Arpwatch es un software de computadora de código abierto que se utiliza para monitorear el tráfico del Protocolo de resolución de direcciones en una red de computadoras. Con Arpwatch , puede mantener fácilmente un registro o una base de datos de todos los emparejamientos de direcciones IP y Ethernet. Es decir, una lista de todos los pares de direcciones IP y MAC identificados y sus marcas de tiempo correspondientes.
Arpwatch usa pcap para escuchar paquetes arp en una red local para monitorear la actividad ARP para detectar suplantación de ARP, cambios de red, estaciones nuevas y cambiadas y reutilización de direcciones. También tiene la opción de informar estos cambios vía correo electrónico.
¿Cómo monitorear la actividad de Ethernet en Linux?
Echemos un vistazo a cómo monitorear la actividad de Ethernet usando arpwatch en Linux.
Antes de que pueda usar la herramienta arpwatch, primero deberá instalarla, ya que normalmente no viene con su distribución de Linux.
En Debian, Ubuntu y otras distribuciones basadas en ellas, como Linux Mint, la herramienta arpwatch se puede instalar usando el comando apt-get.
Instalar arpwatch en distribuciones basadas en Debian/Ubuntu
$ sudo apt-get install arpwatch
En RHEL y distribuciones relacionadas como CentOS, arpwatch se puede instalar usando el comando yum.
$ yum install arpwatch
En los últimos sistemas Fedora, Arpwatch se instala usando dnf.
$ sudo dnf install arpwatch
Arpwatch usa algunos archivos importantes y es esencial tener en cuenta las ubicaciones de estos archivos. Las ubicaciones pueden variar un poco según la distribución que esté utilizando.
/var/arpwatch – directorio predeterminado
/var/arpwatch/arp.dat – Base de datos principal de registros de direcciones IP/Ethernet
/var/arpwatch/ethercodes.dat – lista de bloqueo de ethernet de proveedores
/etc/rc.d/init.d/arpwatch – Servicio Arpwatch para iniciar o detener daemon
/etc/sysconfig/arpwatch – Este es el archivo de configuración principal
/usr/sbin/arpwatch – Comando binario para iniciar y detener la herramienta usando la terminal
/var/log/messages – Es el archivo de registro del sistema donde arpwatch escribe cualquier cambio o actividad inusual en IP/MAC. Si desea que los registros se envíen a una dirección de correo electrónico específica, edite el archivo de configuración principal para agregar su dirección de correo electrónico. Abra /etc/sysconfig/ arpwatch y edite el archivo con este eth0 -a -n 192.168.1.0/24 -m [email protected] a través de la terminal con
OPCIONES=” -u arpwatch -e [email protected] -s ‘root (Arpwatch)’”
La notificación por correo electrónico se enviará a la identificación de correo electrónico especificada con detalles de registro.
Escriba el siguiente comando para iniciar el servicio arpwatch –
$ sudo chkconfig --level 35 arpwatch on $ sudo /etc/init.d/arpwatch start
Verifique que el proceso se esté ejecutando con ps -ef|grep arpwatch
Ejecute el comando Arpwatch con la opción -i y el nombre del dispositivo para ver una interfaz específica.
$ arpwatch -i eth0
Cada vez que se conecta una nueva MAC o una IP en particular cambia su dirección MAC en la red ethernet, notará las entradas de syslog en el archivo '/var/log/syslog' o '/var/log/message'.
Aquí hay una lista rápida de los mensajes de informe generados por arpwatch.
nueva actividad – Este par de direcciones ethernet/ip se ha utilizado por primera vez durante seis meses o más.
nueva estación – La dirección de ethernet no se ha visto antes.
flip flop – La dirección de Ethernet ha cambiado de la dirección vista más recientemente a la segunda dirección vista más recientemente. Si la dirección de ethernet antigua o nueva es una dirección de DECnet y son menos de 24 horas, se suprime la versión de correo electrónico del informe.
dirección de ethernet modificada – El host cambió a una nueva dirección de ethernet.
Para obtener más información, ingrese 'man arpwatch' a través de la terminal.
Espero que encuentres útil este tutorial. Comparta sus pensamientos con nosotros en los comentarios a continuación.