Arpwatch настройка - #Записки о Unix/Linux/BSD/Solaris

Arpwatch настройка

Автор H@wk!

28:02:2009 г.

Arpwatch - это монитор, который отслеживает соответствие IP адресов устройств - их MAC адресам и если эти данные вдруг различаются Arpwatch тут же сообщает об этом. Можно настроить так, чтобы сообщения приходили на e-mail, что очень удобно.
Т.е. с помощью Arpwatch можно в интерактивном режиме отслеживать смену IP адресов пользователями, ARP-spoofing...

Пройдемся немного по терминологии:

Address Resolution Protocol (ARP) --- протокол, использующийся в Ethernet-сетях (но не только в них) для преобразования IP-адреса к MAC-адресу сети.

ARP-spoofing (ARP-poisoning) — техника сетевой атаки, применяемая преимущественно в Ethernet, но возможная и в других, использующих протокол ARP сетях, основанная на использовании недостатков протокола ARP и позволяющая перехватывать трафик между узлами, которые расположены в пределах одного широковещательного домена. Относится к числу spoofing-атак.
Подробнее...

Устанавливаем Arpwatch:

sudo apt-get install arpwatch

Мануал достаточно информативен и составить команду для работы Arpwatch применительно к вашей сети не составит труда, но в качестве примера укажу свою команду.

Итак русский мануал Arpwatch...

Настройка Arpwatch:

Создаем файл базы Arpwatch

sudo nano /var/lib/arpwatch/arp.dat //Сохранить пустым

Назначаем этому файлу пользователя "arpwatch".

Когда все требования выполнены, переходим к конфигурационному файлу:

sudo nano /etc/arpwatch.conf

Прописываем следующую строчку:

eth0 -a -n 192.168.10.0/24 -m Этот e-mail защищен от спам-ботов. Для его просмотра в вашем браузере должна быть включена поддержка Java-script

Сохраняем и запускаем сервис:

sudo /etc/init.d/arpwatch start

Проверяем работу:

$ps -ef | grep arpwatch
arpwatch 28624 1 0 17:35 ? 00:00:00 /usr/sbin/arpwatch -i eth0 -f eth0.dat -a -n 192.168.10.0/24 -m Этот e-mail защищен от спам-ботов. Для его просмотра в вашем браузере должна быть включена поддержка Java-script -u arpwatch -N -p

Если видим такое, значит все работает )).
Теперь поподробнее о самой команде. Согласно мануалу, ключ -i - это сетевой интерфейс который будем слушать. В данном примере к локальной сети относится eth0. О сетевых интерфейсах можно узнать выполнив:

ifconfig

Дальше идет файл базы арпватча eth0.dat. Дальше указываем сеть и маску, после ключа -n.
-m собственно мыло, на которое надо отправлять, пишем его после ключика. Для отправки сообщений необходимо чтобы работал sendmaill или аналог, в моем случае эти функции выполняет Nullmailer.
-u отбросить привелегии root'а и работать от имени указанного пользователя.
arpwatch -N -p - указывается для того, чтобы убрать сообщения о подменах, это уже берется из файла глобальных настроек Arpwatch:

sudo nano /etc/default/arpwatch

Убираем ключ -N, т.к. информация о подменах нам нужна, сохраняем и перезапускаем демон:

sudo /etc/init.d/arpwatch restart

Через некоторое время, на указанный e-mail должна свалиться почта с темой "new station" - т.е. новые станции.
Вот список что может быть в теме письма:

new activity: Эта пара ethernet/ip-адресов впервые используется снова за последние шесть месяцев или больше.
new station: Этот ethernet-адрес раньше не замечали.
flip flop: Ethernet-адрес изменился с одного известного адреса на другой известный адрес. (Если старый или новый адрес относится это DECnet-адрес и прошло меньше 24х часов, почтовая версия сообщения не отправляется).
changed ethernet address: Хост перешёл на использование нового ethernet-адреса.

А вот список, что может быть в syslog:

ethernet broadcast: MAC-адрес хоста является широковещательным.
ip broadcast: IP-адрес хоста является широковещательным.
bogon: Адрес отправителя IP-пакета не входит в непосредственно подключённую сеть (directly connected network) для заданного интерфейса.
ethernet broadcast: MAC-адрес отправителя состоит из одних нулей или одних единиц.
ethernet mismatch: MAC-адрес отправителя пакета не соответствует MAC-адресу, указанному внутри ARP-запроса.
reused old ethernet address: Ethernet-адрес изменился с известного адреса на адрес, который был замечен ранее, но не только что. (Похоже на flip flop, но чуть-чуть другое.)
suppressed DECnet flip flop: Сообщение "flip flop" подавлено в связи с тем, что как минимум один из двух адресов является адресом DECnet.

В следующей статье расскажу, как жестко привязать IP адрес к MAC адресу, в этом случае присвоить IP адрес другой машине будет не возможно.

//H@wk!

Добавить коментарий
Имя:
E-mail
Коментарий:
Код:*

Коментарии (1)

1 Написал(а) Данил, в 14:04 25.08.2011
Благодарю.

« SSH - удаленный запуск графических приложений		Как скопировать файлы с удаленного ПК, если есть только SSH? »

Вернуться