Recherche de site Web

Arpwatch - Surveiller l'activité Ethernet sous Linux

Arpwatch est un logiciel informatique open source qui vous aide à surveiller l'activité du trafic Ethernet (comme la Changement d'adresse IP et les Adresses MAC.) sur votre réseau et maintient une base de données des paires d'adresses Ethernet/IP.

Il produit un journal de l'appariement remarqué des informations d'adresse IP et MAC ainsi qu'un horodatage, afin que vous puissiez surveiller attentivement le moment où l'activité d'appariement est apparue sur le réseau. Il a également la possibilité d'envoyer des rapports par courrier électronique à un administrateur réseau lorsqu'un couplage est ajouté ou modifié.

L'outil Arpwatch est particulièrement utile aux administrateurs réseau pour surveiller l'activité ARP afin de détecter l'usurpation d'identité ARP ou inattendue. Modifications d'adresse IP/MAC.

Installer Arpwatch sous Linux

L'outil Arpwatch n'est pas installé sur les distributions Linux, vous devez utiliser votre gestionnaire de packages par défaut pour l'installer à partir des référentiels système comme indiqué.

sudo apt install arpwatch             [On Debian, Ubuntu and Mint]
sudo yum install arpwatch             [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch  [On Gentoo Linux]
sudo apk add arpwatch                 [On Alpine Linux]
sudo pacman -S arpwatch               [On Arch Linux]
sudo zypper install arpwatch          [On OpenSUSE]

Une fois installé, vous pouvez afficher les fichiers arpwatch les plus importants, les emplacements des fichiers sont légèrement différents en fonction de votre système d'exploitation.

  • /usr/lib/systemd/system/arpwatch – Le service arpwatch pour démarrer ou arrêter le démon.
  • /etc/sysconfig/arpwatch – Il s'agit du fichier de configuration principal d'arpwatch.
  • /usr/sbin/arpwatch – Commande binaire pour démarrer et arrêter l'outil via le terminal.
  • /var/lib/arpwatch/arp.dat – Il s'agit du fichier de base de données principal dans lequel les adresses IP/MAC sont enregistrées.
  • /var/log/messages – Le fichier journal, dans lequel arpwatch écrit toute modification ou activité inhabituelle sur IP/MAC.

Exécutez maintenant la commande suivante pour démarrer le service arpwatch.

systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch

Comment utiliser les commandes Arpwatch sous Linux

Pour regarder une interface spécifique, tapez la commande suivante avec -i et le nom de l'appareil.

arpwatch -i eth0

Ainsi, chaque fois qu'un nouveau MAC est branché ou qu'une IP particulière change son adresse MAC sur le réseau, vous remarquerez des entrées syslog dans le fichier '/var/log/syslog' ou '/ var/log/message' à l'aide de la commande tail.

tail -f /var/log/messages
Exemple de sortie
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

La sortie ci-dessus affiche un nouveau poste de travail. Si des modifications sont apportées, vous obtiendrez le résultat suivant.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Vous pouvez également vérifier la table ARP actuelle en utilisant la commande suivante.

arp -a
Exemple de sortie
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Si vous souhaitez envoyer des alertes à votre identifiant de messagerie personnalisé, ouvrez le fichier de configuration principal « /etc/sysconfig/arpwatch » et ajoutez l'e-mail comme indiqué ci-dessous.

-u <username> : defines with what user id arpwatch should run
-e <email>    : the <email> where to send the reports
-s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Voici un exemple de rapport par courrier électronique, lorsqu'un nouveau MAC est connecté.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2022 15:32:29

Voici un exemple de rapport par courrier électronique, lorsqu'un IP change son adresse MAC.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2022 15:43:45
  previous timestamp: Monday, April 15, 2022 15:32:29 
               delta: 9 minutes

Comme vous pouvez le voir ci-dessus, il enregistre le nom d'hôte, l'adresse IP, l'adresse MAC, le nom du fournisseur et horodatages.

Pour plus d'informations, consultez la page de manuel d'arpwatch en cliquant sur « man arpwatch » sur le terminal.

man arpwatch