www.lissyara.su
—> статьи
—> OpenBSD
—> Демоны
—> Arpwatch
Arpwatch - мониторинг соответствие между IP и MAC-адресами
Автор: ttys.
Устанавливаем arpwatch
Из порта:
cd /usr/ports/net/arpwatch && make install clean
| Пакетом:
wget ftp://ftp.openbsd.org/pub/OpenBSD/4.6/packages/i386/arpwatch-2.1a15p0.tgz
|
pkg_add ./arpwatch-2.1a15p0.tgz
| для запуска arpwatch редактируем rc.local
if [ -x /usr/local/sbin/arpwatch -a -d /var/arpwatch ]; then
/usr/local/sbin/arpwatch -i rl1 && echo -n ' arpwatch'
fi
| С флагом "-i" указываем какой конкретно интерфейс слушать "-i rl1"
arpwatch формирует события следующих типов:
Важные:
new activity - Это Ethernet/IP был использован впервые за 6 месяцев.
new station - Это Ethernet/IP был использована впервые
flip flop - Замена адреса с одного на другой (оба были в списке).
changed ethernet address - Замена на новый MAC адрес Ethernet.
| Дополнительные:
ethernet broadcast - MAC-адрес хоста является широковещательным.
ip broadcast - IP-адрес хоста является широковещательным.
bogon - Адрес отправителя IP-пакета не входит в непосредственно подключённую
сеть (directly connected network) для заданного интерфейса.
ethernet broadcast - MAC-адрес отправителя состоит из одних нулей или одних
единиц.
ethernet mismatch - MAC-адрес отправителя пакета не соответствует MAC-адресу,
указанному внутри ARP-запроса.
reused old ethernet address - Ethernet-адрес изменился с известного адреса на
адрес, который был замечен ранее, но не только
что. (Похоже на flip flop, но чуть-чуть другое.)
suppressed DECnet flip flop - Сообщение "flip flop" подавлено в связи с тем,
что как минимум один из двух адресов является
адресом DECnet.
| Ведение логов
Хотя в OpenBSD и так всё заносится в /var/log/messages но среди всего выискивать arpwatch мне не удобно я сделал так:
Редактируем syslog.conf:
!arpwatch
*.notice; /var/log/arpwatch
| выглядеть это будет примерно так:
cat /var/log/arpwatch
Feb 15 10:32:24 openbsd-9 arpwatch: new station 192.168.1.164 0:19:5b:2f:99:b1
Feb 15 10:39:47 openbsd-9 arpwatch: new station 192.168.1.55 0:1a:4d:65:83:a9
Feb 15 10:41:42 openbsd-9 arpwatch: new station 192.168.1.76 0:1:29:1b:37:1a
Feb 15 11:08:46 openbsd-9 arpwatch: new station 192.168.1.102 0:f:ea:4f:24:1e
Feb 15 11:27:38 openbsd-9 arpwatch: new station 192.168.1.28 0:2:44:5a:69:65
Feb 15 11:28:58 openbsd-9 arpwatch: new station 192.168.1.153 0:13:8f:24:a4:ca
Feb 15 12:00:22 openbsd-9 arpwatch: new station 192.168.1.118 0:1f:d0:b0:bb:91
Feb 15 12:16:09 openbsd-9 arpwatch: new station 192.168.1.26 0:1d:7d:a6:74:b0
Feb 15 13:01:25 openbsd-9 arpwatch: new station 192.168.1.6 0:2:b3:9f:dc:a7
Feb 15 13:05:24 openbsd-9 arpwatch: new station 192.168.1.189 0:1:29:79:10:57
Feb 15 13:11:32 openbsd-9 arpwatch: new station 192.168.1.169 0:13:8f:27:2f:6f
Feb 15 13:27:49 openbsd-9 arpwatch: new station 192.168.1.188 0:24:1d:9d:c8:67
Feb 15 14:25:47 openbsd-9 arpwatch: new station 192.168.1.27 0:1d:7d:a6:70:4d
Feb 15 14:40:54 openbsd-9 arpwatch: new station 192.168.1.64 0:1d:7d:a6:70:76
| по желанию можно настроить ротацию:
/var/log/arpwatch 644 3 100 * JC
| Перенесена с www.ignix.ru
Ссылка на обсуждение: http://forum.lissyara.su/viewtopic.php?f=46&t=23922
размещено: 2010-02-15,
последнее обновление: 2010-02-16,
автор: ttys
|
Комментарии пользователей [0 шт.]