Hmmm... si alguien está haciendo un ataque MiTM con IP Spoofing o APR (aunque es raro un caso como el primero), bastaría con enviar ping's a una dirección IP falsa, como 192.168.1.275 . Te contestaría alguien, lo que quiere decir que hay alguien tocando las narices  . También puedes comprobar tu tabla ARP y ver si coinciden con las reales.

Voy a buscar más info al respecto.

Saludos!

arp(8) te puede echar una mano en inspeccionar las tablas arp

arp -a

Saludos

@beholdthe: fijate a la izquierda el (8)/es (el 8 es la sección y el /[xx] es el código de idioma disponible)
Respecto a arp, en un ataque de envenenamiento arp (a la caché), tendrías a una computadora mintiéndo sobre qué IP corresponde a qué MAC, habría que ver cómo diagramaste el ataque (léase, qué compus, que ip's y cuales son victima, router y atacante) y si largaste el arp -a mientras es efectivo

Acá está explicado cómo es, y con eso podrías interpretar mejor cómo detectarlo en una tool como arp, pero el problema es que está en inglés (deberías trabajar en aprender inglés, en serio ... todo el material jugoso está en ese idioma y si no lo aprendés tendés a estancarte, podés probar un traductor sino) : http://www.watchguard.com/infocenter/editorial/135324.asp

Saludos.

joder tio, muchas gracias, no me habia dado cuenta de que estaba en español.
Voy a ver si con todo esto nuevo que me has aportado me entero mejor.
de todas maneras, si haces el arp -a   y ves que la ip que corresponde a el router  por ej  192.168.1.1   tiene una mac diferente q la q deberia tener tu router ,  es porque alguien esta haciendote algo  no¿?¿
gracias de nuevo

arp -n