FF:FF:FF:FF:FF:FF 是广播 MAC 地址，与ARP 表（命令）中的广播 IP 地址相关联。arp -a可能有人在毒害您，但您可能将广播 IP 地址误认为网关 IP 地址。

以下是通过警报或阻止攻击来提供 ARP 安全性的工具：

• XArp：高级 ARP 欺骗检测、主动探测和被动检查。两个用户界面：具有预定义安全级别的普通视图、具有检测模块的每个接口配置的视图和主动验证。Windows 和 Linux，基于 GUI。
• Snort： Snort预处理器 Arpspoof，检测 arp 欺骗。
• Arpwatch：以太网监控程序；用于跟踪以太网/IP 地址配对，
• ArpON：便携式处理程序守护程序，用于保护 ARP 免受静态、动态和混合网络中的欺骗、缓存中毒或中毒路由攻击。
• Antidote：Linux 守护进程，监控映射，异常大量的 ARP 数据包。
• Arp_Antidote : Linux Kernel Patch for 2.4.18 - 2.4.20，监视映射，可以定义何时采取的行动。
• ArpAlert：它在网络接口上侦听（不使用“混杂”模式）并捕获所有 MAC 地址到 IP 请求的对话。然后，它将检测到的 MAC 地址与预先配置的授权 MAC 地址列表进行比较。如果 MAC 不在列表中，arpalert 将使用 MAC 地址和 IP 地址作为参数启动一个预定义的用户脚本。本软件可以在守护模式下运行；它非常快（低 CPU 和内存消耗）。它响应信号 SIGHUP（配置重新加载）和信号 SIGTERM、SIGINT、SIGQUIT 和 SIGABRT（arpalert 自行停止）
• ArpwatchNG：监控网络上的mac地址并将它们写入文件。最后知道时间戳和更改通知包括在内。使用它来监视未知的（因此，可能是入侵者的）mac 地址或有人在弄乱您的 arp_/dns_tables。

https://en.wikipedia.org/wiki/ARP_spoofing

还有一个Bro脚本可以被动检测 ARP 欺骗。它监控 ARP 请求和回复以发现潜在的欺骗。作者是这样描述的：

1. 使用 ARP 欺骗作为方法的攻击者可以发送无偿回复（关于现有 IP 到 MAC 对应关系的信息），或者通过欺骗发送者硬件地址和/或发送者协议地址字段向一个或多个受害者发送许多请求。此脚本检查作为未经请求的回复的免费 ARP 数据包，以及多次发送的具有相同信息的 ARP 请求。攻击者需要发送许多任一类型的欺骗数据包才能继续攻击（否则受害者将停止将其流量导向攻击者提供的位置）。

2. 此脚本利用 DHCP 事务、ARP 请求和回复的一致状态以及其他指标的知识，以便提供有关潜在攻击的更准确信息。为了让攻击者拒绝受害者服务或发起 MITM 攻击，攻击者需要提供受害者网关的欺骗 MAC 地址。为了保持攻击的持续性，攻击者会发送许多欺骗数据包，这些数据包是可以统计的。这些欺骗性数据包可能会将 IP 更改为 MAC 映射，这也可以被检测到。

它目前位于一个单独的 github 存储库中，但我们最终将集成到 master 中。

如果您熟悉网络，最好和最可靠的方法是启动一个wireshark 副本并查找可疑请求。

您还可以查看您和互联网之间的简单跟踪打印输出，如果您看到不应该存在的跃点，那么您可能受到攻击。

此外，通过简单地 ping 所有本地机器（nmap -sP 192.168.1.0/24 将很快完成此操作）然后检查 ARP 表 (arp -an) 是否有重复项，您可以很快检测到 ARP 中毒。

以下链接应该会有所帮助：

星点托管

OSTalks.com

希望有帮助！

对于无线连接，您可以使用命令行工具“arp”。

此工具具有在其输出的第一行显示您的路由器的意外属性。使用此顺序打印的输出显然是偶然的（我从据称与开发人员沟通过的人那里了解到这一点），但它是可靠的。

同样，仅在无线连接上，此命令将在输出的第一行列出您的网关，无论是否被欺骗。如果该线路与路由器以外的网络上其他人的计算机匹配，则您的 arp 表已中毒。