Arpwatch-työkalu Ethernet-toiminnan seuraamiseen Linuxissa

Arpwatch on avoimen lähdekoodin tietokoneohjelmisto, joka auttaa sinua seuraamaan verkon Ethernet-liikennetapahtumia (kuten IP- ja MAC-osoitteiden muuttaminen) verkossa ja ylläpitämään tietokantaa ethernet/ip-osoiteparista. Se tuottaa lokin havaituista IP- ja MAC-osoitetietojen pariliitoksista sekä aikaleimat, joten voit tarkkailla huolellisesti, milloin pariliitostoiminto ilmestyi verkossa. Sillä on myös mahdollisuus lähettää raportteja sähköpostitse verkonvalvojalle, kun pariliitos lisätään tai muutetaan.

Tämä työkalu on erityisen hyödyllinen verkon järjestelmänvalvojille valvomaan ARP-toimintaa havaitsemaan ARP-väärennökset tai odottamattomat IP/MAC-osoitteiden muutokset.

Arpwatchin asentaminen Linuxiin

Oletusarvoisesti Arpwatch-työkalua ei ole asennettu mihinkään Linux-jakeluun. Meidän on asennettava se manuaalisesti käyttämällä ‘yum’ -komentoa RHEL-, CentOS-, Fedora- ja ‘apt-get’ -komennoilla Ubuntussa, Linux Mint ja Debian.

# yum install arpwatch
$ sudo apt-get install arpwatch

Keskitymme joihinkin tärkeimpiin arpwatch-tiedostoihin. Tiedostojen sijainti vaihtelee hieman käyttöjärjestelmän mukaan.

  1. /etc/rc.d/init.d/arpwatch: Käynnistys- tai lopetusdemonin arpwatch-palvelu.
  2. /etc/sysconfig/arpwatch: Tämä on tärkein määritystiedosto ...
  3. /usr/sbin/arpwatch: Binaarikomento käynnistys- ja pysäytystyökalulle päätelaitteen kautta.
  4. /var/arpwatch/arp.dat: Tämä on tärkein tietokantatiedosto, johon tallennetaan IP/MAC-osoitteet.
  5. /var/log/messages: Lokitiedosto, jossa arpwatch kirjoittaa muutokset tai epätavalliset toiminnot IP/MAC: iin.

Käynnistä arpwatch-palvelu kirjoittamalla seuraava komento.

# chkconfig --level 35 arpwatch on
# /etc/init.d/arpwatch start
$ sudo chkconfig --level 35 arpwatch on
$ sudo /etc/init.d/arpwatch start

Voit katsella tiettyä käyttöliittymää kirjoittamalla seuraavan komennon ”-i” ja laitteen nimi.

# arpwatch -i eth0

Joten aina kun uusi MAC liitetään tai tietty IP muuttaa hänen MAC-osoitettaan verkossa, huomaat syslog-merkinnät tiedostossa '/ var/log/syslog' tai '/ var/log/message'.

# tail -f /var/log/messages
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

Yllä oleva tulos näyttää uuden työaseman. Jos muutoksia tehdään, saat seuraavan tuloksen.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Voit myös tarkistaa nykyisen ARP-taulukon seuraavalla komennolla.

# arp -a
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Jos haluat lähettää ilmoituksia mukautetulle sähköpostitunnuksellesi, avaa pääasetustiedosto '/ etc/sysconfig/arpwatch' ja lisää sähköposti alla olevan kuvan mukaisesti.

# -u <username> : defines with what user id arpwatch should run
# -e <email>    : the <email> where to send the reports
# -s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Tässä on esimerkki sähköpostiraportista, kun uusi MAC on kytketty.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2012 15:32:29

Tässä on esimerkki sähköpostiraportista, kun IP muuttaa MAC-osoitettaan.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2012 15:43:45
  previous timestamp: Monday, April 15, 2012 15:32:29 
               delta: 9 minutes

Kuten yllä voit nähdä, se tallentaa, isäntänimen, IP-osoitteen, MAC-osoitteen, toimittajan nimen ja aikaleimat. Lisätietoja on arpwatch-man -sivulla lyömällä "man arpwatch" päätelaitteessa.