Arpwatch - Linux'ta Ethernet Etkinliğini İzleyin

Arpwatch, Ethernet trafiği etkinliğini (IP Değiştirme ve MAC Adresleri gibi) izlemenize yardımcı olan açık kaynaklı bir bilgisayar yazılım programıdır. Strong>) ağınızda bulunur ve ethernet/ip adresi eşleşmelerinden oluşan bir veritabanı tutar.

Bir zaman damgasıyla birlikte fark edilen IP ve MAC adresi bilgilerinin eşleşmesinin bir kaydını oluşturur, böylece eşleştirme etkinliğinin ağda ne zaman göründüğünü dikkatlice izleyebilirsiniz. Ayrıca bir eşleştirme eklendiğinde veya değiştirildiğinde raporları e-posta yoluyla ağ yöneticisine gönderme seçeneği de vardır.

Arpwatch aracı özellikle Ağ yöneticilerinin ARP etkinliğini izleyerek ARP kimlik sahtekarlığını veya beklenmedik durumları tespit etmeleri açısından kullanışlıdır. IP/MAC adresi değişiklikleri.

Arpwatch'ı Linux'a Kurmak

Arpwatch aracı Linux dağıtımlarında yüklü değildir, gösterildiği gibi sistem depolarından yüklemek için varsayılan paket yöneticinizi kullanmanız gerekir.

sudo apt install arpwatch             [On Debian, Ubuntu and Mint]
sudo yum install arpwatch             [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch  [On Gentoo Linux]
sudo apk add arpwatch                 [On Alpine Linux]
sudo pacman -S arpwatch               [On Arch Linux]
sudo zypper install arpwatch          [On OpenSUSE]

Kurulduktan sonra en önemli arpwatch dosyalarını görüntüleyebilirsiniz; dosyaların konumları işletim sisteminize bağlı olarak biraz farklıdır.

  • /usr/lib/systemd/system/arpwatch – Arka plan programını başlatmak veya durdurmak için kullanılan arpwatch hizmeti.
  • /etc/sysconfig/arpwatch – Bu, ana arpwatch yapılandırma dosyasıdır.
  • /usr/sbin/arpwatch – Terminal yoluyla aracı başlatmaya ve durdurmaya yönelik ikili komut.
  • /var/lib/arpwatch/arp.dat – Bu, IP/MAC adreslerinin kaydedildiği ana veritabanı dosyasıdır.
  • /var/log/messages – Arpwatch'ın herhangi bir değişikliği veya olağandışı etkinliği IP/MAC'e yazdığı günlük dosyası.

Şimdi arpwatch hizmetini başlatmak için aşağıdaki komutu çalıştırın.

systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch

Linux'ta Arpwatch Komutları Nasıl Kullanılır

Belirli bir arayüzü izlemek için -i ve cihaz adı ile aşağıdaki komutu yazın.

arpwatch -i eth0

Dolayısıyla, yeni bir MAC takıldığında veya belirli bir IP, ağdaki MAC adresini değiştirdiğinde, '/var/log/syslog' veya '/' dosyasında syslog girişlerini göreceksiniz. var/log/message' dosyasını tail komutunu kullanarak açın.

tail -f /var/log/messages
Örnek Çıktı
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

Yukarıdaki çıktı yeni bir iş istasyonunu görüntüler. Herhangi bir değişiklik yapılırsa aşağıdaki çıktıyı alacaksınız.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Aşağıdaki komutu kullanarak mevcut ARP tablosunu da kontrol edebilirsiniz.

arp -a
Örnek Çıktı
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Özel e-posta kimliğinize uyarı göndermek istiyorsanız '/etc/sysconfig/arpwatch' ana yapılandırma dosyasını açın ve e-postayı aşağıda gösterildiği gibi ekleyin.

-u <username> : defines with what user id arpwatch should run
-e <email>    : the <email> where to send the reports
-s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Burada yeni bir MAC bağlandığında e-posta raporu örneği verilmiştir.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2022 15:32:29

Burada bir IP'nin MAC adresini değiştirdiği bir e-posta raporu örneği verilmiştir.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2022 15:43:45
  previous timestamp: Monday, April 15, 2022 15:32:29 
               delta: 9 minutes

Yukarıda görebileceğiniz gibi, Ana Bilgisayar adı, IP adresi, MAC adresi, Satıcı adı ve <'yi kaydeder. güçlü>zaman damgaları.

Daha fazla bilgi için terminalde 'man arpwatch'a basarak arpwatch kılavuz sayfasına bakın.

man arpwatch