当前针对ARP攻击的主要防御措施是采用双向绑定和运行ARP防火墙系统，但是这些措施都存在缺陷。双向绑定需要用户掌握一定的网络管理知识，并且配置过程繁琐，需要对客户主机和网关两端进行配置。运行ARP防火墙系统虽然解决“双向绑定”需要人工手动配置的问题，但是防御效果不是很理想。当前关于ARP防火墙系统内部实现的研究资料甚少，对防御系统的研究主要通过系统的安装使用说明，系统的功能测试结果以及网上网友对系统的一些使用心得总结而来。 目前，ARP防火墙系统有单机版和网络版两种。通过对系统的功能测试结果，总结出单机版系统所存在的缺陷有：1.防御不全面：保证本地主机同网关之间正常通信，但不能保证同网络内其它主机之间正常通信，并且对某些ARP攻击并不能起到防御效果。2.无法有效追踪攻击源：只是简单地根据异常ARP数据包的源物理地址来进行攻击源的追踪。3.存在ARP广播风暴：当出现攻击，防御系统会定时地向网关发送通告本地主机ip,mac地址的ARP广播请求报文。 网络版系统需要选择网络内的一台主机作为服务器端，其它主机为客户端，通过服务器端对客户端的有效监控来实现对整个网络的防御，因而存在不易维护管理的缺陷。 本文针对防御系统所存在的缺陷，提出一种防御模式。即通过建立动态更新的IP-MAC映射库及采用主动验证映射对的方法实现对整个网络的全面防御，通过引入“新加入主机的检测机制”来保证映射库更新的同时又能克服ARP广播风暴，以及为不同攻击类型分配不同信赖度来更有效地追踪定位攻击源。 文中基于该防御模式设计并实现了一套防御系统，该防御系统有效地克服了以往系统在防御ARP攻击方面所存在的缺陷，解决手动配置交换机所存在的操作繁琐不易管理的问题，通过在一台主机上安装防御系统实现对整个网络的防御，为用户和网络管理员提供一种高效便捷、可集中化管理的解决方法。系统可运行在多种工作模式下，为不同网络应用环境用户提供不同网络防御解决方案。