Arpwatch-Arp攻击检测器官方版

Arpwatch 是一款专业的 Arp 攻击检测器，能实时监测网络中的 ARP 活动，精准发现并阻断 Arp 攻击，保障网络安全，其日志记录功能十分实用。我曾经在单位网络常受攻击、状况频出时用上它。此功能详细记录每次 ARP 变动，像 IP 和 MAC 地址的异常绑定，让我能快速定位攻击源头，及时采取防护措施，迅速解决网络不稳定问题，让工作得以正常开展。

使用方法

　　安装：
#tar -zxvf arpwatch.tar.gz
#cd arpwatch
#./configure
#make
#make installARPWatch
将默认安装到/usr/local/sbin下。
运行ARPWatch时，当其在网络中发现一个新的MAC地址时，将向SYSLOG守护进程报告。其会频繁地向/var/log.messages文件输出。
可以通过 grep arpwatch /var/log/messages 命令查看ARPWatch找到的新主机。
ARPWatch还会向系统中的root帐号发送邮件报告新发现主机的细节信息。
ARPWatch有一个监控数据库，名为arp.dat。在不同的系统中，其位置可能会有变化。可以通过find / -name "arp.dat"来查找它的位置。
如果要重新设置arp.dat数据库，可以删除它，再建立之。
*注意:如果攻击者修改了该文件并且手动添加了自己的条目，那么当ARPWatch发现一个新的主机后将不会通知你。所以，需要确保arp.dat文件被AIDE等HIDS所监控。