Arpwatch rīks, lai uzraudzītu Ethernet darbību Linux

Arpwatch ir atvērtā koda datorprogrammatūra, kas palīdz jums uzraudzīt tīkla trafika aktivitātes (piemēram, IP un MAC adrešu maiņa) tīklā un uztur Ethernet/ip adrešu pāru datu bāzi. Tas veido reģistrēto IP un MAC adrešu informācijas savienošanas žurnālu kopā ar laika zīmogiem, lai jūs varētu uzmanīgi skatīties, kad pārošanas darbība parādījās tīklā. Tam ir arī iespēja nosūtīt ziņojumus pa e-pastu tīkla administratoram, kad pārī tiek pievienota vai mainīta.

Šis rīks ir īpaši noderīgs tīkla administratoriem, lai uzraudzītu ARP darbību, lai noteiktu ARP izkrāpšanu vai negaidītas IP/MAC adrešu izmaiņas.

Arpwatch instalēšana Linux

Pēc noklusējuma Arpwatch rīks nav instalēts nevienā Linux izplatīšanā. Mums tas jāinstalē manuāli, izmantojot komandu ‘yum’ RHEL, CentOS, Fedora un ‘apt-get’ Ubuntu, Linux Mint un Debian.

# yum install arpwatch
$ sudo apt-get install arpwatch

Koncentrēsimies uz dažiem vissvarīgākajiem arpwatch failiem. Failu atrašanās vieta nedaudz atšķiras atkarībā no jūsu operētājsistēmas.

  1. /etc/rc.d/init.d/arpwatch: Arpwatch pakalpojums sākuma vai apturēšanas dēmonam.
  2. /etc/sysconfig/arpwatch: Šis ir galvenais konfigurācijas fails ...
  3. /usr/sbin/arpwatch: binārā komanda palaišanas un apturēšanas rīkam, izmantojot termināli.
  4. /var/arpwatch/arp.dat: Šis ir galvenais datubāzes fails, kurā tiek ierakstītas IP/MAC adreses.
  5. /var/log/messages: žurnāla fails, kurā arpwatch ieraksta visas izmaiņas vai neparastas darbības IP/MAC.

Lai palaistu arpwatch pakalpojumu, ierakstiet šo komandu.

# chkconfig --level 35 arpwatch on
# /etc/init.d/arpwatch start
$ sudo chkconfig --level 35 arpwatch on
$ sudo /etc/init.d/arpwatch start

Lai skatītos noteiktu interfeisu, ierakstiet šādu komandu ar ‘-i’ un ierīces nosaukumu.

# arpwatch -i eth0

Tātad, ikreiz, kad tiek pievienots jauns MAC vai kāds konkrēts IP maina savu MAC adresi tīklā, jūs pamanīsit syslog ierakstus failā '/ var/log/syslog' vai '/ var/log/message'.

# tail -f /var/log/messages
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

Iepriekš minētajā izvadā tiek parādīta jauna darbstacija. Ja tiks veiktas kādas izmaiņas, jūs saņemsiet šādu izvadi.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Varat arī pārbaudīt pašreizējo ARP tabulu, izmantojot šādu komandu.

# arp -a
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Ja vēlaties nosūtīt brīdinājumus uz savu pielāgoto e-pasta ID, atveriet galveno konfigurācijas failu ‘/ etc/sysconfig/arpwatch’ un pievienojiet e-pastu, kā parādīts zemāk.

# -u <username> : defines with what user id arpwatch should run
# -e <email>    : the <email> where to send the reports
# -s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Šeit ir e-pasta atskaites piemērs, kad ir pievienots jauns MAC.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2012 15:32:29

Šeit ir e-pasta atskaites piemērs, kad IP maina savu MAC adresi.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2012 15:43:45
  previous timestamp: Monday, April 15, 2012 15:32:29 
               delta: 9 minutes

Kā redzat iepriekš, tas ieraksta, resursdatora nosaukumu, IP adresi, MAC adresi, piegādātāja vārdu un laika zīmogus. Lai iegūtu papildinformāciju, skatiet arpwatch rokasgrāmatas lapu, nospiežot terminālu ‘man arpwatch’.