Arpwatch-værktøj til overvågning af Ethernet-aktivitet i Linux

Arpwatch er et open source-softwareprogram, der hjælper dig med at overvåge Ethernet-trafikaktivitet (som at ændre IP- og MAC-adresser) på dit netværk og vedligeholder en database med parring af ethernet/ip-adresser. Det producerer en log med bemærket parring af IP- og MAC-adresseoplysninger sammen med en tidsstempel, så du nøje kan se, når parringsaktiviteten dukkede op på netværket. Det har også mulighed for at sende rapporter via e-mail til en netværksadministrator, når en parring tilføjes eller ændres.

Dette værktøj er specielt nyttigt for netværksadministratorer til at holde øje med ARP-aktivitet for at opdage ARP-spoofing eller uventede ændringer i IP/MAC-adresser.

Installation af Arpwatch i Linux

Som standard er Arpwatch-værktøjet ikke installeret på nogen Linux-distributioner. Vi skal installere det manuelt ved hjælp af kommandoen ‘yum’ på RHEL, CentOS, Fedora og ‘apt-get’ på Ubuntu, Linux Mint og Debian.

# yum install arpwatch
$ sudo apt-get install arpwatch

Lad os fokusere på nogle af de vigtigste arpwatch-filer. Filernes placering er lidt anderledes afhængigt af dit operativsystem.

  1. /etc/rc.d/init.d/arpwatch: Arpwatch-tjenesten til start- eller stop-dæmon.
  2. /etc/sysconfig/arpwatch: Dette er hovedkonfigurationsfil ...
  3. /usr/sbin/arpwatch: Binær kommando til start- og stopværktøj via terminalen.
  4. /var/arpwatch/arp.dat: Dette er den vigtigste databasefil, hvor IP/MAC-adresser registreres.
  5. /var/log/messages: Logfilen, hvor arpwatch skriver ændringer eller usædvanlig aktivitet til IP/MAC.

Skriv følgende kommando for at starte arpwatch-tjenesten.

# chkconfig --level 35 arpwatch on
# /etc/init.d/arpwatch start
$ sudo chkconfig --level 35 arpwatch on
$ sudo /etc/init.d/arpwatch start

For at se en bestemt grænseflade skal du skrive følgende kommando med ‘-i’ og enhedsnavnet.

# arpwatch -i eth0

Så når en ny MAC er tilsluttet, eller en bestemt IP ændrer sin MAC-adresse på netværket, vil du bemærke syslog-indgange i '/ var/log/syslog' eller '/ var/log/message' -fil.

# tail -f /var/log/messages
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

Ovenstående output viser ny arbejdsstation. Hvis der foretages ændringer, får du følgende output.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Du kan også kontrollere den aktuelle ARP-tabel ved hjælp af følgende kommando.

# arp -a
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Hvis du vil sende alarmer til dit brugerdefinerede e-mail-id, skal du åbne hovedkonfigurationsfilen ‘/ etc/sysconfig/arpwatch’ og tilføje e-mailen som vist nedenfor.

# -u <username> : defines with what user id arpwatch should run
# -e <email>    : the <email> where to send the reports
# -s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Her er et eksempel på en e-mail-rapport, når en ny MAC er tilsluttet.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2012 15:32:29

Her er et eksempel på en e-mail-rapport, når en IP ændrer sin MAC-adresse.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2012 15:43:45
  previous timestamp: Monday, April 15, 2012 15:32:29 
               delta: 9 minutes

Som du kan se ovenfor, registrerer den, værtsnavn, IP-adresse, MAC-adresse, leverandørnavn og tidsstempler. For mere information, se arpwatch man-siden ved at trykke på 'man arpwatch' på terminalen.