Настройка Arpwatch в FreeBSD. Мониторинг ip и mac-адресов в сети.
Arpwatch — демон, отслеживающий соответствие между IP и MAC-адресами. Если обнаруживается какое-либо несоответствие, сообщения записываются в лог. Arpwatch — один из инструментов, используемый для борьбы с ARP-spoofing’ом.
Установка:
# make install clean
После установки обновляем файл ethercodes.dat:
# fetch http://standards.ieee.org/regauth/oui/oui.txt
# ./massagevendor oui.txt > ethercodes.dat
# rm oui.txt
Добавляем для запуска утилиты нужные строки в rc.conf :
arpwatch_flags=»-m admin@domain.com» # почта для уведомлений
arpwatch_interfaces=»rl0 em1″ #интерфейсы, которые будет слушать arpwatch
Создаем файл лога:
# touch /var/log/arpwatch.log
Настраиваем ведение лога в файле /etc/syslog.conf :
*.notice /var/log/arpwatch.log
Перезапускаем syslogd:
В логе arpwatch смотрим сообщения. Могут быть такого вида:
new activity — связка ethernet/ip-адресов снова проявила активность спустя шесть месяцев или больше
new station — ethernet-адрес зафиксирован впервые
flip flop — ethernet-адрес изменился с одного известного адреса на другой известный адрес
changed ethernet address — хост перешёл на использование нового ethernet-адреса