Zoeken op website

Arpwatch - Monitor Ethernet-activiteit in Linux

Arpwatch is een open-source computersoftwareprogramma waarmee u de Ethernet-verkeersactiviteit kunt volgen (zoals IP wijzigen en MAC-adressen) op uw netwerk en onderhoudt een database met ethernet/ip-adreskoppelingen.

Het produceert een logboek van de waargenomen koppeling van IP- en MAC-adresinformatie samen met een tijdstempel, zodat u zorgvuldig kunt kijken wanneer de koppelingsactiviteit op het netwerk verscheen. Het heeft ook de mogelijkheid om rapporten via e-mail naar een netwerkbeheerder te sturen wanneer een koppeling wordt toegevoegd of gewijzigd.

De Arpwatch tool is vooral handig voor Netwerkbeheerders om ARP-activiteit in de gaten te houden om ARP-spoofing of onverwachte te detecteren IP/MAC-adreswijzigingen.

Arpwatch installeren onder Linux

De tool Arpwatch is niet geïnstalleerd op Linux-distributies. U moet uw standaardpakketbeheerder gebruiken om deze te installeren vanuit de systeemrepository's, zoals weergegeven.

sudo apt install arpwatch             [On Debian, Ubuntu and Mint]
sudo yum install arpwatch             [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch  [On Gentoo Linux]
sudo apk add arpwatch                 [On Alpine Linux]
sudo pacman -S arpwatch               [On Arch Linux]
sudo zypper install arpwatch          [On OpenSUSE]

Eenmaal geïnstalleerd kunt u de belangrijkste arpwatch-bestanden bekijken, de locaties van de bestanden verschillen enigszins afhankelijk van uw besturingssysteem.

  • /usr/lib/systemd/system/arpwatch – De arpwatch-service voor het starten of stoppen van de daemon.
  • /etc/sysconfig/arpwatch – Dit is het belangrijkste arpwatch-configuratiebestand.
  • /usr/sbin/arpwatch – Binaire opdracht voor het starten en stoppen van de tool via de terminal.
  • /var/lib/arpwatch/arp.dat – Dit is het hoofddatabasebestand waarin IP/MAC-adressen worden vastgelegd.
  • /var/log/messages – Het logbestand, waarin arpwatch eventuele wijzigingen of ongebruikelijke activiteiten naar IP/MAC schrijft.

Voer nu de volgende opdracht uit om de arpwatch-service te starten.

systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch

Hoe Arpwatch-opdrachten in Linux te gebruiken

Om een specifieke interface te bekijken, typt u de volgende opdracht met -i en apparaatnaam.

arpwatch -i eth0

Dus telkens wanneer een nieuwe MAC wordt aangesloten of een bepaald IP-adres zijn MAC-adres op het netwerk verandert, zult u syslog-vermeldingen opmerken in de '/var/log/syslog' of '/ var/log/message'-bestand met behulp van de tail-opdracht.

tail -f /var/log/messages
Voorbeelduitvoer
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

De bovenstaande uitvoer toont een nieuw werkstation. Als er wijzigingen worden aangebracht, krijgt u de volgende uitvoer.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

U kunt ook de huidige ARP-tabel controleren door de volgende opdracht te gebruiken.

arp -a
Voorbeelduitvoer
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Als u waarschuwingen naar uw aangepaste e-mailadres wilt sturen, open dan het hoofdconfiguratiebestand ‘/etc/sysconfig/arpwatch’ en voeg de e-mail toe zoals hieronder weergegeven.

-u <username> : defines with what user id arpwatch should run
-e <email>    : the <email> where to send the reports
-s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Hier is een voorbeeld van een e-mailrapport, wanneer een nieuwe MAC is aangesloten.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2022 15:32:29

Hier is een voorbeeld van een e-mailrapport waarin een IP zijn MAC-adres wijzigt.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2022 15:43:45
  previous timestamp: Monday, April 15, 2022 15:32:29 
               delta: 9 minutes

Zoals u hierboven kunt zien, worden Hostnaam, IP-adres, MAC-adres, Leveranciernaam en tijdstempels.

Voor meer informatie, zie de arpwatch man-pagina door op ‘man arpwatch’ te klikken in de terminal.

man arpwatch