Arpwatch – stebėkite Ethernet veiklą Linux sistemoje


Arpwatch yra atvirojo kodo kompiuterio programinė įranga, padedanti stebėti Ethernet srauto veiklą (pvz., IP keitimas ir MAC adresai) jūsų tinkle ir palaiko eterneto/IP adresų porų duomenų bazę.

Jis sukuria pastebėto IP ir MAC adresų informacijos susiejimo žurnalą kartu su laiko žyma, todėl galite atidžiai stebėti, kada tinkle atsirado susiejimo veikla. Ji taip pat turi galimybę siųsti ataskaitas el. paštu tinklo administratoriui, kai pridedamas arba pakeičiamas susiejimas.

Įrankis „Arpwatch“ ypač naudingas tinklo administratoriams, kad jie galėtų stebėti ARP veiklą ir aptikti ARP klastojimą arba netikėtus IP/MAC adresų pakeitimai.

„Arpwatch“ diegimas „Linux“.

Įrankis Arpwatch neįdiegtas „Linux“ platinimuose. Norėdami įdiegti jį iš sistemos saugyklų, kaip parodyta, turite naudoti numatytąją paketų tvarkyklę.

sudo apt install arpwatch             [On Debian, Ubuntu and Mint]
sudo yum install arpwatch             [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch  [On Gentoo Linux]
sudo apk add arpwatch                 [On Alpine Linux]
sudo pacman -S arpwatch               [On Arch Linux]
sudo zypper install arpwatch          [On OpenSUSE]    

Įdiegę galite peržiūrėti svarbiausius arpwatch failus, failų vietos šiek tiek skiriasi priklausomai nuo jūsų operacinės sistemos.

  • /usr/lib/systemd/system/arpwatch – „Arpwatch“ paslauga, skirta demonui paleisti arba sustabdyti.
  • /etc/sysconfig/arpwatch – tai pagrindinis arpwatch konfigūracijos failas.
  • /usr/sbin/arpwatch – dvejetainė komanda įrankiui paleisti ir sustabdyti per terminalą.
  • /var/lib/arpwatch/arp.dat – tai pagrindinis duomenų bazės failas, kuriame įrašomi IP/MAC adresai.
  • /var/log/messages – žurnalo failas, kuriame arpwatch įrašo visus IP/MAC pakeitimus ar neįprastą veiklą.

Dabar paleiskite šią komandą, kad paleistumėte arpwatch paslaugą.

systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch

Kaip naudoti „Arpwatch“ komandas „Linux“.

Norėdami žiūrėti konkrečią sąsają, įveskite šią komandą su -i ir įrenginio pavadinimu.

arpwatch -i eth0

Taigi, kai prijungiamas naujas MAC arba tam tikras IP keičia savo MAC adresą tinkle, pastebėsite syslog įrašus /var/log/syslog arba / var/log/message“ failą naudodami komandą uodega.

tail -f /var/log/messages
Pavyzdžio išvestis
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

Aukščiau pateiktame išvestyje rodoma nauja darbo vieta. Jei bus atlikti kokie nors pakeitimai, gausite tokią išvestį.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Taip pat galite patikrinti dabartinę ARP lentelę naudodami šią komandą.

arp -a
Pavyzdžio išvestis
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Jei norite siųsti įspėjimus savo tinkintu el. pašto ID, atidarykite pagrindinį konfigūracijos failą „/etc/sysconfig/arpwatch“ ir pridėkite el. laišką, kaip parodyta toliau.

-u <username> : defines with what user id arpwatch should run
-e <email>    : the <email> where to send the reports
-s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Štai el. pašto ataskaitos pavyzdys, kai įjungtas naujas MAC.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2022 15:32:29

Štai el. pašto ataskaitos pavyzdys, kai IP pakeičia savo MAC adresą.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2022 15:43:45
  previous timestamp: Monday, April 15, 2022 15:32:29 
               delta: 9 minutes

Kaip matote aukščiau, jis įrašo Pagrindinio kompiuterio pavadinimą, IP adresą, MAC adresą, Pardavėjo pavadinimą ir laiko žymos.

Norėdami gauti daugiau informacijos, žr. arpwatch man puslapį terminale paspausdami man arpwatch.

man arpwatch