Arpwatch - мониторинг активности Ethernet IP и Mac-адрес в Linux

Arpwatch – это компьютерная программа с открытым исходным кодом, которая помогает вам отслеживать активность Ethernet трафика (например, изменение IP и MAC-адресов) в вашей сети и ведет базу данных пар MAC/IP.

Она создает журнал найденых пар IP и MAC-адресов вместе с меткой времени, так что вы можете внимательно проследить, когда в сети появилась какая-либо активность. Также есть возможность отправлять отчеты по электронной почте администратору сети при добавлении или изменении пары.

Утилита Arpwatch особенно полезна для администраторов сетей, которые следят за ARP-активностью для обнаружения ARP-спуфинга или неожиданных изменений IP/MAC адресов.

Установка Arpwatch в Linux

Утилита Arpwatch не установлена в дистрибутивах Linux, вам необходимо использовать стандартный менеджер пакетов для установки из системных репозиториев, как показано на рисунке.

sudo apt install arpwatch             [On Debian, Ubuntu and Mint]
sudo yum install arpwatch             [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch  [On Gentoo Linux]
sudo apk add arpwatch                 [On Alpine Linux]
sudo pacman -S arpwatch               [On Arch Linux]
sudo zypper install arpwatch          [On OpenSUSE]

После установки вы можете просмотреть наиболее важные файлы arpwatch, расположение файлов немного отличается в зависимости от вашей операционной системы.

/usr/lib/systemd/system/arpwatch – Служба arpwatch для запуска или остановки демона.
/etc/sysconfig/arpwatch – Это основной файл конфигурации arpwatch.
/usr/sbin/arpwatch – Двоичная команда для запуска и остановки инструмента через терминал.
/var/lib/arpwatch/arp.dat – Основной файл базы данных, в который записываются IP/MAC адреса.
/var/log/messages – Файл журнала, в который arpwatch записывает любые изменения или необычную активность IP/MAC.

Теперь выполните следующую команду для запуска службы arpwatch.

systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch

Как использовать команды Arpwatch в Linux

Чтобы наблюдать за определенным интерфейсом, введите следующую команду с -i и именем устройства.

arpwatch -i eth0

Таким образом, каждый раз, когда подключается новый MAC или определенный IP меняет свой MAC-адрес в сети, вы заметите записи syslog в файле /var/log/syslog или /var/log/message с помощью команды tail.

tail -f /var/log/messages

Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

Приведенный выше вывод отображает новую рабочую станцию. Если были сделаны какие-либо изменения, вы получите следующий результат.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Вы также можете проверить текущую таблицу ARP, используя следующую команду.

arp -a

itshaman.onmypc.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Если вы хотите отправлять оповещения на ваш пользовательский email id, то откройте основной конфигурационный файл /etc/sysconfig/arpwatch и добавьте email, как показано ниже.

# -u <username> : defines with what user id arpwatch should run
# -e <email>    : the <email> where to send the reports
# -s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email protected] -s 'root (Arpwatch)'"

Здесь приведен пример отчета по электронной почте, когда подключается новый MAC.

hostname: centos
ip address: 172.16.16.25
interface: eth0
ethernet address: 00:24:1d:76:e4:1d
ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
timestamp: Monday, April 15, 2022 15:32:29

Здесь приведен пример отчета по электронной почте, когда IP меняет свой MAC адрес.

hostname: centos
ip address: 172.16.16.25
interface: eth0
ethernet address: 00:56:1d:36:e6:fd
ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
timestamp: Monday, April 15, 2022 15:43:45
previous timestamp: Monday, April 15, 2022 15:32:29 
delta: 9 minutes

Как вы можете видеть выше, он записывает, Hostname, IP адрес, MAC адрес, Vendor name, и timestamps.

Для получения дополнительной информации, смотрите man страницу arpwatch, выполнив команду man arpwatch в терминале.