Arp方式监听的检测
首先是借助检测ip地址和mac地址对应的工具，如arpwatch，安装了arpwatch的系统在发生mac地址变化时会在系统的日志文件中看到如下提示

Apr 21 23:05:00 192.168.1.35 arpwatch: flip flop 192.168.1.33 0:90:6d:f2:24:0 (8:0:20:c8:fe:15)
Apr 21 23:05:02 192.168.1.35 arpwatch: flip flop 192.168.1.33 8:0:20:c8:fe:15 (0:90:6d:f2:24:0)
Apr 21 23:05:03 192.168.1.35 arpwatch: flip flop 192.168.1.33 0:90:6d:f2:24:0 (8:0:20:c8:fe:15)


　　从提示中可以看出arpwatch检测到了网关mac地址发生了改变。

　　其次借助于一些入侵检测系统，如snort，亦可以起到的一定的检测作用。在snort的配置文件中打开arpspoof的preprocessor开关并进行配置即可。

　　作者本人试验发现，如果采用本地解析时，观测局域网本地的dns服务器的反解是一个好的办法，因为发起arpspoof的主机会不间断的尝试正反解析冒充的网关ip，发送数量非常多的重复解析数据包，当怀疑有arpspoof时很容易被发现，如下：

nameserver# tcpdump -n -s 0 port 53
tcpdump: listening on hme0
23:19:22.489417 192.168.1.35.41797 > 192.168.1.68.53:
32611+ PTR? 33.224.102.202.in-addr.arpa. (45) (DF)
23:19:22.490467 192.168.1.35.41798 > 192.168.1.68.53:
32611+ PTR? 33.224.102.202.in-addr.arpa. (45) (DF)


　　结束语：
　　上面我们介绍了网络监听技术的几个主要方面，包括网络监听的主要技术细节，具体实现，检测方法等。此外还介绍了一种非传统的监听方式，通过本文，希望读者能对网络监听产生一些认识。

　　参考资料

Richard stevens: 《TCP/IP Illustrated, Volume 1: The Protocols》


Dsniff网站： http://www.monkey.org/~dugsong/dsniff/


Attacks Against SSH 1 And SSL的讨论： http://slashdot.org/articles/00/12/18/0759236.shtml


ettercap网站： http://ettercap.sourceforge.net/


　　关于作者
　　宫一鸣，男，河南电信网络关键设备高级系统管理员，主任工程师，中国电信优异跨世纪人才，中国电信网络安全小组核心成员，河南电信网络安全小组成员。