GNU/Linux >> Linux の 問題 >  >> Linux

Arpwatchを使用してLinuxでイーサネットアクティビティを監視する方法

Arpwatch は、コンピュータネットワーク上のアドレス解決プロトコルトラフィックを監視するために使用されるオープンソースのコンピュータソフトウェアです。 Arpwatchを使用 、すべてのイーサネットとIPアドレスのペアのログまたはデータベースを簡単に保持できます。つまり、識別されたすべてのIPアドレスとMACアドレスのペアとそれに対応するタイムスタンプのリストです。

Arpwatch pcapを使用してローカルネットワーク上のarpパケットをリッスンし、ARPアクティビティを監視して、ARPスプーフィング、ネットワークフリップフロップ、変更されたステーションと新しいステーション、およびアドレスの再利用を検出します。また、これらの変更を電子メールで報告するオプションもあります。

Linuxでイーサネットアクティビティを監視する方法

Linuxでarpwatchを使用してイーサネットアクティビティを監視する方法を見てみましょう。

通常、Linuxディストリビューションには付属していないため、arpwatchツールを使用する前に、まずそれをインストールする必要があります。

Debian、Ubuntu、およびLinux Mintなどのそれらに基づく他のディストリビューションでは、apt-getコマンドを使用してarpwatchツールをインストールできます。

Debian/Ubuntuベースのディストリビューションにarpwatchをインストールする

$ sudo apt-get install arpwatch  

RHELおよびCentOSなどの関連ディストリビューションでは、yumコマンドを使用してarpwatchをインストールできます。

$ yum install arpwatch  

最新のFedoraシステムでは、Arpwatchはdnfを使用してインストールされます。 

$ sudo dnf install arpwatch   ​

Arpwatchはいくつかの重要なファイルを使用するため、これらのファイルの場所に注意することが不可欠です。場所は、使用しているディストリビューションによって少し異なる場合があります。

/ var / arpwatch –デフォルトディレクトリ
/var/arpwatch/arp.dat –メインのイーサネット/IPアドレスレコードデータベース
/var/arpwatch/ethercodes.dat –ベンダーイーサネットブロックリスト
/etc/rc.d/init.d/arpwatch –デーモンを開始または停止するarpwatchサービス
/ etc / sysconfig / arpwatch –これはメインの構成ファイルです
/ usr / sbin / arpwatch –ターミナルを使用してツールを起動および停止するバイナリコマンド
/ var / log / messages –これは、arpwatchが変更または異常なアクティビティをIP / MACに書き込むシステムログファイルです。ログを特定の電子メールアドレスに送信する場合は、メイン構成ファイルを編集して電子メールアドレスを追加します。Open / etc / sysconfig / arpwatch

を使用してターミナル経由でこのeth0-a-n 192.168.1.0/24-m[メール保護]を使用してファイルを編集します

OPTIONS =” -u arpwatch -e [email protected] -s‘root(Arpwatch)’”

電子メール通知は、ログの詳細とともに指定された電子メールIDに送信されます。

次のコマンドを入力して、arpwatchサービスを開始します– 

$ sudo chkconfig --level 35 arpwatch on
$ sudo /etc/init.d/arpwatch start

プロセスがps-ef| grep arpwatch

を使用して実行されていることを確認します

-iオプションとデバイス名を指定してArpwatchコマンドを実行し、特定のインターフェイスを監視します。 

$ arpwatch -i eth0

新しいMACが接続されているか、特定のIPがイーサネットネットワーク上のMACアドレスを変更しているときはいつでも、「/ var / log/syslog」または「/var/ log/message」ファイルのいずれかにsyslogエントリがあります。

これは、arpwatchによって生成されたレポートメッセージのクイックリストです。

新しいアクティビティ –このイーサネット/IPアドレスのペアは6か月以上初めて使用されました。
新しいステーション –イーサネットアドレスはこれまでに見られませんでした。
フリップフロップ –イーサネットアドレスが、最後に表示されたアドレスから2番目に最近表示されたアドレスに変更されました。古いまたは新しいイーサネットアドレスのいずれかがDECnetアドレスであり、24時間未満の場合、レポートの電子メールバージョンは抑制されます。
変更されたイーサネットアドレス –ホストが新しいイーサネットアドレスに切り替えました。

詳細については、ターミナルから「manarpwatch」と入力してください。

このチュートリアルがお役に立てば幸いです。以下のコメントで私たちとあなたの考えを共有してください。


Linux

  1. KaliLinuxでmacchangerを使用してMACアドレスを変更する方法

  2. Linuxでユーザーアクティビティを監視する方法

  3. vnStat を使用して Linux でネットワーク トラフィックを監視およびログに記録する方法

  1. Linux で Nagios を使用してリモート Windows マシンを監視する方法

  2. vnStat を使用して Linux でネットワーク トラフィックを監視する方法

  3. Linux コンソール (X なし) で、モニターに合わせてコンソール画面を拡大する方法

  1. KaliLinuxでIPアドレスを見つける方法

  2. osqueryを使用してLinuxサーバーを監視する方法

  3. CloudStatsを使用してLinuxサーバーを監視する方法