Arpwatchi tööriist Etherneti tegevuse jälgimiseks Linuxis


Arpwatch on avatud lähtekoodiga arvutitarkvara, mis aitab teil jälgida võrgus olevat Etherneti liiklustegevust (näiteks IP- ja MAC-aadresside muutmine) ning haldab Ethernet/ip-aadresside paaristamise andmebaasi. See loob logi märgatud IP ja MAC-aadresside teabe sidumise kohta koos ajatemplitega, nii et saate hoolikalt jälgida, millal sidumistegevus võrgus ilmus. Sellel on ka võimalus saata aruandeid e-posti teel võrguadministraatorile, kui sidumine lisatakse või muudetakse.

See tööriist on võrguadministraatoritele eriti kasulik ARP-tegevuse jälgimiseks, et tuvastada ARP-i võltsimist või ootamatuid IP/MAC-aadresside muudatusi.

Arpwatchi installimine Linuxi

Vaikimisi pole Arpwatchi tööriista installitud ühegi Linuxi jaotuse juurde. Peame selle käsitsi installima, kasutades käsku yum RHEL-is, CentOS-is, Fedoras ja ‘apt-get’ Ubuntu, Linux Mint ja Debianis.

# yum install arpwatch
$ sudo apt-get install arpwatch

Keskendume mõnele olulisemale arpwatch-failile, failide asukoht on teie operatsioonisüsteemist veidi erinev.

  1. /etc/rc.d/init.d/arpwatch: teenuse arpwatch käivitamise või lõpetamise deemon.
  2. /etc/sysconfig/arpwatch: see on peamine konfiguratsioonifail ...
  3. /usr/sbin/arpwatch: binaarne käsk tööriista käivitamiseks ja peatamiseks terminali kaudu.
  4. /var/arpwatch/arp.dat: see on peamine andmebaasifail, kuhu salvestatakse IP/MAC-aadressid.
  5. /var/log/messages: logifail, kuhu arpwatch kirjutab kõik muudatused või ebatavalised toimingud IP/MAC-i.

Arpwatch-teenuse käivitamiseks tippige järgmine käsk.

# chkconfig --level 35 arpwatch on
# /etc/init.d/arpwatch start
$ sudo chkconfig --level 35 arpwatch on
$ sudo /etc/init.d/arpwatch start

Kindla liidese vaatamiseks tippige järgmine käsk ‘-i’ ja seadme nimega.

# arpwatch -i eth0

Niisiis, alati, kui uus MAC on ühendatud või mõni konkreetne IP muudab oma MAC-aadressi võrgus, märkate failis '/ var/log/syslog' või '/ var/log/message' faili syslogikirjeid.

# tail -f /var/log/messages
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

Ülaltoodud väljund kuvab uue tööjaama. Kui muudatusi tehakse, kuvatakse järgmine väljund.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Järgmist käsku kasutades saate kontrollida ka praegust ARP-tabelit.

# arp -a
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Kui soovite saata märguandeid oma kohandatud e-posti ID-le, avage peamine konfiguratsioonifail '/ etc/sysconfig/arpwatch' ja lisage meil, nagu allpool näidatud.

# -u <username> : defines with what user id arpwatch should run
# -e <email>    : the <email> where to send the reports
# -s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Siin on näide e-posti aruandest, kui uus MAC on ühendatud.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2012 15:32:29

Siin on näide e-posti aruandest, kui IP muudab oma MAC-aadressi.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2012 15:43:45
  previous timestamp: Monday, April 15, 2012 15:32:29 
               delta: 9 minutes

Nagu ülal näete, salvestab see hostinime, IP-aadressi, MAC-aadressi, hankija nime ja ajatemplid. Lisateabe saamiseks vaadake arpwatchi man-lehte, vajutades terminalis nuppu 'man arpwatch'.