Arpwatch — демон, отслеживающий соответствие между IP и MAC-адресами. Если обнаруживается какое-либо несоответствие, сообщения записываются в лог. Arpwatch - один из инструментов, используемый для борьбы с ARP-spoofing'ом.
Установка:
# make install clean
После установки обновляем файл ethercodes.dat:
# fetch http://standards.ieee.org/regauth/oui/oui.txt
# ./massagevendor oui.txt > ethercodes.dat
# rm oui.txt
Добавляем для запуска утилиты нужные строки в rc.conf :
arpwatch_flags="-m admin@domain.com" # почта для уведомлений
arpwatch_interfaces="rl0 em1" #интерфейсы, которые будет слушать arpwatch
Создаем файл лога:
# touch /var/log/arpwatch.log
Настраиваем ведение лога в файле /etc/syslog.conf :
*.notice /var/log/arpwatch.log
Перезапускаем syslogd:
В логе arpwatch смотрим сообщения. Могут быть такого вида:
new activity - связка ethernet/ip-адресов снова проявила активность спустя шесть месяцев или больше
new station - ethernet-адрес зафиксирован впервые
flip flop - ethernet-адрес изменился с одного известного адреса на другой известный адрес
changed ethernet address - хост перешёл на использование нового ethernet-адреса