Arpwatch - Tarkkaile Ethernet-toimintaa Linuxissa

Arpwatch on avoimen lähdekoodin tietokoneohjelmisto, jonka avulla voit seurata Ethernet-liikennettä (kuten IP-osoitteen muuttaminen ja MAC-osoitteiden muuttaminen.) verkossasi ja ylläpitää tietokantaa ethernet/ip-osoitepareista.

Se tuottaa lokin havaitusta IP- ja MAC-osoitetietojen pariliitosta sekä aikaleiman, jotta voit tarkkailla tarkkaan, milloin pariliitostoiminta ilmestyi verkossa. Sillä on myös mahdollisuus lähettää raportteja sähköpostitse verkonvalvojalle, kun pariliitosta lisätään tai sitä muutetaan.

Arpwatch-työkalu on erityisen hyödyllinen verkon järjestelmänvalvojille, jotka voivat seurata ARP-toimintaa ja havaita ARP-huijauksen tai odottamaton. IP/MAC-osoitteen muutokset.

Arpwatchin asentaminen Linuxiin

Arpwatch-työkalua ei ole asennettu Linux-jakeluihin. Asenna se järjestelmän arkistoista kuvan mukaisesti käyttämällä oletuspaketinhallintaa.

sudo apt install arpwatch             [On Debian, Ubuntu and Mint]
sudo yum install arpwatch             [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch  [On Gentoo Linux]
sudo apk add arpwatch                 [On Alpine Linux]
sudo pacman -S arpwatch               [On Arch Linux]
sudo zypper install arpwatch          [On OpenSUSE]

Asennuksen jälkeen voit tarkastella tärkeimpiä arpwatch-tiedostoja, tiedostojen sijainnit vaihtelevat hieman käyttöjärjestelmäsi mukaan.

  • /usr/lib/systemd/system/arpwatch – Arpwatch-palvelu demonin käynnistämiseen tai pysäyttämiseen.
  • /etc/sysconfig/arpwatch – Tämä on arpwatchin tärkein määritystiedosto.
  • /usr/sbin/arpwatch – Binäärinen komento työkalun käynnistämiseen ja pysäyttämiseen terminaalin kautta.
  • /var/lib/arpwatch/arp.dat – Tämä on päätietokantatiedosto, johon IP/MAC-osoitteet tallennetaan.
  • /var/log/messages – lokitiedosto, johon arpwatch kirjoittaa kaikki muutokset tai epätavallisen toiminnan IP/MAC:hen.

Käynnistä arpwatch-palvelu suorittamalla seuraava komento.

systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch

Arpwatch-komentojen käyttäminen Linuxissa

Jos haluat katsella tiettyä käyttöliittymää, kirjoita seuraava komento komennolla -i ja laitteen nimi.

arpwatch -i eth0

Joten aina kun uusi MAC kytketään tai tietty IP muuttaa MAC-osoitettaan verkossa, huomaat syslog-merkinnät /var/log/syslog- tai / var/log/message"-tiedosto tail-komennolla.

tail -f /var/log/messages
Näytelähtö
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

Yllä oleva tulos näyttää uuden työaseman. Jos muutoksia tehdään, saat seuraavan tulosteen.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Voit myös tarkistaa nykyisen ARP-taulukon käyttämällä seuraavaa komentoa.

arp -a
Näytelähtö
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Jos haluat lähettää hälytyksiä mukautettuun sähköpostitunnukseesi, avaa päämääritystiedosto /etc/sysconfig/arpwatch ja lisää sähköposti alla olevan kuvan mukaisesti.

-u <username> : defines with what user id arpwatch should run
-e <email>    : the <email> where to send the reports
-s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Tässä on esimerkki sähköpostiraportista, kun uusi MAC on kytketty päälle.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2022 15:32:29

Tässä on esimerkki sähköpostiraportista, kun IP muuttaa MAC-osoitettaan.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2022 15:43:45
  previous timestamp: Monday, April 15, 2022 15:32:29 
               delta: 9 minutes

Kuten yllä näkyy, se tallentaa isäntänimen, IP-osoitteen, MAC-osoitteen, toimittajan nimen ja aikaleimat.

Katso lisätietoja arpwatch-man-sivulta napsauttamalla 'man arpwatch' päätteessä.

man arpwatch