Поиск по сайту:

Arpwatch — мониторинг активности Ethernet в Linux

Arpwatch – это компьютерная программа с открытым исходным кодом, которая помогает отслеживать активность трафика Ethernet (например, изменение IP и MAC-адресов). Strong>) в вашей сети и поддерживает базу данных пар Ethernet/IP-адресов.

Он создает журнал обнаруженного сопряжения информации об IP-адресе и MAC-адресе вместе с отметкой времени, поэтому вы можете внимательно следить за появлением активности сопряжения в сети. Он также имеет возможность отправлять отчеты по электронной почте сетевому администратору при добавлении или изменении сопряжения.

Инструмент Arpwatch особенно полезен сетевым администраторам, поскольку он позволяет следить за активностью ARP и обнаруживать подмену ARP или непредвиденные Изменения IP/MAC-адреса.

Установка Arpwatch в Linux

Инструмент Arpwatch не установлен в дистрибутивах Linux, вам необходимо использовать менеджер пакетов по умолчанию, чтобы установить его из системных репозиториев, как показано.

sudo apt install arpwatch             [On Debian, Ubuntu and Mint]
sudo yum install arpwatch             [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch  [On Gentoo Linux]
sudo apk add arpwatch                 [On Alpine Linux]
sudo pacman -S arpwatch               [On Arch Linux]
sudo zypper install arpwatch          [On OpenSUSE]

После установки вы сможете просматривать наиболее важные файлы arpwatch, расположение файлов немного отличается в зависимости от вашей операционной системы.

  • /usr/lib/systemd/system/arpwatch – служба arpwatch для запуска или остановки демона.
  • /etc/sysconfig/arpwatch – это основной файл конфигурации arpwatch.
  • /usr/sbin/arpwatch – двоичная команда для запуска и остановки инструмента через терминал.
  • /var/lib/arpwatch/arp.dat – это основной файл базы данных, в котором записываются IP/MAC-адреса.
  • /var/log/messages – файл журнала, в который arpwatch записывает любые изменения или необычную активность в IP/MAC.

Теперь выполните следующую команду, чтобы запустить службу arpwatch.

systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch

Как использовать команды Arpwatch в Linux

Чтобы просмотреть определенный интерфейс, введите следующую команду с -i и именем устройства.

arpwatch -i eth0

Таким образом, всякий раз, когда подключается новый MAC-адрес или определенный IP-адрес меняет свой MAC-адрес в сети, вы увидите записи системного журнала в «/var/log/syslog» или «/». var/log/message' с помощью команды Tail.

tail -f /var/log/messages
Пример вывода
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

Приведенный выше вывод отображает новую рабочую станцию. Если будут внесены какие-либо изменения, вы получите следующий результат.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Вы также можете проверить текущую таблицу ARP, используя следующую команду.

arp -a
Пример вывода
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Если вы хотите отправлять оповещения на свой собственный адрес электронной почты, откройте основной файл конфигурации «/etc/sysconfig/arpwatch» и добавьте адрес электронной почты, как показано ниже.

-u <username> : defines with what user id arpwatch should run
-e <email>    : the <email> where to send the reports
-s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Вот пример отчета по электронной почте при подключении нового MAC.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2022 15:32:29

Вот пример отчета по электронной почте, когда IP меняет свой MAC адрес.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2022 15:43:45
  previous timestamp: Monday, April 15, 2022 15:32:29 
               delta: 9 minutes

Как вы можете видеть выше, он записывает имя хоста, IP-адрес, MAC-адрес, имя поставщика и < Strong>временные метки.

Для получения дополнительной информации посетите справочную страницу arpwatch, нажав «man arpwatch» на терминале.

man arpwatch