Ricerca nel sito web

Arpwatch: monitora l'attività Ethernet in Linux

Arpwatch è un programma software per computer open source che ti aiuta a monitorare l'attività del traffico Ethernet (come cambiare indirizzi IP e indirizzi MAC) sulla rete e mantiene un database di abbinamenti di indirizzi Ethernet/IP.

Produce un registro dell'associazione rilevata delle informazioni sugli indirizzi IP e MAC insieme a un timestamp, in modo da poter osservare attentamente quando l'attività di accoppiamento è apparsa sulla rete. Ha anche la possibilità di inviare report via e-mail a un amministratore di rete quando viene aggiunto o modificato un abbinamento.

Lo strumento Arpwatch è particolarmente utile per gli amministratori di rete per tenere sotto controllo l'attività ARP per rilevare spoofing ARP o imprevisti Modifiche dell'indirizzo IP/MAC.

Installazione di Arpwatch su Linux

Lo strumento Arpwatch non è installato sulle distribuzioni Linux, è necessario utilizzare il gestore pacchetti predefinito per installarlo dai repository di sistema come mostrato.

sudo apt install arpwatch             [On Debian, Ubuntu and Mint]
sudo yum install arpwatch             [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch  [On Gentoo Linux]
sudo apk add arpwatch                 [On Alpine Linux]
sudo pacman -S arpwatch               [On Arch Linux]
sudo zypper install arpwatch          [On OpenSUSE]

Una volta installato, puoi visualizzare i file di arpwatch più importanti, le posizioni dei file sono leggermente diverse in base al tuo sistema operativo.

  • /usr/lib/systemd/system/arpwatch – Il servizio arpwatch per avviare o arrestare il demone.
  • /etc/sysconfig/arpwatch – Questo è il file di configurazione principale di arpwatch.
  • /usr/sbin/arpwatch – Comando binario per avviare e arrestare lo strumento tramite il terminale.
  • /var/lib/arpwatch/arp.dat – Questo è il file di database principale in cui vengono registrati gli indirizzi IP/MAC.
  • /var/log/messages – Il file di registro, in cui arpwatch scrive eventuali modifiche o attività insolite su IP/MAC.

Ora esegui il seguente comando per avviare il servizio arpwatch.

systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch

Come utilizzare i comandi Arpwatch in Linux

Per guardare un'interfaccia specifica, digita il seguente comando con -i e il nome del dispositivo.

arpwatch -i eth0

Pertanto, ogni volta che viene collegato un nuovo MAC o un particolare IP cambia il suo indirizzo MAC sulla rete, noterai le voci syslog in '/var/log/syslog' o '/ var/log/message' utilizzando il comando tail.

tail -f /var/log/messages
Uscita del campione
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

L'output sopra mostra una nuova workstation. Se vengono apportate modifiche, otterrai il seguente output.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Puoi anche controllare la tabella ARP corrente utilizzando il seguente comando.

arp -a
Uscita del campione
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Se desideri inviare avvisi al tuo ID e-mail personalizzato, apri il file di configurazione principale "/etc/sysconfig/arpwatch" e aggiungi l'e-mail come mostrato di seguito.

-u <username> : defines with what user id arpwatch should run
-e <email>    : the <email> where to send the reports
-s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Ecco un esempio di un rapporto e-mail quando viene collegato un nuovo MAC.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2022 15:32:29

Ecco un esempio di un rapporto via email, quando un IP cambia il suo indirizzo MAC.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2022 15:43:45
  previous timestamp: Monday, April 15, 2022 15:32:29 
               delta: 9 minutes

Come puoi vedere sopra, registra nome host, indirizzo IP, indirizzo MAC, nome del fornitore e timestamp.

Per ulteriori informazioni, consulta la pagina man di arpwatch premendo "man arpwatch" sul terminale.

man arpwatch