Arpwatch – Az Ethernet-tevékenység megfigyelése Linux alatt
Az Arpwatch egy nyílt forráskódú számítógépes szoftver, amely segít nyomon követni az Ethernet forgalmi tevékenységet (például IP-módosítás és MAC-címek).) a hálózaton, és adatbázist tart fenn az ethernet/ip cím párosításokról.
Naplót készít az IP- és MAC-cím információinak észlelt párosításáról egy időbélyeggel együtt, így gondosan figyelheti, mikor jelent meg a párosítási tevékenység a hálózaton. Lehetősége van arra is, hogy e-mailben jelentéseket küldjön a hálózati rendszergazdának, ha párosítást adnak hozzá vagy módosítanak.
Az Arpwatch eszköz különösen hasznos a hálózati rendszergazdák számára, akik figyelemmel kísérhetik az ARP-tevékenységet az ARP-hamisítás vagy váratlan észlelése érdekében. IP/MAC cím módosítása.
Az Arpwatch telepítése Linux alatt
Az Arpwatch eszköz nincs telepítve Linux disztribúciókra, az alapértelmezett csomagkezelővel kell telepítenie a rendszer tárolóiból az ábrán látható módon.
sudo apt install arpwatch [On Debian, Ubuntu and Mint]
sudo yum install arpwatch [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch [On Gentoo Linux]
sudo apk add arpwatch [On Alpine Linux]
sudo pacman -S arpwatch [On Arch Linux]
sudo zypper install arpwatch [On OpenSUSE]
Telepítés után megtekintheti a legfontosabb arpwatch fájlokat, a fájlok helye az operációs rendszertől függően kissé eltér.
- /usr/lib/systemd/system/arpwatch – Az arpwatch szolgáltatás a démon indításához vagy leállításához.
- /etc/sysconfig/arpwatch – Ez az arpwatch fő konfigurációs fájlja.
- /usr/sbin/arpwatch – Bináris parancs az eszköz indításához és leállításához a terminálon keresztül.
- /var/lib/arpwatch/arp.dat – Ez a fő adatbázisfájl, amelybe az IP/MAC-címek rögzítésre kerülnek.
- /var/log/messages – A naplófájl, amelybe az arpwatch bármilyen változást vagy szokatlan tevékenységet ír az IP/MAC-ba.
Most futtassa a következő parancsot az arpwatch szolgáltatás elindításához.
systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch
Az Arpwatch parancsok használata Linuxban
Egy adott interfész megtekintéséhez írja be a következő parancsot a -i
karakterlánccal és az eszköznévvel.
arpwatch -i eth0
Így amikor egy új MAC-t csatlakoztatnak, vagy egy adott IP megváltoztatja a MAC-címét a hálózaton, rendszernapló-bejegyzéseket fog észlelni a „/var/log/syslog” vagy „/ var/log/message' fájlt a tail paranccsal.
tail -f /var/log/messages
Minta kimenet
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
A fenti kimenet egy új munkaállomást jelenít meg. Ha bármilyen változtatás történik, a következő kimenetet kapja.
Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Az aktuális ARP táblát is ellenőrizheti a következő paranccsal.
arp -a
Minta kimenet
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0
Ha riasztásokat szeretne küldeni az egyéni e-mail azonosítójára, nyissa meg a fő konfigurációs fájlt „/etc/sysconfig/arpwatch”, és adja hozzá az e-mailt az alábbiak szerint.
-u <username> : defines with what user id arpwatch should run
-e <email> : the <email> where to send the reports
-s <from> : the <from>-address
OPTIONS="-u arpwatch -e [email -s 'root (Arpwatch)'"
Íme egy példa egy e-mailes jelentésre, amikor egy új MAC csatlakoztatva van.
hostname: centos
ip address: 172.16.16.25
interface: eth0
ethernet address: 00:24:1d:76:e4:1d
ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
timestamp: Monday, April 15, 2022 15:32:29
Íme egy példa egy e-mailes jelentésre, amikor egy IP megváltoztatja a MAC-címét.
hostname: centos
ip address: 172.16.16.25
interface: eth0
ethernet address: 00:56:1d:36:e6:fd
ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
timestamp: Monday, April 15, 2022 15:43:45
previous timestamp: Monday, April 15, 2022 15:32:29
delta: 9 minutes
Amint fentebb látható, rögzíti a Gazdagép nevét, IP-címét, MAC-címét, Szállító nevét és időbélyegek.
További információért tekintse meg az arpwatch man oldalát a „man arpwatch” gomb megnyomásával a terminálon.
man arpwatch