是的,我知道 ARP,但它在某种程度上依赖于 IP 层连接,因为远程系统必须在可识别的子网上配置 IP。有没有办法只转储接口所看到的以太网帧的 MAC 地址;无论是最近还是自接口初始化以来——我不挑剔哪个。
答案1
我认为你需要将你的网卡设置为混杂模式该页面上有十多个工具,可以通过过滤或直接使用来让您做您想做的事情。
答案2
您可以使用内核事件跟踪器来执行此操作,例如系统水龙头或者长期. SystemTap 有探测::netdev.rx并且 LTTng 有接收,无论哪种方式都可以实现你想要的效果。
不过,我同意@user的观点。数据包捕获可能是最好的选择。
答案3
arp -an 将显示您要查找的内容。MAC 保留在表中的时间有一个超时时间。
#arp -an
? (128.46.16.1) at f8:66:f2:9c:3d:25 [ether] on br0
答案4
这听起来确实像你在要求 arpwatch:http://www.securityfocus.com/tools/142
它将保存一个数据库,当它在您配置的任何接口上看到新的 MAC 地址时,会向您发送电子邮件。