Arpwatch - ตรวจสอบกิจกรรมอีเทอร์เน็ตใน Linux
Arpwatch เป็นโปรแกรมซอฟต์แวร์คอมพิวเตอร์โอเพ่นซอร์สที่ช่วยให้คุณสามารถตรวจสอบกิจกรรมการรับส่งข้อมูล Ethernet (เช่น การเปลี่ยน IP และ ที่อยู่ MAC) บนเครือข่ายของคุณและรักษาฐานข้อมูลการจับคู่ที่อยู่อีเธอร์เน็ต/IP
โดยจะสร้างบันทึกการจับคู่ข้อมูลที่อยู่ IP และ MAC ที่สังเกตเห็น พร้อมด้วยการประทับเวลา เพื่อให้คุณสามารถดูได้อย่างรอบคอบเมื่อกิจกรรมการจับคู่ปรากฏบนเครือข่าย นอกจากนี้ยังมีตัวเลือกในการส่งรายงานทางอีเมลไปยังผู้ดูแลระบบเครือข่ายเมื่อมีการเพิ่มหรือเปลี่ยนแปลงการจับคู่
เครื่องมือ Arpwatch มีประโยชน์อย่างยิ่งสำหรับ ผู้ดูแลระบบเครือข่าย ในการเฝ้าดู กิจกรรม ARP เพื่อตรวจจับ การปลอมแปลง ARP หรือสิ่งที่ไม่คาดคิด การแก้ไขที่อยู่ IP/MAC
การติดตั้ง Arpwatch ใน Linux
เครื่องมือ Arpwatch ไม่ได้รับการติดตั้งบน Linux คุณต้องใช้ตัวจัดการแพ็คเกจเริ่มต้นเพื่อติดตั้งจากที่เก็บข้อมูลของระบบดังที่แสดง
sudo apt install arpwatch [On Debian, Ubuntu and Mint]
sudo yum install arpwatch [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch [On Gentoo Linux]
sudo apk add arpwatch [On Alpine Linux]
sudo pacman -S arpwatch [On Arch Linux]
sudo zypper install arpwatch [On OpenSUSE]
เมื่อติดตั้งแล้ว คุณจะสามารถดูไฟล์ arpwatch ที่สำคัญที่สุดได้ ตำแหน่งของไฟล์จะแตกต่างกันเล็กน้อยขึ้นอยู่กับระบบปฏิบัติการของคุณ
- /usr/lib/systemd/system/arpwatch – บริการ arpwatch สำหรับการเริ่มต้นหรือหยุด daemon
- /etc/sysconfig/arpwatch – นี่คือไฟล์การกำหนดค่า arpwatch หลัก
- /usr/sbin/arpwatch – คำสั่งไบนารีเพื่อเริ่มและหยุดเครื่องมือผ่านเทอร์มินัล
- /var/lib/arpwatch/arp.dat – นี่คือไฟล์ฐานข้อมูลหลักที่บันทึกที่อยู่ IP/MAC
- /var/log/messages – ไฟล์บันทึกที่ arpwatch เขียนการเปลี่ยนแปลงหรือกิจกรรมที่ผิดปกติไปยัง IP/MAC
ตอนนี้ให้รันคำสั่งต่อไปนี้เพื่อเริ่มบริการ arpwatch
systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch
วิธีใช้คำสั่ง Arpwatch ใน Linux
หากต้องการดูอินเทอร์เฟซเฉพาะ ให้พิมพ์คำสั่งต่อไปนี้ด้วย -i
และชื่ออุปกรณ์
arpwatch -i eth0
ดังนั้นเมื่อใดก็ตามที่เสียบปลั๊ก MAC ใหม่หรือ IP เฉพาะเปลี่ยนที่อยู่ MAC ของเขาบนเครือข่าย คุณจะสังเกตเห็นรายการ syslog ใน '/var/log/syslog' หรือ '/ var/log/message' โดยใช้คำสั่ง tail
tail -f /var/log/messages
ผลลัพธ์ตัวอย่าง
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
ผลลัพธ์ข้างต้นจะแสดงเวิร์กสเตชันใหม่ หากมีการเปลี่ยนแปลงใดๆ คุณจะได้รับผลลัพธ์ดังต่อไปนี้
Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
คุณยังสามารถตรวจสอบตาราง ARP ปัจจุบันได้โดยใช้คำสั่งต่อไปนี้
arp -a
ผลลัพธ์ตัวอย่าง
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0
หากคุณต้องการส่งการแจ้งเตือนไปยังรหัสอีเมลที่คุณกำหนดเอง ให้เปิดไฟล์การกำหนดค่าหลัก '/etc/sysconfig/arpwatch' และเพิ่มอีเมลตามที่แสดงด้านล่าง
-u <username> : defines with what user id arpwatch should run
-e <email> : the <email> where to send the reports
-s <from> : the <from>-address
OPTIONS="-u arpwatch -e [email -s 'root (Arpwatch)'"
นี่คือตัวอย่างรายงานทางอีเมลเมื่อมีการเชื่อมต่อ MAC ใหม่
hostname: centos
ip address: 172.16.16.25
interface: eth0
ethernet address: 00:24:1d:76:e4:1d
ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
timestamp: Monday, April 15, 2022 15:32:29
นี่คือตัวอย่างรายงานทางอีเมล เมื่อ IP เปลี่ยนที่อยู่ MAC ของเขา
hostname: centos
ip address: 172.16.16.25
interface: eth0
ethernet address: 00:56:1d:36:e6:fd
ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
timestamp: Monday, April 15, 2022 15:43:45
previous timestamp: Monday, April 15, 2022 15:32:29
delta: 9 minutes
ดังที่คุณเห็นข้างต้น โดยจะบันทึก ชื่อโฮสต์, ที่อยู่ IP, ที่อยู่ MAC, ชื่อผู้ขาย และ การประทับเวลา
สำหรับข้อมูลเพิ่มเติม โปรดดูที่หน้า man arpwatch โดยกด 'man arpwatch' บนเทอร์มินัล
man arpwatch