Website-Suche

Arpwatch – Überwachen Sie die Ethernet-Aktivität unter Linux

Arpwatch ist ein Open-Source-Computersoftwareprogramm, mit dem Sie Ethernet-Verkehrsaktivitäten überwachen können (z. B. Änderungen von IP und MAC-Adressen).) in Ihrem Netzwerk und verwaltet eine Datenbank mit Ethernet/IP-Adresspaaren.

Es erstellt ein Protokoll der festgestellten Kopplung von IP- und MAC-Adressinformationen zusammen mit einem Zeitstempel, sodass Sie genau beobachten können, wann die Kopplungsaktivität im Netzwerk aufgetreten ist. Es besteht auch die Möglichkeit, Berichte per E-Mail an einen Netzwerkadministrator zu senden, wenn eine Kopplung hinzugefügt oder geändert wird.

Das Arpwatch-Tool ist besonders nützlich für Netzwerkadministratoren, um die ARP-Aktivitäten im Auge zu behalten und ARP-Spoofing oder unerwartete Ereignisse zu erkennen IP/MAC-Adressänderungen.

Arpwatch unter Linux installieren

Das Arpwatch-Tool ist auf Linux-Distributionen nicht installiert. Sie müssen Ihren Standardpaketmanager verwenden, um es wie gezeigt aus den System-Repositorys zu installieren.

sudo apt install arpwatch             [On Debian, Ubuntu and Mint]
sudo yum install arpwatch             [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch  [On Gentoo Linux]
sudo apk add arpwatch                 [On Alpine Linux]
sudo pacman -S arpwatch               [On Arch Linux]
sudo zypper install arpwatch          [On OpenSUSE]

Nach der Installation können Sie die wichtigsten Arpwatch-Dateien anzeigen. Die Speicherorte der Dateien unterscheiden sich je nach Betriebssystem geringfügig.

  • /usr/lib/systemd/system/arpwatch – Der Arpwatch-Dienst zum Starten oder Stoppen des Daemons.
  • /etc/sysconfig/arpwatch – Dies ist die Hauptkonfigurationsdatei von Arpwatch.
  • /usr/sbin/arpwatch – Binärer Befehl zum Starten und Stoppen des Tools über das Terminal.
  • /var/lib/arpwatch/arp.dat – Dies ist die Hauptdatenbankdatei, in der IP/MAC-Adressen aufgezeichnet werden.
  • /var/log/messages – Die Protokolldatei, in der arpwatch alle Änderungen oder ungewöhnlichen Aktivitäten auf IP/MAC schreibt.

Führen Sie nun den folgenden Befehl aus, um den Dienst arpwatch zu starten.

systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch

So verwenden Sie Arpwatch-Befehle unter Linux

Um eine bestimmte Schnittstelle anzusehen, geben Sie den folgenden Befehl mit -i und dem Gerätenamen ein.

arpwatch -i eth0

Wenn also ein neuer MAC angeschlossen wird oder eine bestimmte IP-Adresse ihre MAC-Adresse im Netzwerk ändert, werden Sie Syslog-Einträge in „/var/log/syslog“ oder „/“ bemerken. var/log/message‘-Datei mit dem tail-Befehl.

tail -f /var/log/messages
Beispielausgabe
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

Die obige Ausgabe zeigt eine neue Workstation. Wenn Änderungen vorgenommen werden, erhalten Sie die folgende Ausgabe.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Sie können auch die aktuelle ARP-Tabelle überprüfen, indem Sie den folgenden Befehl verwenden.

arp -a
Beispielausgabe
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Wenn Sie Benachrichtigungen an Ihre benutzerdefinierte E-Mail-ID senden möchten, öffnen Sie die Hauptkonfigurationsdatei „/etc/sysconfig/arpwatch“ und fügen Sie die E-Mail wie unten gezeigt hinzu.

-u <username> : defines with what user id arpwatch should run
-e <email>    : the <email> where to send the reports
-s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Hier ist ein Beispiel für einen E-Mail-Bericht, wenn ein neuer MAC angeschlossen wird.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2022 15:32:29

Hier ist ein Beispiel für einen E-Mail-Bericht, wenn ein IP seine MAC-Adresse ändert.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2022 15:43:45
  previous timestamp: Monday, April 15, 2022 15:32:29 
               delta: 9 minutes

Wie Sie oben sehen können, werden Hostname, IP-Adresse, MAC-Adresse, Anbietername und < aufgezeichnet starke>Zeitstempel.

Weitere Informationen finden Sie auf der Arpwatch-Manpage, indem Sie im Terminal auf „man arpwatch“ klicken.

man arpwatch