arpwatch
Материал из Xgu.ru
arpwatch — демон, который отслеживает соответствие между IP и MAC-адресами, и при обнаружении аномалий, сообщающий об этом в Syslog. Используется как один из инструментов для борьбы с ARP-spoofing'ом.
Демон анализирует ARP-ответы на сетевом интерфейсе, к которому он привязан, и запоминает соответствие IP-адресов и MAC-адресов. Как только он видит, что соответствие нарушено, или обнаруживает появление новых адресов в сети, он сообщает об этом в системный журнал (syslog).
Имя интерфейса, на котором выполняется прослушивание, задаётся в качестве аргумента командной строки при запуске демона. Если он запускается стартовым скриптом, то интерфейс указывается там, где в операционной системе принято указывать ключи для запускаемых демонов. Например, в FreeBSD — в /etc/rc.conf, а в Debian GNU/Linux — в /etc/default/arpwatch.
Пример сообщения arpwatch в системном журнале:
Jan 23 16:23:54 cholpon arpwatch: new station 192.168.0.102 00:1a:4d:80:ce:78 eth0
Это сообщение говорит о появлении новой станции.
Таблица соответствия адресов находится в файле /var/lib/arpwatch/arp.dat и выглядит как обычный текстовый файл, с MAC-адресом, IP-адресом, временем попадения в таблицу, и именем интерфейса, через который пришёл исходный запрос:
00:1a:4d:80:ce:78 192.168.0.102 1264256634 cholpon eth0 00:00:21:20:fa:a5 192.168.0.5 1264257237 eth0
[править] Недостаток arpwatch
Основной недостаток arpwatch, как и всех программ такого типа, заключается в том, что он должен работать на хостах, которые он защищает или хотя бы на маршрутизаторе, ведущем в защищаемую сеть (в последнем случае машины, которые работают в той же сети, где и атакующий, не защищаются; защищаются только машины, находящиеся за маршрутизатором). Однако, не всегда маршрутизатор работает под управление UNIX/Linux-системы. Это может быть специализированный аппаратный маршрутизатор или коммутатор третьего уровня. Защиту такого маршрутизатора можно организовать, если получать от него ARP-таблицу по SNMP и анализировать её на другой машине. Таким образом действует программа remarp.
[править] Дополнительная информация
- LBNL's Network Research Group (англ.) — домашняя страница arpwatch
- arpwatch(8) — man-страница программы arpwatch
- ARP Monitor (рус.) — аналог программы arpwatch под Windows (исходного кода нет, лицензия не указана)
- ARPwatch helpers (рус.) — скрипты, позволяющие записывать данные об обнаруженных ARP-аномалиях в SQL-сервер, и представлять их потом через web-интерфейс