ເຄື່ອງມື Arpwatch ເພື່ອຕິດຕາມກວດກາການເຄື່ອນໄຫວຂອງ Ethernet ໃນ Linux
Arpwatch ແມ່ນໂປແກຼມຊອບແວຄອມພິວເຕີ້ທີ່ເປີດໃຫ້ໃຊ້ງານເຊິ່ງຊ່ວຍໃຫ້ທ່ານຕິດຕາມກວດກາກິດຈະ ກຳ ການຈະລາຈອນຂອງ Ethernet (ເຊັ່ນການປ່ຽນ IP ແລະ MAC Addresses) ໃນເຄືອຂ່າຍຂອງທ່ານແລະຮັກສາຖານຂໍ້ມູນຂອງການຈັບຄູ່ ethernet/ip address. ມັນຜະລິດບັນທຶກຂໍ້ມູນການເຊື່ອມໂຍງ IP ແລະ MAC ທີ່ສັງເກດເຫັນພ້ອມກັບຕາຕະລາງເວລາ, ດັ່ງນັ້ນທ່ານສາມາດສັງເກດເບິ່ງຢ່າງລະມັດລະວັງໃນເວລາທີ່ກິດຈະ ກຳ ການຈັບຄູ່ໄດ້ປາກົດຢູ່ໃນເຄືອຂ່າຍ. ມັນຍັງມີທາງເລືອກທີ່ຈະສົ່ງລາຍງານຜ່ານອີເມວຫາຜູ້ເບິ່ງແຍງລະບົບເຄືອຂ່າຍໃນເວລາທີ່ຄູ່ເພີ່ມຫລືປ່ຽນແປງ.
ເຄື່ອງມືນີ້ແມ່ນມີປະໂຫຍດພິເສດ ສຳ ລັບຜູ້ບໍລິຫານເຄືອຂ່າຍໃນການເຝົ້າລະວັງກ່ຽວກັບກິດຈະ ກຳ ຂອງ ARP ເພື່ອກວດຫາການຫຼອກລວງຂອງ ARP ຫຼືການດັດແປງທີ່ຢູ່ IP/MAC ທີ່ບໍ່ຄາດຄິດ.
ການຕິດຕັ້ງ Arpwatch ໃນ Linux
ໂດຍຄ່າເລີ່ມຕົ້ນ, ເຄື່ອງມື Arpwatch ບໍ່ໄດ້ຖືກຕິດຕັ້ງໃສ່ການແຈກຈ່າຍ Linux ໃດໆ. ພວກເຮົາຕ້ອງຕິດຕັ້ງມັນດ້ວຍຕົນເອງໂດຍໃຊ້ ຄຳ ສັ່ງ ‘yum’ ໃສ່ RHEL, CentOS, Fedora ແລະ ‘apt-get‘ ໃນ Ubuntu, Linux Mint ແລະ Debian.
# yum install arpwatch
$ sudo apt-get install arpwatch
ໃຫ້ສຸມໃສ່ໄຟລ໌ arpwatch ທີ່ ສຳ ຄັນທີ່ສຸດ, ທີ່ຕັ້ງຂອງແຟ້ມມີຄວາມແຕກຕ່າງກັນເລັກນ້ອຍໂດຍອີງໃສ່ລະບົບປະຕິບັດການຂອງທ່ານ.
<
ພິມ ຄຳ ສັ່ງຕໍ່ໄປນີ້ເພື່ອເລີ່ມການບໍລິການ arpwatch.
# chkconfig --level 35 arpwatch on # /etc/init.d/arpwatch start
$ sudo chkconfig --level 35 arpwatch on $ sudo /etc/init.d/arpwatch start
ເພື່ອເບິ່ງການໂຕ້ຕອບສະເພາະ, ພິມ ຄຳ ສັ່ງຕໍ່ໄປນີ້ດ້ວຍ '-i' ແລະຊື່ອຸປະກອນ.
# arpwatch -i eth0
ດັ່ງນັ້ນ, ທຸກຄັ້ງທີ່ MAC ໃໝ່ ສຽບຫລື IP ໂດຍສະເພາະ ກຳ ລັງປ່ຽນທີ່ຢູ່ MAC ຂອງລາວຢູ່ໃນເຄືອຂ່າຍ, ທ່ານຈະສັງເກດເຫັນລາຍການ syslog ທີ່ເອກະສານ '/ var/log/syslog' ຫຼື '/ var/log/message'.
# tail -f /var/log/messages
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
ຜົນໄດ້ຮັບຂ້າງເທິງສະແດງສະຖານທີ່ເຮັດວຽກໃຫມ່. ຖ້າມີການປ່ຽນແປງໃດໆ, ທ່ານຈະໄດ້ຮັບຜົນຕາມມາ.
Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
ທ່ານຍັງສາມາດກວດເບິ່ງຕາຕະລາງ ARP ໃນປະຈຸບັນ, ໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.
# arp -a
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0 ? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0
ຖ້າທ່ານຕ້ອງການສົ່ງການແຈ້ງເຕືອນເຖິງ id ອີເມວທີ່ທ່ານຕ້ອງການ, ຫຼັງຈາກນັ້ນເປີດເອກະສານການຕັ້ງຄ່າຕົ້ນຕໍ ‘/ etc/sysconfig/arpwatch’ ແລະເພີ່ມອີເມວດັ່ງທີ່ສະແດງຢູ່ທາງລຸ່ມ.
# -u <username> : defines with what user id arpwatch should run # -e <email> : the <email> where to send the reports # -s <from> : the <from>-address OPTIONS="-u arpwatch -e [email -s 'root (Arpwatch)'"
ນີ້ແມ່ນຕົວຢ່າງຂອງບົດລາຍງານອີເມວ, ເມື່ອ MAC ໃໝ່ ເຊື່ອມຕໍ່.
hostname: centos ip address: 172.16.16.25 interface: eth0 ethernet address: 00:24:1d:76:e4:1d ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD. timestamp: Monday, April 15, 2012 15:32:29
ນີ້ແມ່ນຕົວຢ່າງຂອງບົດລາຍງານອີເມວ, ເມື່ອ IP ປ່ຽນທີ່ຢູ່ MAC ຂອງລາວ.
hostname: centos ip address: 172.16.16.25 interface: eth0 ethernet address: 00:56:1d:36:e6:fd ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD. old ethernet address: 00:24:1d:76:e4:1d timestamp: Monday, April 15, 2012 15:43:45 previous timestamp: Monday, April 15, 2012 15:32:29 delta: 9 minutes
ດັ່ງທີ່ທ່ານສາມາດເຫັນຂ້າງເທິງ, ມັນບັນທຶກ, ຊື່ໂຮດ, ທີ່ຢູ່ IP, ທີ່ຢູ່ MAC, ຊື່ຜູ້ຂາຍແລະເວລາປະ ຈຳ ຕົວ. ສຳ ລັບຂໍ້ມູນເພີ່ມເຕີມ, ເບິ່ງ ໜ້າ ຜູ້ຊາຍ arpwatch ໂດຍການກົດປຸ່ມ 'man arpwatch' ຢູ່ປາຍທາງ.