ウェブサイト検索

Arpwatch - Linux でのイーサネット アクティビティの監視

Arpwatch は、イーサネット トラフィック アクティビティ (IP の変更MAC アドレスなど) の監視に役立つオープンソースのコンピュータ ソフトウェア プログラムです。) をネットワーク上に配置し、イーサネット/IP アドレスのペアのデータベースを維持します。

認識された IP アドレスと MAC アドレス情報のペアリングのログがタイムスタンプとともに生成されるため、ペアリング アクティビティがいつネットワーク上に現れたかを注意深く監視できます。ペアリングが追加または変更されたときに、レポートを電子メールでネットワーク管理者に送信するオプションもあります。

Arpwatch ツールは、ネットワーク管理者ARP アクティビティを監視して、ARP スプーフィングや予期しないものを検出するのに特に役立ちます。 IP/MAC アドレスの変更。

Linux への Arpwatch のインストール

Arpwatch ツールは Linux ディストリビューションにはインストールされません。示されているように、デフォルトのパッケージ マネージャーを使用してシステム リポジトリからインストールする必要があります。

sudo apt install arpwatch             [On Debian, Ubuntu and Mint]
sudo yum install arpwatch             [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch  [On Gentoo Linux]
sudo apk add arpwatch                 [On Alpine Linux]
sudo pacman -S arpwatch               [On Arch Linux]
sudo zypper install arpwatch          [On OpenSUSE]

インストールすると、最も重要な arpwatch ファイルを表示できます。ファイルの場所はオペレーティング システムによって若干異なります。

  • /usr/lib/systemd/system/arpwatch – デーモンを開始または停止するための arpwatch サービス。
  • /etc/sysconfig/arpwatch – これはメインの arpwatch 設定ファイルです。
  • /usr/sbin/arpwatch – ターミナル経由でツールを起動および停止するためのバイナリ コマンド。
  • /var/lib/arpwatch/arp.dat – これは、IP/MAC アドレスが記録されるメインのデータベース ファイルです。
  • /var/log/messages – arpwatch が変更や異常なアクティビティを IP/MAC に書き込むログ ファイル。

次のコマンドを実行してarpwatch サービスを開始します。

systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch

Linux で Arpwatch コマンドを使用する方法

特定のインターフェイスを監視するには、-i とデバイス名を指定して次のコマンドを入力します。

arpwatch -i eth0

したがって、新しい MAC が接続されたり、特定の IP がネットワーク上の MAC アドレスを変更したりすると、「/var/log/syslog」または「/」に syslog エントリが記録されることに気づくでしょう。 tail コマンドを使用して、var/log/message' ファイルを作成します。

tail -f /var/log/messages
サンプル出力
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

上記の出力には、新しいワークステーションが表示されます。変更を加えると、次の出力が得られます。

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

次のコマンドを使用して、現在のARP テーブルを確認することもできます。

arp -a
サンプル出力
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

カスタム電子メール ID にアラートを送信したい場合は、メイン設定ファイル「/etc/sysconfig/arpwatch」を開き、以下に示すように電子メールを追加します。

-u <username> : defines with what user id arpwatch should run
-e <email>    : the <email> where to send the reports
-s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

新しいMAC が接続されたときの電子メール レポートの例を次に示します。

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2022 15:32:29

以下は、IPMAC アドレスが変更された場合の電子メール レポートの例です。

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2022 15:43:45
  previous timestamp: Monday, April 15, 2022 15:32:29 
               delta: 9 minutes

上からわかるように、ホスト名IP アドレスMAC アドレスベンダー名タイムスタンプ

詳細については、ターミナルで「man arpwatch」をクリックして、arpwatch のマニュアル ページを参照してください。

man arpwatch