기본적으로 패킷 캡쳐 라이브러리인 libpcap을 설치하여야 하며 첨부 파일을 다운로드 받아 압축 해제한다.

그리고 변경된 ARP 정보 반견시 메일을 수신할 이메일 주소를 설정하기 위해 address.h.in 파일을 열어

#define WATCHER "system@hanbiro.com"
#define WATCHEE" "arpwatch(server ip)"

로 수정해주고 ./configure;make;make install 해준다.

설치후에
#touch /var/log/arp.log
#/usr/local/sbin/arpwatch -d -f /var/log/arp.log

=> 현재 네트워크의 MAC 정보와 IP 정보를 매칭하여 /var/log/arp.log 파일에 데이타 베이스 쌍을 생성한다.

데이터 베이스 생성이 완료된후 /usr/local/sbin/arpwatch -N -f /var/log/arp.log를 실행하여 두면 실시간으로 ARP 트래픽을 체크하여 새로운 MAC  정보가 추가되거나 MAC 정보가 변경되는 등 현재의 데이터 베이스 정보와 다른 정보가 발견 시에는 앞에서 지정한 관리자에게 해당하는 내용에 대해 통보를 하고 데이타  베이스을 갱신하게 된다.