Arpwatch Tool sa Pag-monitor sa Kalihokan sa Ethernet sa Linux


Ang Arpwatch usa ka open source computer software program nga makatabang kanimo sa pagmonitor sa kalihokan sa trapiko sa Ethernet (sama sa Pag-usab sa IP ug MAC Address) sa imong network ug pagmintinar sa database sa ethernet/ip address pairings. Naghimo kini og usa ka log sa namatikdan nga pagpares sa impormasyon sa IP ug MAC address uban sa mga timestamp, aron imong mabantayan pag-ayo kung ang kalihokan sa pagpares nagpakita sa network. Adunay usab kini kapilian nga magpadala mga taho pinaagi sa email sa usa ka tagdumala sa network kung ang usa ka pagpares gidugang o gibag-o.

Kini nga himan labi ka mapuslanon alang sa mga tagdumala sa Network aron mabantayan ang kalihokan sa ARP aron mahibal-an ang pagpanglimbong sa ARP o wala damha nga mga pagbag-o sa IP/MAC address.

Pag-instalar sa Arpwatch sa Linux

Sa kasagaran, ang himan sa Arpwatch wala ma-install sa bisan unsang mga distribusyon sa Linux. Kinahanglan natong i-install kini nga mano-mano gamit ang 'yum' command sa RHEL, CentOS, Fedora ug 'apt-get' sa Ubuntu, Linux Mintug Debian .

# yum install arpwatch
$ sudo apt-get install arpwatch

Atong ipunting ang pipila ka labing hinungdanon nga mga file sa arpwatch, ang lokasyon sa mga file gamay ra nga lahi base sa imong operating system.

  1. /etc/rc.d/init.d/arpwatch : Ang serbisyo sa arpwatch para sa pagsugod o paghunong sa daemon.
  2. /etc/sysconfig/arpwatch : Kini ang nag-unang configuration file…
  3. /usr/sbin/arpwatch : Binary nga sugo sa pagsugod ug paghunong sa himan pinaagi sa terminal.
  4. /var/arpwatch/arp.dat : Kini ang nag-unang database file diin ang mga IP/MAC nga adres girekord.
  5. /var/log/messages : Ang log file, diin ang arpwatch mosulat ug bisan unsang kausaban o dili kasagarang kalihokan ngadto sa IP/MAC.

Isulat ang mosunod nga sugo aron masugdan ang serbisyo sa arpwatch.

# chkconfig --level 35 arpwatch on
# /etc/init.d/arpwatch start
$ sudo chkconfig --level 35 arpwatch on
$ sudo /etc/init.d/arpwatch start

Aron matan-aw ang usa ka piho nga interface, i-type ang mosunud nga mando nga adunay '-i' ug ngalan sa aparato.

# arpwatch -i eth0

Busa, sa matag higayon nga ang usa ka bag-ong MAC gisaksak o ang usa ka partikular nga IP nag-ilis sa iyang MAC address sa network, imong mamatikdan ang syslog entries sa '/var/log/syslog' o '/var/log/message' file.

# tail -f /var/log/messages
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

Ang sa ibabaw nga output nagpakita sa bag-ong workstation. Kung adunay mga pagbag-o nga gihimo, makuha nimo ang mosunod nga output.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Mahimo usab nimo nga susihon ang kasamtangan nga lamesa sa ARP, pinaagi sa paggamit sa mosunod nga sugo.

# arp -a
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Kung gusto nimo magpadala mga alerto sa imong naandan nga email id, dayon ablihi ang panguna nga file sa pag-configure '/etc/sysconfig/arpwatch'ug idugang ang email sama sa gipakita sa ubos.

# -u <username> : defines with what user id arpwatch should run
# -e <email>    : the <email> where to send the reports
# -s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Ania ang usa ka pananglitan sa usa ka email nga taho, kung ang usa ka bag-ong MAC konektado.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2012 15:32:29

Ania ang usa ka pananglitan sa usa ka email nga taho, kung ang usa ka IP nagbag-o sa iyang MAC address.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2012 15:43:45
  previous timestamp: Monday, April 15, 2012 15:32:29 
               delta: 9 minutes

Sama sa imong makita sa ibabaw, kini nagrekord, Hostname, IP address, MAC address, Vendor name ug timestamp. Para sa dugang nga impormasyon, tan-awa ang arpwatch man page pinaagi sa pag-igo sa 'man arpwatch' sa terminal.