Vyhledávání na webu

Arpwatch – Monitorování aktivity Ethernetu v Linuxu

Arpwatch je počítačový softwarový program s otevřeným zdrojovým kódem, který vám pomáhá sledovat aktivitu provozu v Ethernetu (jako je Změna IP a MAC adres) ve vaší síti a udržuje databázi párování ethernet/ip adres.

Vytváří protokol zaznamenaného párování informací o IP a MAC adrese spolu s časovým razítkem, takže můžete pečlivě sledovat, kdy se v síti objevila aktivita párování. Má také možnost zasílat zprávy e-mailem správci sítě, když je přidáno nebo změněno párování.

Nástroj Arpwatch je zvláště užitečný pro správce sítě, aby mohli sledovat aktivitu ARP a detekovat spoofing ARP nebo neočekávané Úpravy IP/MAC adres.

Instalace Arpwatch v Linuxu

Nástroj Arpwatch není nainstalován v distribucích Linuxu, k jeho instalaci ze systémových úložišť, jak je znázorněno, je třeba použít výchozího správce balíčků.

sudo apt install arpwatch             [On Debian, Ubuntu and Mint]
sudo yum install arpwatch             [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch  [On Gentoo Linux]
sudo apk add arpwatch                 [On Alpine Linux]
sudo pacman -S arpwatch               [On Arch Linux]
sudo zypper install arpwatch          [On OpenSUSE]

Po instalaci si můžete prohlížet nejdůležitější soubory arpwatch, umístění souborů se mírně liší v závislosti na vašem operačním systému.

  • /usr/lib/systemd/system/arpwatch – Služba arpwatch pro spouštění nebo zastavování démona.
  • /etc/sysconfig/arpwatch – Toto je hlavní konfigurační soubor arpwatch.
  • /usr/sbin/arpwatch – Binární příkaz ke spuštění a zastavení nástroje přes terminál.
  • /var/lib/arpwatch/arp.dat – Toto je hlavní databázový soubor, kde se zaznamenávají adresy IP/MAC.
  • /var/log/messages – Soubor protokolu, kam arpwatch zapisuje jakékoli změny nebo neobvyklé aktivity na IP/MAC.

Nyní spusťte následující příkaz pro spuštění služby arpwatch.

systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch

Jak používat příkazy Arpwatch v Linuxu

Chcete-li sledovat konkrétní rozhraní, zadejte následující příkaz s -i a názvem zařízení.

arpwatch -i eth0

Takže kdykoli je připojena nová MAC nebo konkrétní IP mění svou MAC adresu v síti, všimnete si záznamů syslog v '/var/log/syslog' nebo '/ var/log/message' pomocí příkazu tail.

tail -f /var/log/messages
Ukázkový výstup
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

Výše uvedený výstup zobrazí novou pracovní stanici. Pokud jsou provedeny nějaké změny, získáte následující výstup.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Aktuální tabulku ARP můžete také zkontrolovat pomocí následujícího příkazu.

arp -a
Ukázkový výstup
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Pokud chcete posílat upozornění na své vlastní e-mailové ID, otevřete hlavní konfigurační soubor „/etc/sysconfig/arpwatch“ a přidejte e-mail, jak je uvedeno níže.

-u <username> : defines with what user id arpwatch should run
-e <email>    : the <email> where to send the reports
-s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Zde je příklad e-mailového hlášení, když je připojen nový MAC.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2022 15:32:29

Zde je příklad e-mailového hlášení, když IP změní svou MAC adresu.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2022 15:43:45
  previous timestamp: Monday, April 15, 2022 15:32:29 
               delta: 9 minutes

Jak můžete vidět výše, zaznamenává Název hostitele, IP adresu, Adresu MAC, Jméno dodavatele a časová razítka.

Další informace naleznete na manuálové stránce arpwatch kliknutím na „man arpwatch“ na terminálu.

man arpwatch