ARP spoofing

Есть ли методы борьбы с сабжем аппаратными средставми?
например, умными свитчами, etc...
бо, как показывает практика, административные методы на слободе
реально не работают и в любой момент, даже после хорошой чистки,
может вылезти рицедив, что собсна и происходит... достали блин

Есть

а поподробнее? насколько знаю, если на свитче есть привязка IP-MAC,
это ж еще не значит, что клиент не может отправить незапрошенный
ARP пакет-ответ жертве с маком шлюза?

Шлюз не должен обрабатывать пакеты пришедшие не с тем MAC'ом из определенного физического порта. А в пределах своего сегмента ARP-спуф всегда возможен. Вопрос в размерах этого сегмента. Обычно в сегменте должно быть максимум один пользователь, плюс его сетевое оборудование, АКА сетевой принтер, УПС etc.

Ну а как это делают локальные сети, это отдельная песня...

Локальные сети еще и впн'е шифрование вырубают... Ну@@@я тогда тот ВПН - не понятно.

ну максимум один пользователь в сегменте сомнительно что бы был, ведь такие свитчи скорее всего на 16, а то и более портов. мы же говорим о свитчах провайдера, которые тусуются в подъездах?
хотя конечно контроллировать спуфинг на 16 человек намного проще,
чем на пару сотен, если свитчи неуправляемые...

и еще, вот интересно, есть ли способы индивидуальной борьбы со спуфингом, если
со стороны клиента (то есть дома) используется аппаратный роутер, а не прямое подключение
к компу?
я себе это представляю, например, в виде добрых программеров или произодителей, которые
выпустят версию прошивки для роутера, в которой будут игнорироваться ARP-ответы, если
не отправлялся широковещательный ARP-запрос, ведь вирусня именно так и поступает, обновляя
таблицу ARP незапрошенным ARP-ответом!
поправте меня, если ошибаюсь....