问题描述：Debian Linux如何检测ARP欺骗？

解决方法：使用arpwatch命令来跟踪以太网/ip地址配对。
它将消息或活动记录到系统日志，并通过电子邮件报告某些更改。

Arpwatch使用pcap侦听本地以太网接口上的arp数据包。

安装arpwatch

在Debian/Ubuntu Linux下使用apt-get命令：

# apt-get install arpwatch

或者

$ sudo apt-get install arpwatch

arpwatch命令示例

您可以使用以下命令观看特定的界面：

# arpwatch -i eth0

进行更改即MAC/IP地址对更改时，您将注意到syslog条目如下/var/log/syslog文件(或/var/log/message文件)：

# tail -f /var/log/syslog

输出：

Nov 10 15:59:34 debian arpwatch: new station 192.168.1.2 0:17:9a:a:f6:44 eth0

上面的条目显示新的工作站。
如果进行了更改，您应该看到以下内容：

Nov 10 15:59:34 debian arpwatch: changed station 192.168.1.2 0:17:9a:b:f6:f6 
(0:17:9a:a:f6:44)

您也可以使用arp -a命令显示当前的ARP表：

$ arp -a