arpwatch

Материал из Xgu.ru

arpwatch — демон, который отслеживает соответствие между IP и MAC-адресами, и при обнаружении аномалий, сообщающий об этом в Syslog. Используется как один из инструментов для борьбы с ARP-spoofing'ом.

Демон анализирует ARP-ответы на сетевом интерфейсе, к которому он привязан, и запоминает соответствие IP-адресов и MAC-адресов. Как только он видит, что соответствие нарушено, или обнаруживает появление новых адресов в сети, он сообщает об этом в системный журнал (syslog).

Имя интерфейса, на котором выполняется прослушивание, задаётся в качестве аргумента командной строки при запуске демона. Если он запускается стартовым скриптом, то интерфейс указывается там, где в операционной системе принято указывать ключи для запускаемых демонов. Например, в FreeBSD — в /etc/rc.conf, а в Debian GNU/Linux — в /etc/default/arpwatch.

Пример сообщения arpwatch в системном журнале:

Jan 23 16:23:54 cholpon arpwatch: new station 192.168.0.102 00:1a:4d:80:ce:78 eth0

Это сообщение говорит о появлении новой станции.

Таблица соответствия адресов находится в файле /var/lib/arpwatch/arp.dat и выглядит как обычный текстовый файл, с MAC-адресом, IP-адресом, временем попадения в таблицу, и именем интерфейса, через который пришёл исходный запрос:

00:1a:4d:80:ce:78       192.168.0.102   1264256634      cholpon eth0
00:00:21:20:fa:a5       192.168.0.5     1264257237              eth0

[править] Недостаток arpwatch

Основной недостаток arpwatch, как и всех программ такого типа, заключается в том, что он должен работать на хостах, которые он защищает или хотя бы на маршрутизаторе, ведущем в защищаемую сеть (в последнем случае машины, которые работают в той же сети, где и атакующий, не защищаются; защищаются только машины, находящиеся за маршрутизатором). Однако, не всегда маршрутизатор работает под управление UNIX/Linux-системы. Это может быть специализированный аппаратный маршрутизатор или коммутатор третьего уровня. Защиту такого маршрутизатора можно организовать, если получать от него ARP-таблицу по SNMP и анализировать её на другой машине. Таким образом действует программа remarp.

[править] Дополнительная информация

• LBNL's Network Research Group (англ.) — домашняя страница arpwatch
• arpwatch(8) — man-страница программы arpwatch
• ARP Monitor (рус.) — аналог программы arpwatch под Windows (исходного кода нет, лицензия не указана)
• ARPwatch helpers (рус.) — скрипты, позволяющие записывать данные об обнаруженных ARP-аномалиях в SQL-сервер, и представлять их потом через web-интерфейс

Канальный уровень
Основные понятия	Коммутация • MAC-адрес • Сетевой интерфейс • CAM-таблица • VLAN • Broadcast • Multicast • Unicast  • ifconfig  • QinQ
Петли коммутации и борьба с ними
Ключевые понятия	Широковещательный шторм  • Петля коммутации • Остовное дерево
Протоколы	STP  • RSTP • MSTP • PVST • PVST+
Настройка STP на	коммутаторах Cisco • коммутаторах ProCurve
Агрегирование каналов
Ключевые понятия	Агрегирование каналов  • EtherChannel
Протоколы	LACP • PAgP
Настройка в	Linux • FreeBSD • NetBSD • OpenBSD • Mac OS X • Solaris • Windows • маршрутизаторах Cisco • коммутаторах Cisco • коммутаторах ProCurve
Протокол ARP
Ключевые понятия	Протокол ARP • ARP-таблица • Статический ARP • Proxy ARP
Программы	arp • arping • arp-sk • arpmap
Виртуальные и программные коммутаторы, мосты и сетевые интерфейсы
Компоненты	tap-интерфейс • dummy-интерфейс • Мост в Linux • Мост в FreeBSD • vde • OpenVPN Bridge
Программы	brctl (man) • ebtables
Безопасность
Программы и библиотеки	Wireshark  • Scapy
MAC	MAC-spoofing • Port security • Поиск по MACу • MAC-spoofing в виртуальной машине
ARP	ARP-spoofing • ettercap • arpwatch (man) • remarp • Dynamic ARP Protection