ARPWatch是一个守护进程，其用来监视网络中出现的新的以太网接口。如果发现了一个新的ARP数据包，就表示发现了一个新的计算机接入网络。

ARPWatch需要PCap函数库（libpcap），可以在http://www.tcpdump.org下载。

ARPWatch相关网页：http://sparemint.atariforge.net/ ... kages/arpwatch.html

安装：

#tar -zxvf arpwatch.tar.gz
#cd arpwatch
#./configure
#make
#make install

ARPWatch将默认安装到/usr/local/sbin下。

运行ARPWatch时，当其在网络中发现一个新的MAC地址时，将向SYSLOG守护进程报告。其会频繁地向/var/log.messages文件输出。

可以通过 grep arpwatch /var/log/messages 命令查看ARPWatch找到的新主机。

ARPWatch还会向系统中的root帐号发送邮件报告新发现主机的细节信息。

ARPWatch有一个监控数据库，名为arp.dat。在不同的系统中，其位置可能会有变化。可以通过find / -name "arp.dat"来查找它的位置。

如果要重新设置arp.dat数据库，可以删除它，再建立之。

*注意:如果攻击者修改了该文件并且手动添加了自己的条目，那么当ARPWatch发现一个新的主机后将不会通知你。所以，需要确保arp.dat文件被AIDE等HIDS所监控。

arpwath命令的语法
       arpwatch [ -dN ]
               [ -f datafile ]
               [ -i interface ]
               [ -n net[/width ]]
               [ -r file ]
               [ -s sendmail_path ]
               [ -p ]
               [ -a ]
               [ -m addr ]
               [ -u username ]
               [ -R seconds ]
               [ -Q ]
               [ -z ignorenet/ignoremask ]
-d 标记用来启用调试模式.
-f 标记用来设置使用的数据库名,默认是arp.dat.
-i 用来指定网络接口.
-n 用于说明本地网络.
-r 指定读取一个由tcpdump或pcapture生成信息文件,而不从网络接口中


读取.\\-s 用于指定sendmail程序的路径.
-p 指定禁用”混合模式”.网络接口不是”混合模式”时,ARP广播也可以通过.
-a 默认情况下,arpwatch仅记录默认网络接口上,第一个IP地址子网的arp
信息.使用-a参数,则记录网络接口上所有IP地址子网的arp信息.
-m 指定一个用于接收变更信息的邮件地址.



arpwatch使用实例
# arpwatch -i eth0 -s root@localhost.localdomain
监听eth0接口,并将arp的变更信息,发送到本地的root用户邮箱中.