此外，ettercap的作者指出，内核为2.4.x的linux系统在arp实现中，考虑到了arp欺骗，不会接受未经请求的arp回应，因此直接向这种系统发送arpreply也是无效的，不过，有意思的是虽然它不会接受未经请求的arpreply，但是只要接收到arp的request，它就会更新自己的arp缓存，；），如此就好办了，发送一个伪造的arprequest即可！不过，作者在自己实验时没有发现这个问题，作者内核为2.4.7的系统接受了直接的arpreply，并更新了自己的arp表。

　　如果一切配置正常的话，被重定向的a机是不会有什么明显的感觉的，网络照常是通畅的，只是在后台数据都绕了一个小圈子，不是直接到网关,而是先经由b机，再由b机转发到网关，因为数据包都经过了b机，那么在b机上起一个网络监听软件，a机的所有数据必然会被监听到。交换环境下的监听由此实现！

　　除此之外，dsniff还提供了macof等淹没交换机arp表等进行监听的模式，这里就不介绍了，有兴趣的读者可以自己查阅相关资料。

   Arp方式监听的防范

　　对付采用arp方式的监听也是个比较棘手的问题，有几个不是非常理想的对策。

　　首先还是上面提到的加密，尽可能的让局域网内的传输的数据都是秘文的，这个可能相对最理想的防范方法，但实施起来可能有一点困难。有一点要注意，ssh1是不安全的，我们提到的dsniff和ettercap都可以对ssh1实施中间人的监听。

　　另外，还可以考虑指定静态arp，如大多数unix系统支持arp读取指定的ip和mac地址对应文件，首先编辑内容为ip和mac地址对照的文件，然后使用命令：arp-f/path/to/ipandmacmapfile读取文件，这样就指定了静态的arp地址，即使接收到arpreply，也不会更新自己的arp缓存，从而使arpspoof丧失作用。windows系统没有-f这个参数，但有-s参数，用命令行指定ip和mac地址对照关系，如arp-s192.168.1.3300-90-6d-f2-24-00，可惜除了xp外，其它的版本的window平台即使这样做，当接收到伪造的arpreply后，依然会更新自己的arp缓存，用新的mac地址替换掉老的mac地址，所以无法对抗arpspoof。而且采用静态arp有一个缺憾，就是如果网络很大的话，工作量会非常的大。