Да, я знаю об ARP, но он в некоторой степени зависит от подключения на уровне IP, поскольку удаленная система должна быть настроена с IP-адресом в распознанной подсети. Есть ли способ просто сбросить, с каких MAC-адресов интерфейс видел кадры Ethernet; либо недавно, либо после инициализации интерфейса - я не придирчив.
Вы можете сделать это с помощью трассировщика событий ядра, такого как SystemTap или LTTng. SystemTap имеет зонд :: netdev.rx и LTTng имеет net_dev_receive, любой из которых должен делать то, что вы хотите.
Однако я согласен с @user. Захват пакетов, вероятно, ваш лучший выбор.
Я думаю, что вам нужно настроить свою сетевую карту под беспорядочные половые связи на этой странице есть более десятка инструментов, которые либо посредством фильтрации, либо напрямую позволят вам делать то, что вы хотите.
arp -an покажет, что вы ищете. Существует время, в течение которого MAC будет оставаться в таблице.
#arp -an
? (128.46.16.1) at f8:66:f2:9c:3d:25 [ether] on br0
Похоже, вы просите arpwatch: http://www.securityfocus.com/tools/142
Он будет вести базу данных и отправлять вам сообщения электронной почты, когда он видит новые MAC-адреса на любом интерфейсе, для которого вы его настраиваете.