Arpwatch

Aus Arktur
Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

arpwatch

Download

"arpwatch" kann (als direkt installierbarer Tarball) bei http://linuxpackages.net oder beim Arktur-Portal (Unterverzeichnis "n1") bezogen werden.

Installation

  • als root:
mkdir -p /var/lib/arpwatch
mkdir -p /usr/var/lib
cd /usr/var/lib
ln -sf /var/lib/arpwatch
touch /var/lib/arpwatch/arp.dat
  • als "sysadm": wie ein Arktur-Update installieren

Wer auch die Herstellernamen der Karten sehen will, der sollte auch das Paket "http://arktur.shuttle.de/CD/5.0-slack/slack/n1/arpwatch-ethercodes-build-2.1a13-5.i586.tgz" (oder neuer) vom Arktur Portal holen und installieren; das Original stammt von SuSE 9.3.

  • als "sysadm": wie ein Arktur-Update installieren
  • als root:
cp -a /usr/share/oui.txt /usr/share/arpwatch 
cd /usr/share/arpwatch
./massagevendor < oui.txt > ethercodes.dat

Betrieb

arpwatch -n 192.168.0.0/16

überwacht als "Dämon" alle Clients im lokalen Netz und meldet als User "arpwatch" alle Änderungen per E-Mail an "root". Durch die Angabe hinter dem Parameter -n wird verhindert, dass bei Nutzung eines Switches für mehrere lokale Subnetze häufige "bogon"-Meldungen für verdächtige Aktivitäten gesendet werden. Neu angemeldete Stationen (z.B. auch Schüler-/Lehrer-Laptops) bewirken so regulär eine Meldung über das Anmelden der Station.

Sollte von einem Rechner ein Angriff mittels Arp-Spoofing gestartet werden, wie er zum Sniffen im Netz häufig genutzt wird, so wird root per E-Mail darüber informiert.

Beispiel für eine (reguläre) Meldung einer neuen Station:

            hostname: Think22.wm8.hullen.de
          ip address: 192.168.0.42
    ethernet address: 0:3:47:8a:21:e8
     ethernet vendor: Intel Corporation
old ethernet address: 0:10:a4:9f:5:79
 old ethernet vendor: XIRCOM
           timestamp: Friday, February 15, 2008 15:43:27 +0100
  previous timestamp: Friday, February 15, 2008 15:42:44 +0100
               delta: 43 seconds