A melhor defesa contra o ARP-Poisoning é habilitar o MAC binding no switch.

Esta é uma característica encontrada em switchs de qualidade que não permite que os endereços MAC associados com uma porta sejam alterados depois de configurados. Mudanças legítimas de MAC podem ser realizadas pelo administrador da rede.

Outra defesa é o uso de caminhos estáticos. O cache ARP pode ter entradas estáticas (não alteráveis), assim respostas ARP falsas seriam ignoradas. Essa abordagem não é prática a não ser em pequenas redes caseiras, consequentemente onde não há muitos riscos do ARP Poisoning ocorrer. É importante também saber como se comporta o roteamento estático no Windows. Alguns testes descobriram que o Windows ainda aceita respostas ARP falsas e usa o roteamento dinâmico ao invés do estático, tornando nulo qualquer efeito da utilização do roteamento estático no Windows.

Além desses dois métodos, a única outra defesa disponível é a detecção. Arpwatch é uma das formas de detecção. Arpwatch é uma ferramenta para detectar ataques ARP. Esta ferramenta monitora atividade ethernet e mantém uma base de dados dos pareamentos Ethernet/IP. Ela também reporta certas alterações via e-mail. Arpwatch utiliza a libcap, uma interface independente que utiliza um método de captura de pacotes no nível de usuário para detecção de ataques ARP. O Arpwatch mantém o administrador informado quando uma nova máquina adquire um endereço da rede. Ele envia por e-mail o endereço IP e o MAC da nova máquina na rede. Ele também informa se o endereço MAC mudou de IP. Além de informar se alguém está bagunçando com a configuração da rede e alterando seu seu IP para o de um gateway ou servidor.

A clonagem de MAC pode ser detectada utilizando o RARP (Reverse ARP). O RARP solicita o endereço IP de um endereço MAC conhecido. Enviando uma solicitação RARP para todos os endereços MAC existentes em uma rede, pode determinar se algum computador esta realizando clonagem, e se múltiplas respostas são recebidas por um único endereço MAC.

Muitos métodos existem para detectar máquinas em modo promíscuo. É importante lembrar que sistemas operacionais possuem suas próprias pilhas de TCP/IP e placas ethernet possuem seus próprios drivers, cada um com seus próprios subterfúgios. Mesmo diferentes versões de um mesmo sistema operacional tem variações de comportamento. O Solaris, por exemplo, é único em sua forma de tratar pacotes ARP.

Solaris aceita apenas alterações de ARP após um determinado período de expiração. Para envenenar o cache de um sistema Solaris, um atacante precisaria utilizar um ataque DoS contra uma segunda máquina alvo para evitar uma race condition [6] após o período de expiração. Este DoS pode ser detectado se a rede possuir um Sistema de Detecção de Intrusão (IDS) rodando. A rede pode também estar protegida contra Spoofing/Poisoning e Sniffing através de configurações de firewall e criptografia de dados ao longo da rede., mas estes dois métodos não são empregados.