如果您查看数据包，则欺骗性 ARP 回复和真实 ARP 回复的格式绝对没有区别：它们看起来相同。

是什么让真正的 ARP 回复成为现实？它来自合法拥有查询 IP 地址的计算机。

是什么让虚假的 ARP 回复成为虚假的？它来自与真正拥有该 IP 地址的计算机不同的计算机。

此外，可能还有代理 ARP服务器，尽管这些服务器并不常见。这些代表具有 IP 地址的计算机回复 ARP，但它们是合法的，因为它们是由网络管理员为此目的设置的。

如您所见，唯一的区别是它们是否合法。

如果您在网络上监控 ARP，则很难区分

• 一台计算机改变了它的网卡：一个给定的 IP 地址用一个 MAC 地址和一个不同的 MAC 地址响应 ARP
• 通过 DHCP 租约更改或手动重新配置从一台计算机向另一台计算机提供 IP 地址
• 两个代理 ARP 服务器
• ARP欺骗回复

您需要额外的信息才能知道哪个是哪个。

除了 jonathanjo 的好答案，还有一些方法可以验证 ARP 响应。某些交换机允许您配置 DHCP 侦听，以便

1. 仅授权的 DHCP 服务器工作（流氓 DHCP 提议被丢弃）
2. 监听的 IP-MAC 组合在交换机上不断受到监控，其他组合被丢弃（称为动态 ARP 检查或动态 ARP 保护）

当然，MAC 地址也可以被欺骗，但这是另一个问题。

但是，针对基于 ARP 的攻击的最佳防御是使它们无用。分离攻击者和目标（将服务器移动到它们自己的子网和 VLAN 中）并且不依赖 IP 地址来确保安全。

除了给出的答案，根据我自己的经验，ARP欺骗通常使用免费ARP并发送相对较多的数据包，以淹没实际主机。我在 HA 集群故障转移场景中使用了这个策略（当主机在网络堆栈级别之上死亡时）。

如果我怀疑 ARP 欺骗者，我首先要寻找的是异常高频率的 ARP 包。在一个微不足道的实现中，它们甚至可能定期出现。