arpwatch

Материал из Xgu.ru

Перейти к: навигация, поиск


arpwatch — демон, который отслеживает соответствие между IP и MAC-адресами, и при обнаружении аномалий, сообщающий об этом в Syslog. Используется как один из инструментов для борьбы с ARP-spoofing'ом.

Демон анализирует ARP-ответы на сетевом интерфейсе, к которому он привязан, и запоминает соответствие IP-адресов и MAC-адресов. Как только он видит, что соответствие нарушено, или обнаруживает появление новых адресов в сети, он сообщает об этом в системный журнал (syslog).

Имя интерфейса, на котором выполняется прослушивание, задаётся в качестве аргумента командной строки при запуске демона. Если он запускается стартовым скриптом, то интерфейс указывается там, где в операционной системе принято указывать ключи для запускаемых демонов. Например, в FreeBSD — в /etc/rc.conf, а в Debian GNU/Linux — в /etc/default/arpwatch.

Пример сообщения arpwatch в системном журнале:

Jan 23 16:23:54 cholpon arpwatch: new station 192.168.0.102 00:1a:4d:80:ce:78 eth0

Это сообщение говорит о появлении новой станции.

Таблица соответствия адресов находится в файле /var/lib/arpwatch/arp.dat и выглядит как обычный текстовый файл, с MAC-адресом, IP-адресом, временем попадения в таблицу, и именем интерфейса, через который пришёл исходный запрос:

00:1a:4d:80:ce:78       192.168.0.102   1264256634      cholpon eth0
00:00:21:20:fa:a5       192.168.0.5     1264257237              eth0

[править] Недостаток arpwatch

Основной недостаток arpwatch, как и всех программ такого типа, заключается в том, что он должен работать на хостах, которые он защищает или хотя бы на маршрутизаторе, ведущем в защищаемую сеть (в последнем случае машины, которые работают в той же сети, где и атакующий, не защищаются; защищаются только машины, находящиеся за маршрутизатором). Однако, не всегда маршрутизатор работает под управление UNIX/Linux-системы. Это может быть специализированный аппаратный маршрутизатор или коммутатор третьего уровня. Защиту такого маршрутизатора можно организовать, если получать от него ARP-таблицу по SNMP и анализировать её на другой машине. Таким образом действует программа remarp.

[править] Дополнительная информация

  • LBNL's Network Research Group (англ.) — домашняя страница arpwatch
  • arpwatch(8) — man-страница программы arpwatch
  • ARP Monitor (рус.) — аналог программы arpwatch под Windows (исходного кода нет, лицензия не указана)
  • ARPwatch helpers (рус.) — скрипты, позволяющие записывать данные об обнаруженных ARP-аномалиях в SQL-сервер, и представлять их потом через web-интерфейс


Источник — «http://xgu.ru/wiki/arpwatch»