地址解析协议 (ARP) 是一种无状态通信协议，在单个网络中用于地址解析。交换请求和响应时，ARP 不提供主机之间的身份验证。

ARP 欺骗是一种在局域网 (LAN) 中使用 ARP 的中间人攻击。攻击者通过拦截发往特定主机介质访问控制 (MAC) 地址的消息来更改与主机的通信。

arp_spoof 检查器分析 ARP 数据包并检测单播 ARP 请求。为了检测 ARP 缓存覆盖攻击，ARP 欺骗检查器会识别不一致的以太网到 IP 映射。

如果启用， arp_spoof 检查器：

• 检查以太网地址和 ARP 数据包中的地址。出现不一致时，检查器使用规则 112:2 或规则 112:3 生成警报，并在内联部署中丢弃违规数据包。

• 检查单播 ARP 请求。如果检测到单播 ARP 请求，检查器使用规则 112:1 生成警报，并且在内联部署中，检查器会丢弃违规数据包。

• 如果指定了 host[] 参数，则检查器会使用该信息检测 ARP 缓存覆盖攻击。如果检测到此类攻击，检查器会使用规则 112:4 生成警报，并在内联部署中丢弃违规数据包。