Arp方式监听的检测

　　首先是借助检测ip地址和mac地址对应的工具，如arpwatch，安装了arpwatch的系统在发生mac地址变化时会在系统的日志文件中看到如下提示

   Apr2123:05:00192.168.1.35arpwatch:flipflop192.168.1.330:90:6d:f2:24:0（8:0:20:c8:fe:15）
   Apr2123:05:02192.168.1.35arpwatch:flipflop192.168.1.338:0:20:c8:fe:15（0:90:6d:f2:24:0）
   Apr2123:05:03192.168.1.35arpwatch:flipflop192.168.1.330:90:6d:f2:24:0（8:0:20:c8:fe:15）

　　从提示中可以看出arpwatch检测到了网关mac地址发生了改变。

　　其次借助于一些入侵检测系统，如snort，亦可以起到的一定的检测作用。在snort的配置文件中打开arpspoof的preprocessor开关并进行配置即可。

　　作者本人试验发现，如果采用本地解析时，观测局域网本地的dns服务器的反解是一个好的办法，因为发起arpspoof的主机会不间断的尝试正反解析冒充的网关ip，发送数量非常多的重复解析数据包，当怀疑有arpspoof时很容易被发现，如下：

   nameserver#tcpdump-n-s0port53
   tcpdump:listeningonhme0
   23:19:22.489417192.168.1.35.41797＞192.168.1.68.53:32611+PTR?33.224.102.202.in-addr.arpa.（45）（DF）
   23:19:22.490467192.168.1.35.41798＞192.168.1.68.53:32611+PTR?33.224.102.202.in-addr.arpa.（45）（DF）

   结束语

　　上面我们介绍了网络监听技术的几个主要方面，包括网络监听的主要技术细节，具体实现，检测方法等。此外还介绍了一种非传统的监听方式，通过本文，希望读者能对网络监听产生一些认识。