Мы — долго запрягаем, быстро ездим, и сильно тормозим.

FreeBSD
Очумелые Ручки
OpenBSD
  Демоны
  squid ntlm
  exim + cyrus-imapd
  Arpwatch
  Web
  Packet Filter
  Настройка
  Файловая система
Cisco


www.lissyara.su —> статьи —> OpenBSD —> Демоны —> Arpwatch

Arpwatch - мониторинг соответствие между IP и MAC-адресами

Автор: ttys.


Устанавливаем arpwatch
Из порта:

cd /usr/ports/net/arpwatch && make install clean

Пакетом:

wget ftp://ftp.openbsd.org/pub/OpenBSD/4.6/packages/i386/arpwatch-2.1a15p0.tgz


pkg_add ./arpwatch-2.1a15p0.tgz

для запуска arpwatch редактируем rc.local

vi /etc/rc.local


if [ -x /usr/local/sbin/arpwatch -a -d /var/arpwatch ]; then
        /usr/local/sbin/arpwatch -i rl1 && echo -n ' arpwatch'
fi

С флагом "-i" указываем какой конкретно интерфейс слушать "-i rl1"
arpwatch формирует события следующих типов:
Важные:

 new activity - Это Ethernet/IP был использован впервые за 6 месяцев.
 new station - Это Ethernet/IP был использована впервые
 flip flop - Замена адреса с одного на другой (оба были в списке).
 changed ethernet address - Замена на новый MAC адрес Ethernet.

Дополнительные:

ethernet broadcast - MAC-адрес хоста является широковещательным. 
ip broadcast - IP-адрес хоста является широковещательным. 
bogon - Адрес отправителя IP-пакета не входит в непосредственно подключённую
        сеть (directly connected network) для заданного интерфейса. 
ethernet broadcast - MAC-адрес отправителя состоит из одних нулей или одних 
                     единиц.
ethernet mismatch - MAC-адрес отправителя пакета не соответствует MAC-адресу, 
                    указанному внутри ARP-запроса. 
reused old ethernet address - Ethernet-адрес изменился с известного адреса на 
                              адрес, который был замечен ранее, но не только 
                              что. (Похоже на flip flop, но чуть-чуть другое.) 
suppressed DECnet flip flop - Сообщение "flip flop" подавлено в связи с тем, 
                              что как минимум один из двух адресов является 
                              адресом DECnet.  

Ведение логов
Хотя в OpenBSD и так всё заносится в /var/log/messages но среди всего выискивать arpwatch мне не удобно я сделал так:
Редактируем syslog.conf:

vi /etc/syslog.conf


!arpwatch
*.notice;     /var/log/arpwatch

выглядеть это будет примерно так:

cat /var/log/arpwatch
Feb 15 10:32:24 openbsd-9 arpwatch: new station 192.168.1.164 0:19:5b:2f:99:b1
Feb 15 10:39:47 openbsd-9 arpwatch: new station 192.168.1.55 0:1a:4d:65:83:a9
Feb 15 10:41:42 openbsd-9 arpwatch: new station 192.168.1.76 0:1:29:1b:37:1a
Feb 15 11:08:46 openbsd-9 arpwatch: new station 192.168.1.102 0:f:ea:4f:24:1e
Feb 15 11:27:38 openbsd-9 arpwatch: new station 192.168.1.28 0:2:44:5a:69:65
Feb 15 11:28:58 openbsd-9 arpwatch: new station 192.168.1.153 0:13:8f:24:a4:ca
Feb 15 12:00:22 openbsd-9 arpwatch: new station 192.168.1.118 0:1f:d0:b0:bb:91
Feb 15 12:16:09 openbsd-9 arpwatch: new station 192.168.1.26 0:1d:7d:a6:74:b0
Feb 15 13:01:25 openbsd-9 arpwatch: new station 192.168.1.6 0:2:b3:9f:dc:a7
Feb 15 13:05:24 openbsd-9 arpwatch: new station 192.168.1.189 0:1:29:79:10:57
Feb 15 13:11:32 openbsd-9 arpwatch: new station 192.168.1.169 0:13:8f:27:2f:6f
Feb 15 13:27:49 openbsd-9 arpwatch: new station 192.168.1.188 0:24:1d:9d:c8:67
Feb 15 14:25:47 openbsd-9 arpwatch: new station 192.168.1.27 0:1d:7d:a6:70:4d
Feb 15 14:40:54 openbsd-9 arpwatch: new station 192.168.1.64 0:1d:7d:a6:70:76

по желанию можно настроить ротацию:

vi /etc/newsyslog.conf


/var/log/arpwatch                   644  3     100  *     JC

Перенесена с www.ignix.ru

Ссылка на обсуждение: http://forum.lissyara.su/viewtopic.php?f=46&t=23922



размещено: 2010-02-15,
последнее обновление: 2010-02-16,
автор: ttys

оценить статью:


Оставьте свой комментарий:
Ваше имя:   *
e-mail:  
жирный
наклонный
подчёркнутый
ссылка
цвет
Нынешний год:   *
 


Хостинг HOST-FOOD

2014-07-27, lissyara
gmirror

Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9

Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
подписка

    вверх      
Статистика сайта
Сейчас на сайте находится: 24 чел.
За последние 30 мин было: 77 человек
За сегодня было
4604 показов,
950 уникальных IP
 

  Этот информационный блок появился по той простой причине, что многие считают нормальным, брать чужую информацию не уведомляя автора (что не так страшно), и не оставляя линк на оригинал и автора — что более существенно. Я не против распространения информации — только за. Только условие простое — извольте подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой, незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
  Если соизволите поставить автора в известность — то вообще почёт вам и уважение.

© lissyara 2006-10-24 08:47 MSK

Время генерации страницы 0.0359 секунд
Из них PHP: 29%; SQL: 71%; Число SQL-запросов: 61 шт.
Исходный размер: 55918; Сжатая: 10899