Difesa della connettività di rete
Normalmente gli switch e i router di rete possiedono capacità di limitazione del flusso di dati, binding ritardato, filtraggio di indirizzi IP falsi e liste di controllo degli accessi (ACL) progettate per rilevare e contrastare gli attacchi DoS e DdoS, quando sono configurati per farlo.
Possono anche includere una capacità di ispezione approfondita dei pacchetti che esamina le informazioni nel pacchetto TCP/IP alla ricerca di segni di virus, spam e, in alcuni casi, i pacchetti sospetti possono essere inoltrati o meno.
Spesso i pacchetti ritenuti sospetti possono essere inoltrati a una posizione alternativa per ulteriori ispezioni da parte di strumenti avanzati di gestione della rete.
La principale difesa contro gli attacchi di IP spoofing è un dispositivo di filtraggio dei pacchetti (packet-filtering).
Il filtraggio dei pacchetti è il processo di passaggio o blocco dei pacchetti di rete in base ai loro indirizzi di origine/destinazione, porte logiche o protocolli.
Gli switch gestiti (managed switch), tipicamente forniscono opzioni di configurazione del filtro per tutti questi elementi.
Questi switch offrono opzioni di configurazione di DHCP snooping e Dynamic ARP Inspection (DAI) progettate per contrastare gli attacchi MITM.
Il DHCP snooping viene utilizzato per filtrare e bloccare i messaggi del server DHCP in ingresso e costruire un database di indirizzi IP-MAC.
La tecnica DAI utilizza il database di DHCP snooping per controllare e convalidare le richieste ARP per prevenire gli attacchi di ARP spoofing.