🖧 Arpwatch – мониторинг активности Ethernet {IP и Mac-адрес} на Linux |
Главная » Мануал

🖧 Arpwatch – мониторинг активности Ethernet {IP и Mac-адрес} на Linux

Мануал
На чтение 4 мин Опубликовано

Arpwatch – это компьютерная программа с открытым исходным кодом, которая помогает вам отслеживать активность трафика Ethernet (например, смену IP и MAC-адресов) в вашей сети и ведет базу данных пар ethernet/ip-адресов.

Она создает журнал замеченных сопряжений IP- и MAC-адресов вместе с меткой времени, так что вы можете внимательно проследить, когда в сети появилась активность сопряжения.

В программе также есть возможность отправлять отчеты по электронной почте администратору сети при добавлении или изменении сопряжения.

Инструмент Arpwatch особенно полезен для сетевых администраторов, следящих за ARP-активностью для обнаружения ARP-спуфинга или неожиданных изменений IP/MAC-адресов.

Установка Arpwatch на Linux

Инструмент Arpwatch не установлен в дистрибутивах Linux, вам необходимо использовать стандартный менеджер пакетов для его установки из системных репозиториев, как показано далее:



sudo apt install arpwatch             [На Debian, Ubuntu и Mint]
sudo yum install arpwatch             [На RHEL/CentOS/Fedora и Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch  [На Gentoo Linux]
sudo apk add arpwatch                 [На Alpine Linux]
sudo pacman -S arpwatch               [На Arch Linux]
sudo zypper install arpwatch          [На OpenSUSE]

После установки вы можете просмотреть наиболее важные файлы arpwatch, расположение файлов немного отличается в зависимости от вашей операционной системы.

  • /usr/lib/systemd/system/arpwatch – Служба arpwatch для запуска или остановки демона.
  • /etc/sysconfig/arpwatch – Это основной файл конфигурации arpwatch.
  • /usr/sbin/arpwatch – Двоичная команда для запуска и остановки инструмента через терминал.
  • /var/lib/arpwatch/arp.dat – Это основной файл базы данных, в который записываются IP/MAC-адреса.
  • /var/log/messages – Файл журнала, в который arpwatch записывает любые изменения или необычные действия с IP/MAC.

Теперь выполните следующую команду для запуска службы arpwatch.



systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch

Как использовать команды Arpwatch на Linux

Чтобы наблюдать за определенным интерфейсом, введите следующую команду с параметром -i и именем устройства.



arpwatch -i eth0

Таким образом, каждый раз, когда подключается новый MAC или определенный IP меняет свой MAC-адрес в сети, вы заметите записи syslog в файле ‘/var/log/syslog’ или ‘/var/log/message’ с помощью команды tail.



tail -f /var/log/messages

Пример вывода:

Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

Приведенный выше вывод отображает новую рабочую станцию.

Если были внесены какие-либо изменения, вы получите следующий результат.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Вы также можете проверить текущую таблицу ARP, используя следующую команду.



arp -a

Пример вывода:

itsecforu.ru (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Если вы хотите отправлять оповещения на ваш пользовательский email id, то откройте основной файл конфигурации ‘/etc/sysconfig/arpwatch’ и добавьте email, как показано ниже.

# -u <username> : defines with what user id arpwatch should run
# -e <email>    : the <email> where to send the reports
# -s <from>     : the <from>-address
OPTIONS="-u arpwatch -e admin@itsecforu.com -s 'root (Arpwatch)'"

Вот пример отчета по электронной почте, когда подключается новый MAC.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2022 15:32:29

Вот пример отчета по электронной почте, когда IP-адрес меняет свой MAC-адрес.

         hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2022 15:43:45
  previous timestamp: Monday, April 15, 2022 15:32:29 
               delta: 9 minutes

Как вы можете видеть выше, вывод записывает имя хоста, IP-адрес, MAC-адрес, имя вендора и временные метки.

Для получения дополнительной информации см. страницу руководства arpwatch, нажав ‘man arpwatch’ на терминале.



man arpwatch
см. также:
  1. Как обнаружить дублирующийся IP-адрес в сети в Linux
  2. Использование Ubuntu в качестве основной ОС, часть 4 (аудит, антивирус и мониторинг)
  3. JShielder – скрипт автоматического усиления безопасности для Linux-серверов
  4. Обзор бесплатных фаерволов для защиты вашей сети

linux network
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий