Arpwatch - мониторинг соответствие между IP и MAC-адресами

  Устанавливаем arpwatch

Из порта:


cd /usr/ports/net-mgmt/arpwatch && make install clean

после чего правим rc.conf для запуска arpwatch при загрузке системы:


vi /etc/rc.conf


arpwatch_enable="YES" #включаем arpwatch
arpwatch_interfaces="nfe0" #какие интерфейсы слушать
#arpwatch_interfaces="" #слушать все интерфейсы
#arpwatch_nfe0_options="-m admin@mydomain.ru" #отправлять лог себе на мыло

Ведение логов

для ведения логов лучше настроить для этого syslog.conf:


vi /etc/syslog.conf

Мониторинг

Таблица соответствия адресов находится в файле /usr/local/arpwatch/arp.<интерфейс>.dat и выглядит как обычный текстовый файл, с MAC-адресом, IP-адресом, временем попадения в таблицу, и именем интерфейса, через который пришёл исходный запрос.


cat /usr/local/arpwatch/arp.nfe0.dat
0:f:ea:63:e2:d7 192.168.1.31    1265370078      oksen
0:1:29:1b:35:7e 192.168.1.18    1265369952      narman
0:2:b3:b2:26:e4 192.168.1.254   1265370062      ns
0:1d:7d:a6:77:64        192.168.1.67    1265368627      r423-1
0:1d:7d:a6:70:80        192.168.1.84    1265370079      lib5
0:1d:7d:70:6f:28        192.168.1.43    1265370029      tender
0:1d:7d:a6:70:35        192.168.1.82    1265370064      lib3
0:c:76:97:51:e5 192.168.1.48    1265368690      jurist
0:b:6a:6d:fd:81 192.168.1.83    1265370048      lib4
0:e0:4d:2a:cd:68        192.168.1.35    1265369127      matbuh2
0:1d:7d:a6:6a:4b        192.168.1.86    1265370064      lib7
0:1a:4d:dc:db:46        192.168.1.65    1265370078      r421a
0:e:a6:27:5a:59 192.168.1.156   1265370034      lib2-ab1
0:2:44:5a:a4:3d 192.168.1.45    1265369568      ois3
0:f:ea:4f:20:89 192.168.1.24    1265370015      glbuh
0:1a:4d:fb:e:a4 192.168.1.152   1265370059      lib2-4z
0:2:b3:b8:8a:36 192.168.1.38    1265370059      serv3

arpwatch формирует события следующих типов:

Важные:


 new activity - Это Ethernet/IP был использован впервые за 6 месяцев.
 new station - Это Ethernet/IP был использована впервые
 flip flop - Замена адреса с одного на другой (оба были в списке).
 changed ethernet address - Замена на новый MAC адрес Ethernet.

Дополнительные:


ethernet broadcast - MAC-адрес хоста является широковещательным. 
ip broadcast - IP-адрес хоста является широковещательным. 
bogon - Адрес отправителя IP-пакета не входит в непосредственно подключённую
        сеть (directly connected network) для заданного интерфейса. 
ethernet broadcast - MAC-адрес отправителя состоит из одних нулей или одних 
                     единиц.
ethernet mismatch - MAC-адрес отправителя пакета не соответствует MAC-адресу, 
                    указанному внутри ARP-запроса. 
reused old ethernet address - Ethernet-адрес изменился с известного адреса на 
                              адрес, который был замечен ранее, но не только 
                              что. (Похоже на flip flop, но чуть-чуть другое.) 
suppressed DECnet flip flop - Сообщение "flip flop" подавлено в связи с тем, 
                              что как минимум один из двух адресов является 
                              адресом DECnet.

если есть необходимость вести журнал всех событий (не только важных), то меняем (*.notice) на (*.*) в syslog.conf



после чего перезагружаем syslog


killall -HUP syslogd

выглядеть это будет примерно так:


cat /var/log/arpwatch.log

Feb 5 09:27:20 bsd-9 arpwatch: new station 192.168.1.169 0:13:8f:27:2f:6f
Feb 5 09:30:39 bsd-9 arpwatch: new station 192.168.1.29 0:13:8f:24:a3:a
Feb 5 09:35:39 bsd-9 arpwatch: new station 192.168.1.28 0:2:44:5a:69:65
Feb 5 09:53:28 bsd-9 arpwatch: new station 192.168.1.33 0:2:44:5a:69:6b
Feb 5 09:55:40 bsd-9 arpwatch: new station 192.168.1.8 0:1d:7d:a6:6a:73
Feb 5 10:17:35 bsd-9 arpwatch: new station 192.168.1.249 0:13:46:65:81:f5
Feb 5 10:17:36 bsd-9 arpwatch: changed ethernet address 192.168.1.249 0:11:95:b8:96:42 (0:13:46:65:81:f5)
Feb 5 10:41:15 bsd-9 arpwatch: new station 192.168.1.146 0:f:ea:63:f8:40
Feb 5 10:49:11 bsd-9 arpwatch: new station 192.168.1.164 0:19:5b:2f:99:b1
Feb 5 10:52:11 bsd-9 arpwatch: new station 192.168.1.124 0:f:ea:63:f8:32
Feb 5 11:00:57 bsd-9 arpwatch: new station 192.168.1.170 0:f:ea:4f:65:d7


по желанию можно настроить ротацию:


vi /etc/newsyslog.conf

размещено: 2010-02-15,

				последнее обновление: 2010-06-17,

				автор: ttys

gonzo111, 2010-02-16 в 13:01:37

ttys где ссылка на форум для обсуждения и предлагаю тебе перенести в раздел Security тк к настройке тема не очень то и относится...

ttys, 2010-02-16 в 13:19:46

перенёс и подправил =)

lissyara, 2010-02-16 в 13:24:05

на URL внимание обрати... у этой страницы... ======== когда я сайт делал, думал что много настроек - это хорошо. чем дальше тем больше понимаю что админы от юзеров не отличаются ничем, и так же как и юзеры пихают что ни попадя во все поля ...

ttys, 2010-02-16 в 13:30:11

=) тогово

d0t, 2010-06-15 в 19:48:52

Думаю не помешает добавить что дополнительные опции описанные а мане указываются в /etc/rc.conf к примеру так: arpwatch_interfaces="vr0" arpwatch_vr0_options="-m pochta@pochta.ru" - отсылать в почту

ttys, 2010-06-17 в 14:37:11

я по nfs забираю лог, и через conky на экране видно если чёто изменится =)

gonzo111, 2010-06-25 в 10:53:30

что то мне не нравится ихний путь /usr/local/arpwatch/ не юникс вэй это Перенес каталог в /usr/local/etc/arpwatch, но опция arpwatch_dir="/usr/local/etc/arpwatch" почему то не сработала пришлось в /usr/local/etc/rc.d/arpwatch менять arpwatch_dir