Búsqueda de sitios web

Arpwatch - Monitorear la actividad de Ethernet en Linux

Arpwatch es un programa de software de código abierto que le ayuda a monitorear la actividad del tráfico Ethernet (como cambio de direcciones IP y MAC).) en su red y mantiene una base de datos de pares de direcciones ethernet/ip.

Produce un registro del emparejamiento detectado de información de direcciones IP y MAC junto con una marca de tiempo, para que pueda observar cuidadosamente cuándo apareció la actividad de emparejamiento en la red. También tiene la opción de enviar informes por correo electrónico a un administrador de red cuando se agrega o cambia un emparejamiento.

La herramienta Arpwatch es especialmente útil para que los administradores de red vigilen la actividad de ARP para detectar suplantación de identidad de ARP o cambios inesperados. Modificaciones de dirección IP/MAC.

Instalación de Arpwatch en Linux

La herramienta Arpwatch no está instalada en distribuciones de Linux; debe usar su administrador de paquetes predeterminado para instalarla desde los repositorios del sistema como se muestra.

sudo apt install arpwatch             [On Debian, Ubuntu and Mint]
sudo yum install arpwatch             [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch  [On Gentoo Linux]
sudo apk add arpwatch                 [On Alpine Linux]
sudo pacman -S arpwatch               [On Arch Linux]
sudo zypper install arpwatch          [On OpenSUSE]

Una vez instalado, puede ver los archivos arpwatch más importantes; las ubicaciones de los archivos son ligeramente diferentes según su sistema operativo.

  • /usr/lib/systemd/system/arpwatch: el servicio arpwatch para iniciar o detener el demonio.
  • /etc/sysconfig/arpwatch: este es el archivo de configuración principal de arpwatch.
  • /usr/sbin/arpwatch: comando binario para iniciar y detener la herramienta a través del terminal.
  • /var/lib/arpwatch/arp.dat: este es el archivo de base de datos principal donde se registran las direcciones IP/MAC.
  • /var/log/messages: el archivo de registro, donde arpwatch escribe cualquier cambio o actividad inusual en IP/MAC.

Ahora ejecute el siguiente comando para iniciar el servicio arpwatch.

systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch

Cómo utilizar los comandos de Arpwatch en Linux

Para ver una interfaz específica, escriba el siguiente comando con -i y el nombre del dispositivo.

arpwatch -i eth0

Por lo tanto, cada vez que se conecta una nueva MAC o una IP en particular cambia su dirección MAC en la red, notará entradas de syslog en '/var/log/syslog' o '/ var/log/message' usando el comando tail.

tail -f /var/log/messages
Salida de muestra
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

El resultado anterior muestra una nueva estación de trabajo. Si se realiza algún cambio, obtendrá el siguiente resultado.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

También puede verificar la tabla ARP actual utilizando el siguiente comando.

arp -a
Salida de muestra
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Si desea enviar alertas a su ID de correo electrónico personalizado, abra el archivo de configuración principal '/etc/sysconfig/arpwatch' y agregue el correo electrónico como se muestra a continuación.

-u <username> : defines with what user id arpwatch should run
-e <email>    : the <email> where to send the reports
-s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

A continuación se muestra un ejemplo de un informe por correo electrónico cuando se conecta un nuevo MAC.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2022 15:32:29

A continuación se muestra un ejemplo de un informe por correo electrónico, cuando una IP cambia su dirección MAC.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2022 15:43:45
  previous timestamp: Monday, April 15, 2022 15:32:29 
               delta: 9 minutes

Como puede ver arriba, registra nombre de host, dirección IP, dirección MAC, nombre del proveedor y < fuerte>marcas de tiempo.

Para obtener más información, consulte la página de manual de arpwatch presionando 'man arpwatch' en la terminal.

man arpwatch