- Главная... arrow - Статьи... arrow | - LAN & NET arrow Arpwatch настройка

#Записки о Unix/Linux/BSD/Solaris

Arpwatch настройка
Автор H@wk!   
28:02:2009 г.

Arpwatch - это монитор, который отслеживает соответствие IP адресов устройств - их MAC адресам и если эти данные вдруг различаются Arpwatch тут же сообщает об этом. Можно настроить так, чтобы сообщения приходили на e-mail, что очень удобно.
Т.е. с помощью Arpwatch можно в интерактивном режиме отслеживать смену IP адресов пользователями, ARP-spoofing...

Пройдемся немного по терминологии:

Address Resolution Protocol (ARP) ­--- протокол, использующийся в Ethernet-сетях (но не только в них) для преобразования IP-адреса к MAC-адресу сети.

ARP-spoofing (ARP-poisoning) — техника сетевой атаки, применяемая преимущественно в Ethernet, но возможная и в других, использующих протокол ARP сетях, основанная на использовании недостатков протокола ARP и позволяющая перехватывать трафик между узлами, которые расположены в пределах одного широковещательного домена. Относится к числу spoofing-атак.
Подробнее...

Устанавливаем Arpwatch:

sudo apt-get install arpwatch


Мануал достаточно информативен и составить команду для работы Arpwatch применительно к вашей сети не составит труда, но в качестве примера укажу свою команду.

Итак русский мануал Arpwatch...

Настройка Arpwatch:

Создаем файл базы Arpwatch

sudo nano /var/lib/arpwatch/arp.dat //Сохранить пустым


Назначаем этому файлу пользователя "arpwatch".

Когда все требования выполнены, переходим к конфигурационному файлу:

sudo nano /etc/arpwatch.conf


Прописываем следующую строчку:

eth0 -a -n 192.168.10.0/24 -m Этот e-mail защищен от спам-ботов. Для его просмотра в вашем браузере должна быть включена поддержка Java-script


Сохраняем и запускаем сервис:

sudo /etc/init.d/arpwatch start


Проверяем работу:

$ps -ef | grep arpwatch
arpwatch 28624     1  0 17:35 ?        00:00:00 /usr/sbin/arpwatch -i eth0 -f eth0.dat -a -n 192.168.10.0/24 -m Этот e-mail защищен от спам-ботов. Для его просмотра в вашем браузере должна быть включена поддержка Java-script -u arpwatch -N -p


Если видим такое, значит все работает )).
Теперь поподробнее о самой команде. Согласно мануалу, ключ -i - это сетевой интерфейс который будем слушать. В данном примере к локальной сети относится eth0. О сетевых интерфейсах можно узнать выполнив:

ifconfig


Дальше идет файл базы арпватча eth0.dat. Дальше указываем сеть и маску, после ключа -n.
-m собственно мыло, на которое надо отправлять, пишем его после ключика. Для отправки сообщений необходимо чтобы работал sendmaill или аналог, в моем случае эти функции выполняет Nullmailer.
-u  отбросить привелегии root'а и работать от имени указанного пользователя.
arpwatch -N -p - указывается для того, чтобы убрать сообщения о подменах, это уже берется из файла глобальных настроек Arpwatch:

sudo nano /etc/default/arpwatch


Убираем ключ -N, т.к. информация о подменах нам нужна, сохраняем и перезапускаем демон:

sudo /etc/init.d/arpwatch restart


Через некоторое время, на указанный e-mail должна свалиться почта с темой "new station" - т.е. новые станции.
Вот список что может быть в теме письма:
new activity
Эта пара ethernet/ip-адресов впервые используется снова за последние шесть месяцев или больше.
new station
Этот ethernet-адрес раньше не замечали.
flip flop
Ethernet-адрес изменился с одного известного адреса на другой известный адрес. (Если старый или новый адрес относится это DECnet-адрес и прошло меньше 24х часов, почтовая версия сообщения не отправляется).
changed ethernet address
Хост перешёл на использование нового ethernet-адреса.

А вот список, что может быть в syslog:
ethernet broadcast
MAC-адрес хоста является широковещательным.
ip broadcast
IP-адрес хоста является широковещательным.
bogon
Адрес отправителя IP-пакета не входит в непосредственно подключённую сеть (directly connected network) для заданного интерфейса.
ethernet broadcast
MAC-адрес отправителя состоит из одних нулей или одних единиц.
ethernet mismatch
MAC-адрес отправителя пакета не соответствует MAC-адресу, указанному внутри ARP-запроса.
reused old ethernet address
Ethernet-адрес изменился с известного адреса на адрес, который был замечен ранее, но не только что. (Похоже на flip flop, но чуть-чуть другое.)
suppressed DECnet flip flop
Сообщение "flip flop" подавлено в связи с тем, что как минимум один из двух адресов является адресом DECnet.
В следующей статье расскажу, как жестко привязать IP адрес к MAC адресу, в этом случае присвоить IP адрес другой машине будет не возможно.

//H@wk!

Добавить коментарий
Имя:
E-mail
Коментарий:



Код:* Code


Просмотров: 30913

  Коментарии (1)
RSS комментарии
 1 Написал(а) Данил, в 14:04 25.08.2011
Благодарю.
 
« SSH - удаленный запуск графических приложений   Как скопировать файлы с удаленного ПК, если есть только SSH? »

#COMMENT

Блокируем Ylmf-pc на Exim, Bru...
Благодарю за кучу уцелевших нервов:) постоянно приходилось б...
30/05/17 00:02 More...
By Mus

Установка даты и времени в кон...
Спасибо
12/05/17 17:49 More...
By dushka

Раскладка в rdesktop
Огромное спасибо!
28/04/17 14:01 More...
By Виктор

Аутентификация средствами Apac...
подскажите как писать пороль цифры ?пж! :sigh
28/03/17 13:06 More...
By Лиза

Logwatch - мониторинг журналов...
Отлично, очень не хватало. Автору большое спасибо, пиши еще.
25/01/17 02:44 More...
By Gregg

Сейчас на сайте находятся:
3 гостей