovviamente, puoi anche provare a rilevare questa configurazione delle trap SNMP sugli switch per avere avvisi e quel tipo di cose.