ditsoft

เข้าสู่ระบบจัดการข้อมุล



ตรวจหา ARP Spoof packet ด้วย ARPWatch

Introducing Arpwatch

ตรวจสอบการเปลี่ยนแปลงของค่า ip address ควบคู่กับค่า MAC address ของ Network         Interface Card (NIC) ซึ่งหากมีการเปลี่ยนแปลง เช่น มีเครื่องคอมพิวเตอร์ใหม่เข้าในระบบเครือข่ายที่อยู่ใน segment เดียวกัน arpwatch ก็จะแจ้งเตือนผู้ดูแลระบบผ่านทางอี-เมล์ หรืออื่นๆ ตามแต่กำหนด

 

ติดตั้ง Arpwatch

# yum -y install arpwatch

 

Monitoring IP Address Changes By Email via Arpwatch

แก้ไข หรือตรวจสอบ /etc/sysconfig/arpwatch 

OPTIONS=”-u pcap  -e ver -s ‘Arpwatch’”

บันทึก

Start Arpwatch Service

# service arpwatch start

 

Stop Arpwatch Service

# service arpwatch start

กำหนดให้ Arpwatch ทำงานภายหลังจาก  Reboot

# chkconfig –levels 35 arpwatch on

 

Monitoring IP Address Changes By Log via Arpwatch

By default, arpwatch send its log details to /var/log/messages. To monitor all arpwatch log messages

# tail -f /var/log/messages | grep arpwatch

# cat /var/log/messages | grep arpwatch

 

Monitoring IP Address Conflicts By Log via Arpwatch

To list down all IP address changes occurrences within your network reachable by your current IP address configurations

# cat /var/log/messages | grep arpwatch | grep ‘flip\|flop’

 

Tracing IP Address Changes using Arpwatch

Get the last and known IP address changes from the target host

# cat /var/log/messages | grep “192.168.2.33″

 

Tracing MAC Address of IP Address Changes using Arpwatch

Retrieve all MAC Address of all host that changed their IP address to 158.108.119.x and count their occurrences

#cat messages | grep ’158.108.119.x′

Aug 14 18:05:49 ver arpwatch: bogon 158.108.119.x 0:2:6d:46:46:f
Aug 14 18:05:54 ver arpwatch: bogon 158.108.119.x 0:2:6d:46:46:f
Aug 14 18:06:05 ver arpwatch: bogon 158.108.119.x 0:2:6d:46:46:f
Aug 14 18:06:31 ver arpwatch: bogon 158.108.119.x 0:2:6d:46:46:f

 

Filter and  count all occurrences using grep, awk, sort and uniq linux command as shown

#cat messages | grep '158.108.119.x′ | awk ‘{print $8}’ | sort | uniq -c

 

Tracing Other IP Address Changes Used by Target Host using Arpwatch

# cat /var/log/messages | grep arpwatch | grep ’0:2:6f:46:74:f’

Aug 16 14:03:51 ver arpwatch: bogon 158.108.119.x 0:2:6d:46:46:f
Aug 16 14:04:03 ver arpwatch: bogon 158.108.119.x 0:2:6d:46:46:f
Aug 16 14:04:03 ver arpwatch: bogon 158.108.119.x 0:2:6d:46:46:f
Aug 16 14:04:03 ver arpwatch: bogon 158.108.119.x 0:2:6d:46:46:f

 

 

count the number 

# cat messages | grep arpwatch | grep ’0:2:6d:46:46:f’ | awk ‘{print $7}’ | sort | uniq -c

2265  158.108.119.x
5230  158.108.119.x

หากมี ข้อมูลมาก

# cat messages | grep arpwatch | grep ‘flop’ | grep ’158.108.119.x′ | awk ‘{print $7}’ | sort | uniq -c

 

ลองดูครับ