Orodje Arpwatch za spremljanje dejavnosti Ethernet v Linuxu
Arpwatch je odprtokodna računalniška programska oprema, ki vam pomaga nadzirati prometno aktivnost Ethernet (kot je spreminjanje naslovov IP in MAC) v vašem omrežju in vzdržuje bazo podatkov o seznanjanju ethernet/ip naslovov. Ustvari dnevnik opaženih seznanitev informacij o naslovih IP in MAC skupaj s časovnimi žigi, tako da lahko pozorno spremljate, kdaj se je aktivnost seznanjanja pojavila v omrežju. Prav tako ima možnost pošiljanja poročil po e-pošti skrbniku omrežja, kadar je dodajanje ali sprememba seznanjanja.
To orodje je posebej uporabno za skrbnike omrežij, da spremljajo ARP dejavnost, da zaznajo prevara ARP ali nepričakovane spremembe naslovov IP/MAC.
Namestitev Arpwatch v Linux
Orodje Arpwatch privzeto ni nameščeno v nobeni distribuciji Linuxa. Namestiti ga moramo ročno z ukazom 'yum' v RHEL, CentOS, Fedora in 'apt-get' v Ubuntu, Linux Mint in Debian .
# yum install arpwatch
$ sudo apt-get install arpwatch
Osredotočimo se na nekatere najpomembnejše datoteke arpwatch, lokacija datotek se nekoliko razlikuje glede na vaš operacijski sistem.
- /etc/rc.d/init.d/arpwatch: Storitev arpwatch za zagon ali zaustavitev demona.
- /etc/sysconfig/arpwatch: To je glavna konfiguracijska datoteka ...
- /usr/sbin/arpwatch: binarni ukaz za zagon in zaustavitev orodja prek terminala.
- /var/arpwatch/arp.dat: To je glavna datoteka zbirke podatkov, kjer so zabeleženi naslovi IP/MAC.
- /var/log/messages: Dnevnik, kamor arpwatch v IP/MAC zapiše kakršne koli spremembe ali nenavadne dejavnosti.
Vnesite naslednji ukaz, da zaženete storitev arpwatch.
# chkconfig --level 35 arpwatch on # /etc/init.d/arpwatch start
$ sudo chkconfig --level 35 arpwatch on $ sudo /etc/init.d/arpwatch start
Če si želite ogledati določen vmesnik, vnesite naslednji ukaz z ‘-i’ in imenom naprave.
# arpwatch -i eth0
Torej, vsakič, ko je nov MAC priključen ali določen IP spremeni svoj MAC naslov v omrežju, boste v datoteki '/ var/log/syslog' ali '/ var/log/message' opazili vnose syslog.
# tail -f /var/log/messages
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Zgornji izhod prikazuje novo delovno postajo. Če pride do kakršnih koli sprememb, boste dobili naslednje rezultate.
Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Trenutno tabelo ARP lahko preverite tudi z naslednjim ukazom.
# arp -a
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0 ? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0
Če želite poslati opozorila na svoj e-poštni ID po meri, odprite glavno konfiguracijsko datoteko "/ etc/sysconfig/arpwatch" in dodajte e-poštno sporočilo, kot je prikazano spodaj.
# -u <username> : defines with what user id arpwatch should run # -e <email> : the <email> where to send the reports # -s <from> : the <from>-address OPTIONS="-u arpwatch -e [email -s 'root (Arpwatch)'"
Tu je primer e-poštnega poročila, ko je vklopljen nov MAC.
hostname: centos ip address: 172.16.16.25 interface: eth0 ethernet address: 00:24:1d:76:e4:1d ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD. timestamp: Monday, April 15, 2012 15:32:29
Tu je primer e-poštnega poročila, ko IP spremeni svoj naslov MAC.
hostname: centos ip address: 172.16.16.25 interface: eth0 ethernet address: 00:56:1d:36:e6:fd ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD. old ethernet address: 00:24:1d:76:e4:1d timestamp: Monday, April 15, 2012 15:43:45 previous timestamp: Monday, April 15, 2012 15:32:29 delta: 9 minutes
Kot lahko vidite zgoraj, zapisuje ime gostitelja, naslov IP, naslov MAC, ime prodajalca in časovne žige. Če želite več informacij, glejte stran z informacijami o arpwatch, tako da na terminalu pritisnete »man arpwatch«.