Arpwatch - Overvåk Ethernet-aktivitet i Linux

Arpwatch er et dataprogram med åpen kildekode som hjelper deg med å overvåke Ethernet-trafikkaktivitet (som Endre IP og MAC-adresser) på nettverket ditt og vedlikeholder en database med ethernet/ip-adresseparinger.

Den produserer en logg over den registrerte sammenkoblingen av IP- og MAC-adresseinformasjon sammen med et tidsstempel, slik at du nøye kan se når sammenkoblingsaktiviteten dukket opp på nettverket. Den har også muligheten til å sende rapporter via e-post til en nettverksadministrator når en sammenkobling legges til eller endres.

Arpwatch-verktøyet er spesielt nyttig for nettverksadministratorer for å holde øye med ARP-aktivitet for å oppdage ARP-spoofing eller uventet IP/MAC-adresseendringer.

Installerer Arpwatch i Linux

Verktøyet Arpwatch er ikke installert på Linux-distribusjoner, du må bruke standard pakkebehandling for å installere det fra systemlagrene som vist.

sudo apt install arpwatch             [On Debian, Ubuntu and Mint]
sudo yum install arpwatch             [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch  [On Gentoo Linux]
sudo apk add arpwatch                 [On Alpine Linux]
sudo pacman -S arpwatch               [On Arch Linux]
sudo zypper install arpwatch          [On OpenSUSE]

Når den er installert, kan du se de viktigste arpwatch-filene, plasseringen av filene er litt forskjellige basert på operativsystemet ditt.

  • /usr/lib/systemd/system/arpwatch – arpwatch-tjenesten for å starte eller stoppe daemonen.
  • /etc/sysconfig/arpwatch – Dette er hovedkonfigurasjonsfilen for arpwatch.
  • /usr/sbin/arpwatch – Binær kommando for å starte og stoppe verktøyet via terminalen.
  • /var/lib/arpwatch/arp.dat – Dette er hoveddatabasefilen der IP/MAC-adresser registreres.
  • /var/log/messages – Loggfilen, der arpwatch skriver eventuelle endringer eller uvanlig aktivitet til IP/MAC.

Kjør nå følgende kommando for å starte arpwatch-tjenesten.

systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch

Slik bruker du Arpwatch-kommandoer i Linux

For å se et spesifikt grensesnitt, skriv inn følgende kommando med -i og enhetsnavn.

arpwatch -i eth0

Så hver gang en ny MAC er koblet til eller en bestemt IP endrer MAC-adressen på nettverket, vil du legge merke til syslog-oppføringer i '/var/log/syslog' eller '/ var/log/message'-filen ved å bruke tail-kommandoen.

tail -f /var/log/messages
Eksempelutgang
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

Utgangen ovenfor viser en ny arbeidsstasjon. Hvis det gjøres endringer, vil du få følgende utgang.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Du kan også sjekke gjeldende ARP-tabell ved å bruke følgende kommando.

arp -a
Eksempelutgang
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Hvis du vil sende varsler til din egendefinerte e-post-ID, åpner du hovedkonfigurasjonsfilen «/etc/sysconfig/arpwatch» og legger til e-posten som vist nedenfor.

-u <username> : defines with what user id arpwatch should run
-e <email>    : the <email> where to send the reports
-s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Her er et eksempel på en e-postrapport når en ny MAC er koblet til.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2022 15:32:29

Her er et eksempel på en e-postrapport når en IP endrer MAC-adressen sin.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2022 15:43:45
  previous timestamp: Monday, April 15, 2022 15:32:29 
               delta: 9 minutes

Som du kan se ovenfor, registrerer den Vertsnavn, IP-adresse, MAC-adresse, Leverandørnavn og tidsstempler.

For mer informasjon, se arpwatch-man-siden ved å trykke «man arpwatch» på terminalen.

man arpwatch