ARP(Address Resolution Protocol)欺骗攻击严重影响了局域网内通信的安全和效率,给用户的利益带来了巨大的风险。比如,网络频繁断线,个人隐私泄露,重要资料被盗等等。为解决这一问题,本文针对中小型以太网的ARP欺骗攻击,提出了静态IP-MAC地址二次校验算法,并应用该算法提出和设计实现了一个可行的、方便使用的ARP欺骗防御系统。本文首先介绍了网络的参考模型、IP地址与MAC地址等基础知识,在分析了ARP协议的工作原理及其缺陷的基础上阐述了ARP欺骗的原理与常见方式,接着介绍了NDIS(Network Driver Interface Specification)技术中Passthru驱动的结构和使用方法以及共享内存技术等。其次,根据静态IP地址中小型局域网的实际需求,提出了静态IP-MAC地址二次校验算法,主要对以太网数据包中ARP数据帧进行检测,首先检测信息头部,然后检测ARP数据帧中的源/目标地址是否合法。最后,根据本算法,利用NDIS中间层驱动技术,对DDK(Driver Development Kits)自带中间层过滤驱动程序Passthru进行二次开发,实现了以二次校验的形式对ARP报文进行实时检测的防御系统。系统采用C/S模式,客户端主要是完成对ARP欺骗攻击报文的拦截、数据的首次校验,数据发送以及报警等工作。服务端主要是完成对主机地址收集、数据的二次校验、信息反馈以及报警等工作。经过测试系统对ARP欺骗具有一定的防御能力。