Linux-ലെ ഇഥർനെറ്റ് പ്രവർത്തനം നിരീക്ഷിക്കുന്നതിനുള്ള Arpwatch ടൂൾ
നിങ്ങളുടെ നെറ്റ്uവർക്കിലെ ഇഥർനെറ്റ് ട്രാഫിക് ആക്uറ്റിവിറ്റി (IP, MAC വിലാസങ്ങൾ മാറ്റുന്നത് പോലെ) നിരീക്ഷിക്കാനും ഇഥർനെറ്റ്/IP വിലാസ ജോടിയാക്കലുകളുടെ ഒരു ഡാറ്റാബേസ് പരിപാലിക്കാനും നിങ്ങളെ സഹായിക്കുന്ന ഒരു ഓപ്പൺ സോഴ്uസ് കമ്പ്യൂട്ടർ സോഫ്റ്റ്uവെയർ പ്രോഗ്രാമാണ് Arpwatch. ടൈംസ്റ്റാമ്പുകൾക്കൊപ്പം IP, MAC വിലാസങ്ങളുടെ വിവരങ്ങളുടെ ജോടിയാക്കുന്നതിന്റെ ഒരു ലോഗ് ഇത് നിർമ്മിക്കുന്നു, അതിനാൽ നെറ്റ്uവർക്കിൽ ജോടിയാക്കൽ പ്രവർത്തനം ദൃശ്യമാകുമ്പോൾ നിങ്ങൾക്ക് ശ്രദ്ധാപൂർവം കാണാൻ കഴിയും. ജോടിയാക്കുകയോ മാറ്റുകയോ ചെയ്യുമ്പോൾ ഒരു നെറ്റ്uവർക്ക് അഡ്uമിനിസ്uട്രേറ്റർക്ക് ഇമെയിൽ വഴി റിപ്പോർട്ടുകൾ അയയ്uക്കാനുള്ള ഓപ്uഷനും ഇതിന് ഉണ്ട്.
ARP കബളിപ്പിക്കൽ അല്ലെങ്കിൽ അപ്രതീക്ഷിത IP/MAC വിലാസങ്ങൾ പരിഷ്uക്കരണങ്ങൾ കണ്ടെത്തുന്നതിന് ARP പ്രവർത്തനം നിരീക്ഷിക്കാൻ നെറ്റ്uവർക്ക് അഡ്മിനിസ്ട്രേറ്റർമാർക്ക് ഈ ടൂൾ പ്രത്യേകം ഉപയോഗപ്രദമാണ്.
ലിനക്സിൽ Arpwatch ഇൻസ്റ്റാൾ ചെയ്യുന്നു
ഡിഫോൾട്ടായി, ഏതെങ്കിലും Linux വിതരണങ്ങളിൽ Arpwatch ടൂൾ ഇൻസ്റ്റാൾ ചെയ്തിട്ടില്ല. RHEL, CentOS, Fedora, ഉബുണ്ടു, Linux Mint, Debian എന്നിവയിലെ 'apt-get' എന്നിവയിൽ 'yum' കമാൻഡ് ഉപയോഗിച്ച് ഞങ്ങൾ ഇത് സ്വമേധയാ ഇൻസ്റ്റാൾ ചെയ്യണം. .
# yum install arpwatch
$ sudo apt-get install arpwatch
ഏറ്റവും പ്രധാനപ്പെട്ട ചില ആർപ്പ് വാച്ച് ഫയലുകളിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കാം, നിങ്ങളുടെ ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തെ അടിസ്ഥാനമാക്കി ഫയലുകളുടെ സ്ഥാനം അല്പം വ്യത്യസ്തമാണ്.
- /etc/rc.d/init.d/arpwatch : ഡെമൺ ആരംഭിക്കുന്നതിനോ നിർത്തുന്നതിനോ ഉള്ള ആർപ്പ് വാച്ച് സേവനം.
- /etc/sysconfig/arpwatch : ഇതാണ് പ്രധാന കോൺഫിഗറേഷൻ ഫയൽ...
- /usr/sbin/arpwatch : ടെർമിനൽ വഴി ടൂൾ ആരംഭിക്കുന്നതിനും നിർത്തുന്നതിനുമുള്ള ബൈനറി കമാൻഡ്.
- /var/arpwatch/arp.dat : IP/MAC വിലാസങ്ങൾ രേഖപ്പെടുത്തിയിരിക്കുന്ന പ്രധാന ഡാറ്റാബേസ് ഫയലാണിത്.
- /var/log/messages : IP/MAC-ലേക്ക് എന്തെങ്കിലും മാറ്റങ്ങളോ അസാധാരണമായ പ്രവർത്തനങ്ങളോ arpwatch എഴുതുന്ന ലോഗ് ഫയൽ.
arpwatch സേവനം ആരംഭിക്കാൻ ഇനിപ്പറയുന്ന കമാൻഡ് ടൈപ്പ് ചെയ്യുക.
# chkconfig --level 35 arpwatch on # /etc/init.d/arpwatch start
$ sudo chkconfig --level 35 arpwatch on $ sudo /etc/init.d/arpwatch start
ഒരു നിർദ്ദിഷ്uട ഇന്റർഫേസ് കാണുന്നതിന്, '-i' എന്നതും ഉപകരണത്തിന്റെ പേരും ഉപയോഗിച്ച് ഇനിപ്പറയുന്ന കമാൻഡ് ടൈപ്പ് ചെയ്യുക.
# arpwatch -i eth0
അതിനാൽ, ഒരു പുതിയ MAC പ്ലഗ് ചെയ്യുമ്പോഴോ അല്ലെങ്കിൽ ഒരു പ്രത്യേക IP നെറ്റ്uവർക്കിൽ അവന്റെ MAC വിലാസം മാറ്റുമ്പോഴോ, '/var/log/syslog' അല്ലെങ്കിൽ '/var/log/message' ഫയലിൽ syslog എൻട്രികൾ നിങ്ങൾ കാണും.
# tail -f /var/log/messages
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45 Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
മുകളിലുള്ള ഔട്ട്പുട്ട് പുതിയ വർക്ക്സ്റ്റേഷൻ പ്രദർശിപ്പിക്കുന്നു. എന്തെങ്കിലും മാറ്റങ്ങൾ വരുത്തിയാൽ, നിങ്ങൾക്ക് ഇനിപ്പറയുന്ന ഔട്ട്പുട്ട് ലഭിക്കും.
Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45) Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങൾക്ക് നിലവിലെ ARP പട്ടിക പരിശോധിക്കാനും കഴിയും.
# arp -a
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0 ? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0
നിങ്ങളുടെ ഇഷ്uടാനുസൃത ഇമെയിൽ ഐഡിയിലേക്ക് അലേർട്ടുകൾ അയയ്uക്കണമെങ്കിൽ, '/etc/sysconfig/arpwatch' എന്ന പ്രധാന കോൺഫിഗറേഷൻ ഫയൽ തുറന്ന് ചുവടെ കാണിച്ചിരിക്കുന്നതുപോലെ ഇമെയിൽ ചേർക്കുക.
# -u <username> : defines with what user id arpwatch should run # -e <email> : the <email> where to send the reports # -s <from> : the <from>-address OPTIONS="-u arpwatch -e [email -s 'root (Arpwatch)'"
ഒരു പുതിയ MAC കണക്റ്റുചെയ്uതിരിക്കുമ്പോൾ ഒരു ഇമെയിൽ റിപ്പോർട്ടിന്റെ ഒരു ഉദാഹരണം ഇതാ.
hostname: centos ip address: 172.16.16.25 interface: eth0 ethernet address: 00:24:1d:76:e4:1d ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD. timestamp: Monday, April 15, 2012 15:32:29
ഒരു IP അവന്റെ MAC വിലാസം മാറ്റുമ്പോൾ ഒരു ഇമെയിൽ റിപ്പോർട്ടിന്റെ ഒരു ഉദാഹരണം ഇതാ.
hostname: centos ip address: 172.16.16.25 interface: eth0 ethernet address: 00:56:1d:36:e6:fd ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD. old ethernet address: 00:24:1d:76:e4:1d timestamp: Monday, April 15, 2012 15:43:45 previous timestamp: Monday, April 15, 2012 15:32:29 delta: 9 minutes
നിങ്ങൾക്ക് മുകളിൽ കാണുന്നത് പോലെ, ഇത് ഹോസ്റ്റ്നാമം, IP വിലാസം, MAC വിലാസം, വെണ്ടറുടെ പേര്, ടൈംസ്റ്റാമ്പുകൾ എന്നിവ രേഖപ്പെടുത്തുന്നു. കൂടുതൽ വിവരങ്ങൾക്ക്, ടെർമിനലിൽ 'man arpwatch' അടിച്ചുകൊണ്ട് arpwatch man പേജ് കാണുക.