Arpwatch - Παρακολούθηση της δραστηριότητας Ethernet στο Linux


Το Arpwatch είναι ένα πρόγραμμα λογισμικού υπολογιστή ανοιχτού κώδικα που σας βοηθά να παρακολουθείτε τη δραστηριότητα της κυκλοφορίας Ethernet (όπως Αλλαγή IP και Διευθύνσεις MAC) στο δίκτυό σας και διατηρεί μια βάση δεδομένων με ζεύγη διευθύνσεων ethernet/ip.

Παράγει ένα αρχείο καταγραφής της παρατηρούμενης σύζευξης των πληροφοριών διεύθυνσης IP και MAC μαζί με μια χρονική σήμανση, ώστε να μπορείτε να παρακολουθείτε προσεκτικά πότε η δραστηριότητα σύζευξης εμφανίστηκε στο δίκτυο. Έχει επίσης την επιλογή να στέλνει αναφορές μέσω email σε έναν διαχειριστή δικτύου όταν προστίθεται ή αλλάζει μια σύζευξη.

Το εργαλείο Arpwatch είναι ιδιαίτερα χρήσιμο για τους διαχειριστές δικτύου να παρακολουθούν τη δραστηριότητα ARP για να ανιχνεύουν πλαστογράφηση ARP ή απροσδόκητα Τροποποιήσεις διεύθυνσης IP/MAC.

Εγκατάσταση του Arpwatch σε Linux

Το εργαλείο Arpwatch δεν είναι εγκατεστημένο σε διανομές Linux, πρέπει να χρησιμοποιήσετε τον προεπιλεγμένο διαχειριστή πακέτων για να το εγκαταστήσετε από τα αποθετήρια συστήματος όπως φαίνεται.

sudo apt install arpwatch             [On Debian, Ubuntu and Mint]
sudo yum install arpwatch             [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch  [On Gentoo Linux]
sudo apk add arpwatch                 [On Alpine Linux]
sudo pacman -S arpwatch               [On Arch Linux]
sudo zypper install arpwatch          [On OpenSUSE]    

Μόλις εγκατασταθεί, μπορείτε να προβάλετε τα πιο σημαντικά αρχεία arpwatch, οι θέσεις των αρχείων είναι ελαφρώς διαφορετικές με βάση το λειτουργικό σας σύστημα.

  • /usr/lib/systemd/system/arpwatch – Η υπηρεσία arpwatch για την εκκίνηση ή τη διακοπή του δαίμονα.
  • /etc/sysconfig/arpwatch – Αυτό είναι το κύριο αρχείο διαμόρφωσης arpwatch.
  • /usr/sbin/arpwatch – Δυαδική εντολή στο εργαλείο εκκίνησης και διακοπής μέσω του τερματικού.
  • /var/lib/arpwatch/arp.dat – Αυτό είναι το κύριο αρχείο βάσης δεδομένων όπου καταγράφονται οι διευθύνσεις IP/MAC.
  • /var/log/messages – Το αρχείο καταγραφής, όπου το arpwatch εγγράφει τυχόν αλλαγές ή ασυνήθιστη δραστηριότητα στο IP/MAC.

Τώρα εκτελέστε την ακόλουθη εντολή για να ξεκινήσετε την υπηρεσία arpwatch.

systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch

Πώς να χρησιμοποιήσετε τις εντολές Arpwatch στο Linux

Για να παρακολουθήσετε μια συγκεκριμένη διεπαφή, πληκτρολογήστε την ακόλουθη εντολή με -i και όνομα συσκευής.

arpwatch -i eth0

Έτσι, κάθε φορά που συνδέεται ένα νέο MAC ή μια συγκεκριμένη IP αλλάζει τη διεύθυνση MAC του στο δίκτυο, θα παρατηρήσετε καταχωρήσεις syslog στο '/var/log/syslog' ή στο '/ var/log/message' χρησιμοποιώντας την εντολή tail.

tail -f /var/log/messages
Δείγμα εξόδου
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

Η παραπάνω έξοδος εμφανίζει έναν νέο σταθμό εργασίας. Εάν γίνουν αλλαγές, θα λάβετε την ακόλουθη έξοδο.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Μπορείτε επίσης να ελέγξετε τον τρέχοντα πίνακα ARP, χρησιμοποιώντας την ακόλουθη εντολή.

arp -a
Δείγμα εξόδου
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Εάν θέλετε να στείλετε ειδοποιήσεις στο προσαρμοσμένο αναγνωριστικό email σας, ανοίξτε το κύριο αρχείο διαμόρφωσης «/etc/sysconfig/arpwatch» και προσθέστε το email όπως φαίνεται παρακάτω.

-u <username> : defines with what user id arpwatch should run
-e <email>    : the <email> where to send the reports
-s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Ακολουθεί ένα παράδειγμα αναφοράς ηλεκτρονικού ταχυδρομείου, όταν είναι συνδεδεμένο ένα νέο MAC.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2022 15:32:29

Ακολουθεί ένα παράδειγμα αναφοράς ηλεκτρονικού ταχυδρομείου, όταν μια IP αλλάζει τη διεύθυνση MAC του.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2022 15:43:45
  previous timestamp: Monday, April 15, 2022 15:32:29 
               delta: 9 minutes

Όπως μπορείτε να δείτε παραπάνω, καταγράφει, Όνομα κεντρικού υπολογιστή, Διεύθυνση IP, Διεύθυνση MAC, Όνομα προμηθευτή, και < ισχυρές χρονοσημάνσεις.

Για περισσότερες πληροφορίες, ανατρέξτε στη σελίδα man arpwatch πατώντας "man arpwatch" στο τερματικό.

man arpwatch