man:arpwatch

Материал из Xgu.ru

Перейти к: навигация, поиск

Перевод: Игорь Чубин
Оригинал: arpwatch(8)

Эта страница является переводом официальной man-страницы программы arpwatch, программы для обнаружения аномалий в работе протокола ARP и, в частности, ARP-spoofing'а.


Содержание

[править] Имя

arpwatch — отслеживает соответствие между MAC и IP-адресами

[править] Синтаксис

arpwatch [ -dN ] [ -f datafile ] [ -i interface ] [ -n net[/width ]] [ -r file ] [ -u username ] [ -e username ] [ -s username ]

[править] Описание

Программа arpwatch отслеживает соответствие Ethernet-адресов и IP-адресов. Активность регистрируется в syslog и с помощью почтовых оповещений. Для прослушивания ARP-трафика на локальном ethernet-интерфейсе используется библиотека pcap.

  • -d — работать в отладочном режиме. Отключаются почтовые сообщения. Программа не уходит в фон, а остаётся на консоли. Сообщения выдаются на стандартный поток вывода.
  • -f — установить имя файла базы данных пар соответствия адресов ethernet/ip. По умолчанию arp.dat.
  • -i — перекрыть сетевой интерфейс, используемый по умолчанию.
  • -n — указывает дополнительные сети. Это нужно, при возникновении ложных срабатываний "bogon", если больше одной сети присутствует в одной сети. Если маска не указана, используется маска класса адреса.
  • -N — отключить сообщения о подменах.
  • -r — читать и анализировать данные не с интерфейса, а из файла, записанного с помощью tcpdump. В этом случае arpwatch не уходит в фон.
  • -u — отбросить привилегии root'а и работать от имени указанного пользователя
  • -e — Отправлять сообщения по почте указанному пользователю, а не root'у (как происходит по умолчанию). Если в качестве адреса указан символ "-", отправка сообщений по почте не выполняется, но запись в syslog выполняется как и обычно. (Такой режим работы может быть полезен при первоначальных запусках arpwatch, когда происходит сбор данных и генерируется большое количество сообщений о новых станциях.)
  • -s — если указан этот ключ, arpwatch отправляет сообщения на заданный e-mail. По умолчанию сообщения отправляются root'у.

Перед первым запуском arpwatch необходимо создать пустой файл arp.dat. Если используется ключ -u, каталог в котором хранится arp.dat должен принадлежать пользователю, который указан вместе с ключом.

[править] Сообщения

Основные сообщения, которые генерирует arpwatch (и arpsnmp(1)):

new activity
Эта пара ethernet/ip-адресов впервые используется снова за последние шесть месяцев или больше.
new station
Этот ethernet-адрес раньше не замечали.
flip flop
Ethernet-адрес изменился с одного известного адреса на другой известный адрес. (Если старый или новый адрес относится это DECnet-адрес и прошло меньше 24х часов, почтовая версия сообщения не отправляется).
changed ethernet address
Хост перешёл на использование нового ethernet-адреса.

[править] Сообщения в syslog

Ниже перечислены основные сообщения отправляемые в syslog (указанные ранее сообщения отправляются в syslog в том числе).

ethernet broadcast
MAC-адрес хоста является широковещательным.
ip broadcast
IP-адрес хоста является широковещательным.
bogon
Адрес отправителя IP-пакета не входит в непосредственно подключённую сеть (directly connected network) для заданного интерфейса.
ethernet broadcast
MAC-адрес отправителя состоит из одних нулей или одних единиц.
ethernet mismatch
MAC-адрес отправителя пакета не соответствует MAC-адресу, указанному внутри ARP-запроса.
reused old ethernet address
Ethernet-адрес изменился с известного адреса на адрес, который был замечен ранее, но не только что. (Похоже на flip flop, но чуть-чуть другое.)
suppressed DECnet flip flop
Сообщение "flip flop" подавлено в связи с тем, что как минимум один из двух адресов является адресом DECnet.

[править] Файлы

  • /var/arpwatch — рабочий каталог по умолчанию
  • arp.dat — база данных соответствия адресов ethernet/ip
  • ethercodes.dat — список блоков Ethernet-адресов, выделенный различным производителям (vendor base)

[править] См. также

arpsnmp(8), arp(8), bpf(4), tcpdump(1), pcapture(1), pcap(3)

[править] Авторы

Craig Leres of the Lawrence Berkeley National Laboratory Network Research Group, University of California, Berkeley, CA.

Текущая версия arpwatch доступна на анонимном ftp:

   ftp://ftp.ee.lbl.gov/arpwatch.tar.gz

[править] Ошибки

Сообщения об ошибках присылайте, пожалуйста, на arpwatch@ee.lbl.gov.

  • Были попытки подавить сообщения flip flop в сетях DECnet, но они не всегда успешные.
  • Большинство сообщений об ошибках отправляется через syslog
Источник — «http://xgu.ru/wiki/man:arpwatch»