如何使用Linux ARP嗅探进行网络监控？（linux arp 嗅探）

一、什么是ARP嗅探

ARP嗅探（Address Resolution Protocol）也叫欺骗嗅探，是一种嗅探技术，它通过捕获广播出去的ARP报文，得到存在于网络中的IP和MAC地址对应关系，并进行信息关联处理，可以发现网络的可用性、拓扑结构以及网络上的主机信息等，因此，ARP嗅探是网络监控的一种非常有效的手段。

二、Linux 下ARP嗅探

使用Linux ARP嗅探，可以方便地检测网络中IP地址和MAC地址的对应关系，也可以获得其他信息，以支持网络管理和监控。

1、使用arp watch命令进行ARP嗅探

arp watch是一款Linux下的ARP嗅探软件，它可以监视网络的MAC地址和IP地址变化，以便进行网络管理和安全监控。使用命令行参数“-Si（获取IP地址）-a （列出ARP表）”可以查看网络的ARP表信息，例如：

# arp watch -Si -a

IP地址 MAC地址 接口

192.168.0.1 ff:aa:bc:11:22:33 eth0

192.168.0.2 dd:cc:ee:44:55:66 eth0

2、使用tcpdump命令进行ARP嗅探

tcpdump是一个Linux下的命令行工具，能够拦截并检查网络中的各种数据报文，其中也包括arp报文。通过使用tcpdump，可以获得发出和接收的ARP报文的相关信息，此外还可以设定过滤条件，来检测指定IP地址的网络信息，例如：

# tcpdump -i eth0 -n arp

获取eth0接口上发出和接收的ARP报文

三、使用Linux ARP嗅探进行网络监控

1、 发现网络可用性

通过监控发出和接收的ARP报文，可以发现网络中各个IP地址的存活情况，同时也可以通过收集ARP信息发现网络可用性。

2、 获得网络拓扑结构

通过ARP嗅探可以获得网络中各节点的IP和MAC地址，从而可以将网络中的各节点连接到一起，获取网络的拓扑结构信息。

3、获取主机信息

使用ARP嗅探可以获取网络中各个主机的IP地址和操作系统的内核信息，便于用户自动识别网络中的主机，从而更有效地进行网络管理和测试。

四、总结

使用Linux ARP嗅探の网络监控，可以方便地获得网络拓扑结构和主机信息等信息，从而更有效地进行网络管理和安全控制。