Arpwatch-værktøj til overvågning af Ethernet-aktivitet i Linux
Arpwatch er et open source-softwareprogram, der hjælper dig med at overvåge Ethernet-trafikaktivitet (som at ændre IP- og MAC-adresser) på dit netværk og vedligeholder en database med parring af ethernet/ip-adresser. Det producerer en log med bemærket parring af IP- og MAC-adresseoplysninger sammen med en tidsstempel, så du nøje kan se, når parringsaktiviteten dukkede op på netværket. Det har også mulighed for at sende rapporter via e-mail til en netværksadministrator, når en parring tilføjes eller ændres.
Dette værktøj er specielt nyttigt for netværksadministratorer til at holde øje med ARP-aktivitet for at opdage ARP-spoofing eller uventede ændringer i IP/MAC-adresser.
Installation af Arpwatch i Linux
Som standard er Arpwatch-værktøjet ikke installeret på nogen Linux-distributioner. Vi skal installere det manuelt ved hjælp af kommandoen ‘yum’ på RHEL, CentOS, Fedora og ‘apt-get’ på Ubuntu, Linux Mint og Debian.
# yum install arpwatch
$ sudo apt-get install arpwatch
Lad os fokusere på nogle af de vigtigste arpwatch-filer. Filernes placering er lidt anderledes afhængigt af dit operativsystem.
- /etc/rc.d/init.d/arpwatch: Arpwatch-tjenesten til start- eller stop-dæmon.
- /etc/sysconfig/arpwatch: Dette er hovedkonfigurationsfil ...
- /usr/sbin/arpwatch: Binær kommando til start- og stopværktøj via terminalen.
- /var/arpwatch/arp.dat: Dette er den vigtigste databasefil, hvor IP/MAC-adresser registreres.
- /var/log/messages: Logfilen, hvor arpwatch skriver ændringer eller usædvanlig aktivitet til IP/MAC.
Skriv følgende kommando for at starte arpwatch-tjenesten.
# chkconfig --level 35 arpwatch on # /etc/init.d/arpwatch start
$ sudo chkconfig --level 35 arpwatch on $ sudo /etc/init.d/arpwatch start
For at se en bestemt grænseflade skal du skrive følgende kommando med ‘-i’ og enhedsnavnet.
# arpwatch -i eth0
Så når en ny MAC er tilsluttet, eller en bestemt IP ændrer sin MAC-adresse på netværket, vil du bemærke syslog-indgange i '/ var/log/syslog' eller '/ var/log/message' -fil.
# tail -f /var/log/messages
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Ovenstående output viser ny arbejdsstation. Hvis der foretages ændringer, får du følgende output.
Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Du kan også kontrollere den aktuelle ARP-tabel ved hjælp af følgende kommando.
# arp -a
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0 ? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0
Hvis du vil sende alarmer til dit brugerdefinerede e-mail-id, skal du åbne hovedkonfigurationsfilen ‘/ etc/sysconfig/arpwatch’ og tilføje e-mailen som vist nedenfor.
# -u <username> : defines with what user id arpwatch should run # -e <email> : the <email> where to send the reports # -s <from> : the <from>-address OPTIONS="-u arpwatch -e [email -s 'root (Arpwatch)'"
Her er et eksempel på en e-mail-rapport, når en ny MAC er tilsluttet.
hostname: centos ip address: 172.16.16.25 interface: eth0 ethernet address: 00:24:1d:76:e4:1d ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD. timestamp: Monday, April 15, 2012 15:32:29
Her er et eksempel på en e-mail-rapport, når en IP ændrer sin MAC-adresse.
hostname: centos ip address: 172.16.16.25 interface: eth0 ethernet address: 00:56:1d:36:e6:fd ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD. old ethernet address: 00:24:1d:76:e4:1d timestamp: Monday, April 15, 2012 15:43:45 previous timestamp: Monday, April 15, 2012 15:32:29 delta: 9 minutes
Som du kan se ovenfor, registrerer den, værtsnavn, IP-adresse, MAC-adresse, leverandørnavn og tidsstempler. For mere information, se arpwatch man-siden ved at trykke på 'man arpwatch' på terminalen.