Arpwatch是LBNL網絡研究組出品的一款經典的ARP中間人（man-in-the-middle）攻擊檢測器。它記錄網路活動的系統日志，并將特定的變更通過Email報告給管理員。Arpwatch使用LibPcap來監聽本地以太網接口ARP數據包。ARPWatch是一個守護進程，其用來監視網絡中出現的新的以太網接口。如果發現了一個新的ARP數據包，就表示發現了一個新的計算機接入網絡。

下載鏈接：http://down.51cto.com/data/149296

>>去網絡安全工具百寶箱看看其它安全工具

ARPWatch需要PCap函數庫（libpcap），可以在http://www.tcpdump.org下載。

ARPWatch相關網頁：http://sparemint.atariforge.net/sparemint/html/packages/arpwatch.html

安裝：

#tar -zxvf arpwatch.tar.gz
#cd arpwatch
#./configure
#make
#make install

ARPWatch將默認安裝到/usr/local/sbin下。

運行ARPWatch時，當其在網絡中發現一個新的MAC地址時，將向SYSLOG守護進程報告。其會頻繁地向/var/log.messages文件輸出。

可以通過 grep arpwatch /var/log/messages 命令查看ARPWatch找到的新主機。

ARPWatch還會向系統中的root帳號發送郵件報告新發現主機的細節信息。

ARPWatch有一個監控數據庫，名為arp.dat。在不同的系統中，其位置可能會有變化。可以通過find / -name "arp.dat"來查找它的位置。

如果要重新設置arp.dat數據庫，可以刪除它，再建立之。

*注意:如果攻擊者修改了該文件并且手動添加了自己的條目，那么當ARPWatch發現一個新的主機后將不會通知你。所以，需要確保arp.dat文件被AIDE等HIDS所監控。