arpwatch


Описание arpwatch

arpwatch – отслеживает пары адресов ethernet/ip.

Данная программа регистрирует активность и сообщает об определённых изменениях по электронной почте. arpwatch использует pcap для прослушивания пакетов arp на локальном интерфейсе Ethernet.

Домашняя страница: ee.lbl.gov

Автор: Craig Leres

Лицензия: ?

Справка по arpwatch

Использование:

arpwatch [-dN] [-f файл_с_данными] [-i интерфейс] [-n сеть[/ширина]] [-r файл] [-s путь_до_sendmail] [-p] [-a] [-m адрес] [-u имя_пользователя] [-R секунды ] [-Q] [-z игронировать_сеть/игронировать_маска]

Руководство по arpwatch

СИНОПСИС

       arpwatch [ -dN ]
               [ -f файл_с_данными ]
               [ -i интерфейс ]
               [ -n сеть[/ширина ]]
               [ -r файл ]
               [ -s путь_до_sendmail ]
               [ -p ]
               [ -a ]
               [ -m адрес ]
               [ -u имя_пользователя ]
               [ -R секунды ]
               [ -Q ]
               [ -z игронировать_сеть/игронировать_маска ]

ОПЦИИ

Флаг -d используется для включения отладки. Он также тормозит создание форков в фоне и отправку сообщений по почте. Вместо этого сообщения отправляются в stderr (стандартный вывод ошибок).

Флаг -f используется для настройки имени файла базы данных адресов ethernet/ip. По умолчанию это arp.dat.

Флаг -i используется для перезаписи интерфейса по умолчанию.

Флаг -n определяет дополнительные локальные сети. Это может быть полезно для избежания предупреждения "bogon" (фиктивных IP) когда более чем одна сеть запущены на одном проводе. Если опция ширины не указана, для классе сети используется маска сети по умолчанию.


Флаг -N отключает сообщения о любых bogons (фиктивных IP).

Флаг -r используется для указания файла сохранения (возможно созданного программой tcpdump(1) или pcapture(1)) из которого нужно читать вместо чтения из сети. В этом случае arpwatch не форкуется.

(Debian) Флаг -s используется для определения пути до программы sendmail. Может быть подставлена любая программа, которая принимает опцию -odi и затем текст из stdin. Это полезно для перенаправления репортов в лог файлы вместо отправки по почте.

(Debian) Флаг -p отключает неразборчивые операции. Вещание ARP получается через хабы без интерфейса в неразборчивом режиме, что означает сбережение значительных ресурсов, которые иначе были бы впустую потрачены на обработку гигабитного не широковещательного трафика. С другой стороны, установка смешанного режима не означает получение 100% трафика, который был бы отклонён arpwatch. Ваши результаты могут отличаться от приведённых.

(Debian) -a По умолчанию, arpwatch сообщает о bogons (фиктивных IP) (если не установлен ключ -N) для IP адресов, которые в той же самой подсети, что и первый IP адрес интерфейса по умолчанию. Если установлена эта опция, arpwatch будет сообщать о bogons (фиктивных IP) — о каждом IP адресе.

(Debian) Опция -m используется для установки адреса e-mail на который будут отправляться репорты. По умолчанию, отчёты отправляются руту локальной машины.

(Debian) Флаг -u инструктирует arpwatch отбросить привилегии рута и поменять UID на пользователя и GID на главную группу пользователя. Это рекомендуется по причинам безопасности, но пользователь должен иметь доступ записи в дефолтную директорию.

(Debian) Флаг -R инструктирует arpwatch перезапустить в указанное время (секунды) после того, как интерфейс стал недоступен. По умолчанию в таких случаях arpwatch напечатает сообщение об ошибке и выйдет. Эта опция игнорируется, если используется флаг -r или -u.

(Debian) Флаг -Q не даёт arpwatch отправить почту.

(Debian) Флаг -z используется для установки диапазона ip адресов, которые нужно игнорировать (такие как диапазоны DHCP). Маска сети задаётся как 255.255.128.0.

Примечание: пустой файл arp.dat должен быть создан перед первым запуском arpwatch.

СООБЩЕНИЯ ОТЧЁТОВ

Здесь краткий список сообщений, которые генерирует arpwatch(1) (и arpsnmp(1)):

new activity

Эта пара ethernet/ip адрес впервые была использована за шесть месяцев или более

new station

Адрес ethernet ранее не известен.

flip flop


Адрес ethernet изменился с последнего виденного адреса, на предпоследний. (Если старый или новый адрес ethernet является адресом DECnet и ему менее чем 42 часа, email версия отчёта подавляется.)

changed ethernet address

Хост переключился на новый адрес ethernet.

СИСТЕМНЫЕ СООБЩЕНИЯ

Здесь некоторые сообщения системного журнала; обратите внимание, сообщения из репортов также попадают в системный журнал.

ethernet broadcast

Mac ethernet адрес хоста — это широковещательный адрес.

ip broadcast

IP адрес хоста — это широковещательный адрес.


bogon

IP адрес источника не является локальным для локальной сети.

ethernet broadcast

Адрес источника mac или arp ethernet был весь из единиц или из нулей.

ethernet mismatch

Адрес источника mac ethernet не соответствует адресу внутри пакета arp.

reused old ethernet address

Адрес ethernet был изменён с последнего на с пред-предпоследний (или более) виденного адреса. (Это схоже с flip flop.)

suppressed DECnet flip flop

Отчёт "flip flop" был подавлен, поскольку один из двух адресов были адресом DECnet.

ФАЙЛЫ

/var/lib/arpwatch – директория по умолчанию

arp.dat – база данных адресов ethernet/ip

/usr/share/arpwatch/ethercodes.dat – список блокировки вендеров ethernet

/etc/arpwatch.conf – файл с настройками

/etc/default/arpwatch – файл с настройками по умолчанию


Расшифровка терминов в Википедии (на английском):

Примеры запуска arpwatch

Запуск программы в режиме отладки, без создания форков в фоне и отправки сообщений по почте. Вместо этого сообщения отправляются в stderr (стандартный вывод ошибок).

sudo /usr/sbin/arpwatch -d

Для запуска программы как демона откройте и отредактируйте файл /etc/arpwatch.conf, пропишите там имя интерфейса для контроля, задайте опции и имя пользователя, которому отправлять письма об изменениях.

Затем запустите службу:

sudo systemctl start arpwatch

В различных дистрибутивах могут быть разные версии arpwatch и показанный выше пример может не сработать.

Пример рабочего запуска arpwatch на Kali Linux.

Создайте файл, в котором программа будет хранить свои данные:

touch /tmp/arp.dat

Запустите команду вида:

sudo /usr/sbin/arpwatch -d -i ИНТЕРФЕЙС -f /tmp/arp.dat

Например:

sudo /usr/sbin/arpwatch -d -i eth0 -f /tmp/arp.dat

Она может выдать следующую ошибку:

arpwatch: Warning: Not compiled with -DDEBUG

Эта ошибка означает, что arpwatch была скомпилирована без включённой опции отладки.

Можно запустить программу без этой опции:

sudo arpwatch -i ИНТЕРФЕЙС -f /tmp/arp.dat

В этом случае arpwatch сразу перейдёт в фон и будет непонятно, работает программа или нет. Для проверки, что процесс arpwatch запущен:

ps -e | grep arpwatch

Чтобы посмотреть сообщения, которые выводит arpwatch, выполните команду:

journalctl -b | grep arpwatch

Установка arpwatch

Установка в Kali Linux

sudo apt install arpwatch

Установка в BlackArch

Программа предустановлена в BlackArch. Для установки в минимальные сборки выполните:

sudo pacman -S arpwatch

Установка в Debian, Linux Mint, Ubuntu

sudo apt install arpwatch

Информация об установке в другие операционные системы будет добавлена позже.

Скриншоты arpwatch

101

Инструкции по arpwatch


Близкие программы:

  • mitmcanary (87.3%)
  • waidps (70.4%)
  • simple findbackdoor (67%)
  • GoAccess (67%)
  • ARTLAS (67%)
  • Xplico (RANDOM - 50%)
  • Рекомендуется Вам:

    Comments are Closed