检测及故障追踪方法：
　　1、 ARP -A 查看ARP 地址表及扫描法：
　　在受害机用arp -d 清除ARP表然后用arp -a 查看MAC地址表，如发现网关MAC不是真正的MAC，则收到ARP攻击。并且此MAC为攻击机的MAC。
　　用局域网MAC地址扫描攻击扫描整个网络的IP和MAC对应关系，如果发现大量重复MAC,并且相对应的机器也没有配置多个IP，则网络有ARP攻击。并且此MAC为攻击机的MAC。
　　2、 查看交换机的MAC地址表：
　　在交换机上查看交换机的MAC地址表，找到攻击机的MAC对应的端口，如果有交换机级联则逐级查找，找到对应的PC即为进行欺骗的机器。
　　3、 本机抓包：
　　在本机抓包如果抓包大量的Reply报文，则发该报文的机器即为攻击机。
　　4、 交换机端口镜像抓包：
　　原理同3，用于整个网络不稳定，比较慢，但是查看端口流量不是很大的情况。

　　总结：
　　1、 ARP欺骗是利用大量reply报文来淹没正常Replay报文达到欺骗目的的。
　　2、 目前简单的防御方法是采用ARP绑定，建议两端同时绑。
　　3、 建议彻底的防御方法是采用PVLAN的方法，但是此时PC间的通讯也受到阻塞。
　　4、 可采用屏蔽ARP报文的方法，在交换机采用访问控制列表，或者是修改操作系统（目前只知道UNIX/LINUX 可以）的方法关闭ARP协议，这样局域网间的通讯仅靠手工的MAC绑定来限制。
　　5、 采用更加细致的二层访问控制列表，仅允许网关的arp reply报文通过，或仅允许正确的arp reply报文通过，此方法需要交换机支持，并且也N麻烦。