Arpwatch - Linux에서 이더넷 활동 모니터링
Arpwatch는 이더넷 트래픽 활동(예: IP 변경 및 MAC 주소 변경)을 모니터링하는 데 도움이 되는 오픈 소스 컴퓨터 소프트웨어 프로그램입니다. Strong>)을 네트워크에 연결하고 이더넷/IP 주소 쌍의 데이터베이스를 유지 관리합니다.
타임스탬프와 함께 IP 및 MAC 주소 정보의 발견된 페어링 로그를 생성하므로 페어링 활동이 네트워크에 나타나는 시기를 주의 깊게 관찰할 수 있습니다. 또한 페어링이 추가되거나 변경될 때 이메일을 통해 네트워크 관리자에게 보고서를 보낼 수 있는 옵션도 있습니다.
Arpwatch 도구는 네트워크 관리자가 ARP 활동을 감시하여 ARP 스푸핑 또는 예상치 못한 활동을 감지하는 데 특히 유용합니다. IP/MAC 주소 수정.
Linux에 Arpwatch 설치
Arpwatch 도구는 Linux 배포판에 설치되지 않습니다. 표시된 대로 시스템 저장소에서 설치하려면 기본 패키지 관리자를 사용해야 합니다.
sudo apt install arpwatch [On Debian, Ubuntu and Mint]
sudo yum install arpwatch [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch [On Gentoo Linux]
sudo apk add arpwatch [On Alpine Linux]
sudo pacman -S arpwatch [On Arch Linux]
sudo zypper install arpwatch [On OpenSUSE]
일단 설치되면 가장 중요한 arpwatch 파일을 볼 수 있으며 파일 위치는 운영 체제에 따라 약간 다릅니다.
- /usr/lib/systemd/system/arpwatch – 데몬을 시작하거나 중지하기 위한 arpwatch 서비스입니다.
- /etc/sysconfig/arpwatch – 이는 기본 arpwatch 구성 파일입니다.
- /usr/sbin/arpwatch – 터미널을 통해 도구를 시작 및 중지하는 바이너리 명령입니다.
- /var/lib/arpwatch/arp.dat – IP/MAC 주소가 기록되는 기본 데이터베이스 파일입니다.
- /var/log/messages – arpwatch가 IP/MAC에 변경 사항이나 비정상적인 활동을 기록하는 로그 파일입니다.
이제 다음 명령을 실행하여 arpwatch 서비스를 시작하세요.
systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch
Linux에서 Arpwatch 명령을 사용하는 방법
특정 인터페이스를 보려면 -i 및 장치 이름과 함께 다음 명령을 입력하세요.
arpwatch -i eth0따라서 새 MAC가 연결되거나 특정 IP가 네트워크에서 MAC 주소를 변경할 때마다 '/var/log/syslog' 또는 '/에 syslog 항목이 표시됩니다. tail 명령을 사용하여 var/log/message' 파일을 삭제합니다.
tail -f /var/log/messages샘플 출력
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45위 출력은 새 워크스테이션을 표시합니다. 변경사항이 있으면 다음과 같은 출력이 표시됩니다.
Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)다음 명령을 사용하여 현재 ARP 테이블을 확인할 수도 있습니다.
arp -a샘플 출력
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0사용자 정의 이메일 ID로 알림을 보내려면 기본 구성 파일 '/etc/sysconfig/arpwatch'를 열고 아래와 같이 이메일을 추가하세요.
-u <username> : defines with what user id arpwatch should run
-e <email> : the <email> where to send the reports
-s <from> : the <from>-address
OPTIONS="-u arpwatch -e [email -s 'root (Arpwatch)'"다음은 새 MAC가 연결된 경우 이메일 보고서의 예입니다.
hostname: centos
ip address: 172.16.16.25
interface: eth0
ethernet address: 00:24:1d:76:e4:1d
ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
timestamp: Monday, April 15, 2022 15:32:29다음은 IP가 MAC 주소를 변경하는 경우 이메일 보고서의 예입니다.
hostname: centos
ip address: 172.16.16.25
interface: eth0
ethernet address: 00:56:1d:36:e6:fd
ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
timestamp: Monday, April 15, 2022 15:43:45
previous timestamp: Monday, April 15, 2022 15:32:29
delta: 9 minutes위에서 볼 수 있듯이 호스트 이름, IP 주소, MAC 주소, 공급업체 이름 및 < Strong>타임스탬프.
자세한 내용은 터미널에서 'man arpwatch'를 눌러 arpwatch 매뉴얼 페이지를 참조하세요.
man arpwatch