Você está aqui
Home > Sistemas Operacionais > Linux > Ferramenta Arpwatch para monitorar atividade de rede no Linux

Ferramenta Arpwatch para monitorar atividade de rede no Linux

O Arpwatch é um software open source, que lhe ajuda a monitorar a atividade de tráfego Ethernet (como Alterações de IP e Endereços MAC) em sua rede e mantém uma base de dados com os pares ethernet/ip. Ela escreve no log informações dos pareamentos entre os IP e endereços MAC, junto com suas timestamps, então você pode analisar com cuidado até encontrar quando uma atividade como esta for detectada em sua rede. Ela também possui a opção de enviar relatórios por email para um administrador da rede quando um pareamento for adicionado ou alterado.

Essa ferramenta é especialmente útil para Administradores de Rede manterem o controle sob a Atividade ARP, para detectar ARP spoofing ou modificações inesperadas de IP/MAC.

Instalando a Ferramenta Arpwatch no Linux

Por padrão, a ferramenta Arpwatch não é pré-instalada em nenhuma distribuição Linux. Nós devemos instalar manualmente usando o comando ‘yum‘ no RHEL, CentOS, Fedora ou usar o ‘apt-get‘ no Ubuntu, Linux Mint e Debian.

# yum install arpwatch
$ sudo apt-get install arpwatch

Vamos focar em alguns arquivos importantes do arpwatch, a localização dos arquivos podem mudar significativamente dependendo da distribuição utilizada.

  1. /etc/rc.d/init.d/arpwatch : O serviço do arpwatch para iniciar (start) ou parar (stop) o daemon.
  2. /etc/sysconfig/arpwatch : Esse é o arquivo de configuração principal.
  3. /usr/sbin/arpwatch : Comando Binário para iniciar ou parar a ferramenta via terminal.
  4. /var/arpwatch/arp.dat : Esse é o arquivo de banco de dados onde os endereços IP/MAC são registrados.
  5. /var/log/messages : O arquivo de log, onde o arpwatch escreve quaisquer mudanças ou atividades não usuais de IP/MAC.

Digite os seguintes comandos para iniciar o serviço do arpwatch:

# chkconfig --level 35 arpwatch on
# /etc/init.d/arpwatch start
$ sudo chkconfig --level 35 arpwatch on
$ sudo /etc/init.d/arpwatch start

Comandos do Arpwatch e Uso

Para visualizar uma interface especifica, digite o seguinte comando com o ‘-i‘ e o nome da interface:

# arpwatch -i eth0

Então, toda vez que um novo MAC for plugado ou um IP em particular alterar seu endereço MAC na rede, você notará entradas do syslog no arquivo ‘/var/log/syslog‘ ou ‘/var/log/message‘.

# tail -f /var/log/messages

Exemplo de Saída

Apr 15 12:45:17 devopslife arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 devopslife arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 devopslife arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 devopslife arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 devopslife arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

The above output displays new workstation. If any changes are made, you will get following output.

Apr 15 12:45:17 devopslife arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 devopslife arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 devopslife arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 devopslife arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 devopslife arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Você também pode verificar a tabela ARP atual usando o seguinte comando:

# arp -a

Exemplo de Saída

devopslife.com.br (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Se você deseja enviar alertas para seu email customizado, abra o arquivo de configurações ‘/etc/sysconfig/arpwatch‘ e adicione o email como mostrado abaixo:

# -u <usuário> : define qual usuário o arpwatch deverá rodar
# -e <email>    : O <email> onde será enviado os relatórios
# -s <de>     : O endereço de onde está sendo enviado <from>
OPTIONS="-u arpwatch -e devopslife@devopslife.com.br -s 'root (Arpwatch)'"

Aqui está um exemplo de relatório enviado por email, quando um novo MAC é conectado.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2012 15:32:29

Aqui está um exemplo de um relatório por email, quando um IP muda o seu endereço MAC.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2012 15:43:45
  previous timestamp: Monday, April 15, 2012 15:32:29 
               delta: 9 minutes

Como você deve ter visto acima, os registros, Hostname, IP address, MAC address, Vendor name e timestamps. Para mais informações, veja a página man do comando arpwatch digitando ‘man arpwatch’ no terminal.

Bruno Cavalcante Barbosa
Bruno Cavalcante Barbosa
Profissional de TI com mais de 18 anos de experiência na área. Atualmente lidera a equipe de Infraestrutura do PoP-AL exercendo o cargo de Analista de Operações na Rede Nacional de Ensino e Pesquisa (RNP). Autodidata em várias subáreas e grande apoiador de projetos Open Source.
http://www.magicmidia.com
Top