在Linux/Unix中，如何检测ARP欺骗？

解决方案

使用arpwatch命令可以跟踪以太网/ip地址配对。
Arpwatch使用pcap侦听本地以太网接口上的arp数据包。

安装arpwatch

在Debian/Ubuntu Linux下使用apt-get命令安装：

# apt-get install arpwatch

或者

$ sudo apt-get install arpwatch

arpwatch命令示例

可以使用以下命令查看eth0的arp数据。

# arpwatch -i eth0

检测到变更时，日志将写在/var/log/syslog文件(或/var/log/message文件)中：

# tail -f /var/log/syslog

输出：

May 10 15:59:34 debian arpwatch: new station 192.168.1.2 0:17:9a:a:f6:44 eth0
May 10 16:01:34 debian arpwatch: changed station 192.168.1.2 0:17:9a:b:f6:f6 
(0:17:9a:a:f6:44)

还可以使用arp -a命令显示当前的ARP表：

$ arp -a