Orodje Arpwatch za spremljanje dejavnosti Ethernet v Linuxu

Arpwatch je odprtokodna računalniška programska oprema, ki vam pomaga nadzirati prometno aktivnost Ethernet (kot je spreminjanje naslovov IP in MAC) v vašem omrežju in vzdržuje bazo podatkov o seznanjanju ethernet/ip naslovov. Ustvari dnevnik opaženih seznanitev informacij o naslovih IP in MAC skupaj s časovnimi žigi, tako da lahko pozorno spremljate, kdaj se je aktivnost seznanjanja pojavila v omrežju. Prav tako ima možnost pošiljanja poročil po e-pošti skrbniku omrežja, kadar je dodajanje ali sprememba seznanjanja.

To orodje je posebej uporabno za skrbnike omrežij, da spremljajo ARP dejavnost, da zaznajo prevara ARP ali nepričakovane spremembe naslovov IP/MAC.

Namestitev Arpwatch v Linux

Orodje Arpwatch privzeto ni nameščeno v nobeni distribuciji Linuxa. Namestiti ga moramo ročno z ukazom 'yum' v RHEL, CentOS, Fedora in 'apt-get' v Ubuntu, Linux Mint in Debian .

# yum install arpwatch
$ sudo apt-get install arpwatch

Osredotočimo se na nekatere najpomembnejše datoteke arpwatch, lokacija datotek se nekoliko razlikuje glede na vaš operacijski sistem.

  1. /etc/rc.d/init.d/arpwatch: Storitev arpwatch za zagon ali zaustavitev demona.
  2. /etc/sysconfig/arpwatch: To je glavna konfiguracijska datoteka ...
  3. /usr/sbin/arpwatch: binarni ukaz za zagon in zaustavitev orodja prek terminala.
  4. /var/arpwatch/arp.dat: To je glavna datoteka zbirke podatkov, kjer so zabeleženi naslovi IP/MAC.
  5. /var/log/messages: Dnevnik, kamor arpwatch v IP/MAC zapiše kakršne koli spremembe ali nenavadne dejavnosti.

Vnesite naslednji ukaz, da zaženete storitev arpwatch.

# chkconfig --level 35 arpwatch on
# /etc/init.d/arpwatch start
$ sudo chkconfig --level 35 arpwatch on
$ sudo /etc/init.d/arpwatch start

Če si želite ogledati določen vmesnik, vnesite naslednji ukaz z ‘-i’ in imenom naprave.

# arpwatch -i eth0

Torej, vsakič, ko je nov MAC priključen ali določen IP spremeni svoj MAC naslov v omrežju, boste v datoteki '/ var/log/syslog' ali '/ var/log/message' opazili vnose syslog.

# tail -f /var/log/messages
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

Zgornji izhod prikazuje novo delovno postajo. Če pride do kakršnih koli sprememb, boste dobili naslednje rezultate.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Trenutno tabelo ARP lahko preverite tudi z naslednjim ukazom.

# arp -a
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Če želite poslati opozorila na svoj e-poštni ID po meri, odprite glavno konfiguracijsko datoteko "/ etc/sysconfig/arpwatch" in dodajte e-poštno sporočilo, kot je prikazano spodaj.

# -u <username> : defines with what user id arpwatch should run
# -e <email>    : the <email> where to send the reports
# -s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Tu je primer e-poštnega poročila, ko je vklopljen nov MAC.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2012 15:32:29

Tu je primer e-poštnega poročila, ko IP spremeni svoj naslov MAC.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2012 15:43:45
  previous timestamp: Monday, April 15, 2012 15:32:29 
               delta: 9 minutes

Kot lahko vidite zgoraj, zapisuje ime gostitelja, naslov IP, naslov MAC, ime prodajalca in časovne žige. Če želite več informacij, glejte stran z informacijami o arpwatch, tako da na terminalu pritisnete »man arpwatch«.