Arpwatch – это компьютерная программа с открытым исходным кодом, которая помогает вам отслеживать активность трафика Ethernet (например, смену IP и MAC-адресов) в вашей сети и ведет базу данных пар ethernet/ip-адресов.
Она создает журнал замеченных сопряжений IP- и MAC-адресов вместе с меткой времени, так что вы можете внимательно проследить, когда в сети появилась активность сопряжения.
В программе также есть возможность отправлять отчеты по электронной почте администратору сети при добавлении или изменении сопряжения.
Инструмент Arpwatch особенно полезен для сетевых администраторов, следящих за ARP-активностью для обнаружения ARP-спуфинга или неожиданных изменений IP/MAC-адресов.
Установка Arpwatch на Linux
Инструмент Arpwatch не установлен в дистрибутивах Linux, вам необходимо использовать стандартный менеджер пакетов для его установки из системных репозиториев, как показано далее:
После установки вы можете просмотреть наиболее важные файлы arpwatch, расположение файлов немного отличается в зависимости от вашей операционной системы.
- /usr/lib/systemd/system/arpwatch – Служба arpwatch для запуска или остановки демона.
- /etc/sysconfig/arpwatch – Это основной файл конфигурации arpwatch.
- /usr/sbin/arpwatch – Двоичная команда для запуска и остановки инструмента через терминал.
- /var/lib/arpwatch/arp.dat – Это основной файл базы данных, в который записываются IP/MAC-адреса.
- /var/log/messages – Файл журнала, в который arpwatch записывает любые изменения или необычные действия с IP/MAC.
Теперь выполните следующую команду для запуска службы arpwatch.
Как использовать команды Arpwatch на Linux
Чтобы наблюдать за определенным интерфейсом, введите следующую команду с параметром -i и именем устройства.
Таким образом, каждый раз, когда подключается новый MAC или определенный IP меняет свой MAC-адрес в сети, вы заметите записи syslog в файле ‘/var/log/syslog’ или ‘/var/log/message’ с помощью команды tail.
Пример вывода:
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Приведенный выше вывод отображает новую рабочую станцию.
Если были внесены какие-либо изменения, вы получите следующий результат.
Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Вы также можете проверить текущую таблицу ARP, используя следующую команду.
Пример вывода:
itsecforu.ru (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0 ? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0
Если вы хотите отправлять оповещения на ваш пользовательский email id, то откройте основной файл конфигурации ‘/etc/sysconfig/arpwatch’ и добавьте email, как показано ниже.
# -u <username> : defines with what user id arpwatch should run # -e <email> : the <email> where to send the reports # -s <from> : the <from>-address OPTIONS="-u arpwatch -e admin@itsecforu.com -s 'root (Arpwatch)'"
Вот пример отчета по электронной почте, когда подключается новый MAC.
hostname: centos ip address: 172.16.16.25 interface: eth0 ethernet address: 00:24:1d:76:e4:1d ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD. timestamp: Monday, April 15, 2022 15:32:29
Вот пример отчета по электронной почте, когда IP-адрес меняет свой MAC-адрес.
hostname: centos ip address: 172.16.16.25 interface: eth0 ethernet address: 00:56:1d:36:e6:fd ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD. old ethernet address: 00:24:1d:76:e4:1d timestamp: Monday, April 15, 2022 15:43:45 previous timestamp: Monday, April 15, 2022 15:32:29 delta: 9 minutes
Как вы можете видеть выше, вывод записывает имя хоста, IP-адрес, MAC-адрес, имя вендора и временные метки.
Для получения дополнительной информации см. страницу руководства arpwatch, нажав ‘man arpwatch’ на терминале.