Linux安全网 - Linux操作系统_Linux 命令_Linux教程_Linux黑客

会员投稿 投稿指南 本期推荐:
搜索:
您的位置: Linux安全网 > Linux命令 > 网络通讯 > » 正文

linux arpwatch命令参数及用法详解--监听网络上ARP的记录

来源: 未知 分享至:

arpwatch(ARP watcher)

功能说明:监听网络上ARP的记录。

语  法:arpwatch [-d][-f<记录文件>][-i<接口>][-r<记录文件>]

补充说明:ARP(Address Resolution Protocol)是用来解析IP与网络装置硬件地址的协议。arpwatch可监听区域网络中的ARP数据包并记录,同时将监听到的变化通过E-mail来报告。

参  数:
  -d   启动排错模式。
  -f<记录文件>   设置存储ARP记录的文件,预设为/var/arpwatch/arp.dat。
  -i<接口>   指定监听ARP的接口,预设的接口为eth0。
  -r<记录文件>   从指定的文件中读取ARP记录,而不是从网络上监听。

扩展资料一:使用ARPWatch进行监视

 ARPWatch是一个守护进程,其用来监视网络中出现的新的以太网接口。如果发现了一个新的ARP数据包,就表示发现了一个新的计算机接入网络。
 
ARPWatch需要PCap函数库(libpcap),可以在http://www.tcpdump.org下载。
 
ARPWatch相关网页:http://sparemint.atariforge.net/sparemint/html/packages/arpwatch.html
 
安装:
 #wget http://www.linuxso.com/uploads/softs/arpwatch.tar.gz
#tar -zxvf arpwatch.tar.gz
#cd arpwatch
#./configure
#make
#make install
 
ARPWatch将默认安装到/usr/local/sbin下。
 
运行ARPWatch时,当其在网络中发现一个新的MAC地址时,将向SYSLOG守护进程报告。其会频繁地向/var/log.messages文件输出。
 
可以通过 grep arpwatch /var/log/messages 命令查看ARPWatch找到的新主机。
 
ARPWatch还会向系统中的root帐号发送邮件报告新发现主机的细节信息。
 
ARPWatch有一个监控数据库,名为arp.dat。在不同的系统中,其位置可能会有变化。可以通过find / -name "arp.dat"来查找它的位置。
 
如果要重新设置arp.dat数据库,可以删除它,再建立之。
 
*注意:如果攻击者修改了该文件并且手动添加了自己的条目,那么当ARPWatch发现一个新的主机后将不会通知你。所以,需要确保arp.dat文件被AIDE等HIDS所监控。

扩展资料二:使用arpwatch和arping来排查ARP攻击

 ARPWATCH监听广播域内的ARP通信,记录每台设备的IP与MAC的对应关系,当发生变化时,发邮件通知。
ARP攻击的常见迹象就是发现网关的MAC地址变生变化。
当然,ARPWATCH不是万能的。因为一般情况下,你的安装arpwatch的服务器不可能总是能接收到整个网络的arp事件。想要完全监听,不得不在交换上做端口镜象。
另外,对路由器的攻击,因为攻击包是发给路由器的,假如在适当的位置没有端口镜象的支持,也是收不到任何信息的,所以也发现不了攻击。
####################
# ARP攻击监控、处理
####################
#系统环境:CentOS 5.2
#
# 安装 ARPWACTH
yum -y install arpwatch
# 设备成自动启动
chkconfig arpwatch on
# 启动arpwatch服务
serivce arpwatch start 、/etc/init.d/arpwatch start
# 设置arpwatch
vi /etc/sysconfig/arpwatch
# -u : defines with what user id arpwatch should run
# -e : the where to send the reports
# -s : the -address
OPTIONS=”-u pcap -e  -s &lsquo;root (Arpwatch)’”
使用arping查询得到mac地址
# 遍历VLAN内的MAC地址
#!/bin/bash
for i in `seq 254` ; do
arping -c2 210.51.44.$i | awk ‘/Unicast reply from/{print $4,$5}’ | sed ’s/\[//' | sed 's/\]//’
done
报警样例:
hostname: <unknown>
ip address: 210.51.44.1
ethernet address: 0:0:24:5b:bb:ac
ethernet vendor: CONNECT AS
old ethernet address: 0:b:bf:29:d0:56
old ethernet vendor: Cisco Systems
timestamp: Sunday, December 7, 2008 14:46:34 +0800
previous timestamp: Sunday, December 7, 2008 14:46:34 +0800
delta: 0 seconds
其中,知道网关正确的MAC是0:b:bf:29:d0:56,所以0:0:24:5b:bb:ac就是攻击者的MAC地址(有一点需要注意,MAC地址也是可以改变的)。使用arping遍历同网段的IP,得到MAC列表,再grep出这个MAC的IP地址即可。可以把这个MAC地址表保存起来,下次使用。当然,要保证这个文件是正确的,所以还是需要保持更新。


最新图文资讯
1 2 3 4 5 6
相关文章列表:
验证码:点击我更换图片 理智评论文明上网,拒绝恶意谩骂 用户名:
关于我们 - 联系我们 - 广告服务 - 友情链接 - 网站地图 - 版权声明 - 发展历史