Arpwatch – wykrywanie arp-spoofingu

Arpwatch to taki mały bardzo przydatny programik monitorujący sieć w poszukiwaniu nowych adresów MAC kart sieciowych itd. Gdy tylko odnajdzie jakiś wysyła maila do administratora. Przydaje się do wykrywania wszelkiego rodzaju nadużyć, dalszego udostępniania internetu itd.

INSTALACJA:

  1. Ściągamy źródła arpwatcha – ftp://ftp.ee.lbl.gov/arpwatch.tar.gz
  2. Rozpakowujemy: tar -zxvf arpwatch.tar.gz
  3. Wchodzimy do powstałego katalogu: cd arpwatch-2.1a13
  4. Konfigurujemy: ./configure –prefix=/usr/local/arpwatch
  5. Kompilujemy: make
  6. Instalujemy: make install (nie wiem czemu ale musiałem sam stworzyć katalog /usr/local/arpwatch/ przed instalacją)
  7. Kopiujemy plik arp.dat: cp arp.dat /usr/local/arpwatch/sbin/
  8. Uruchamiamy program: /usr/local/arpwatch/sbin/arpwatch -i eth1 gdzie eth1 to nazwa interfejsu na którym ma nasłuchiwać
  9. Sprawdzamy czy działa w systemie: ps -u root| grep arpwatch powinno pokazać nam mniej więcej:
    2408 ? 00:00:00 arpwatch

Od tej chwili arpwatch będzie nasłuchiwał i jak tylko wykryje nowy adres MAC wyśle maila do root’a. W pliku arp.dat stworzy sobie listę stałych MAC’ów wraz z przydzielonymi im numerami IP. Dobrze jest od czasu do czasu przeglądnąć zawartość tego pliku.

2 thoughts on “Arpwatch – wykrywanie arp-spoofingu

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*

Releated

Munin + nginx + debian czyli monitorowanie serwerów

Munin jest bardzo prostym i przydatnym narzędziem służące do monitorowania aktywności serwerów. Przy jego pomocy możemy konfigurować dowolną ilość maszyn. Wynikiem działania są wykresy przedstawiające aktualny i historyczny stan systemu. Na podstawie wykresów możemy określić czy system pracuje stabilnie, możemy również obserwować jak wprowadzane zmiany wpływają na stan systemu.

Bitcoin node on Cubieboard

Sieć Bitcoina jest siecią P2P, składa się więc z węzłów – czyli komputerów, na których działa tradycyjny klient bitcoina , węzły te łączą się z innymi węzłami w sieci rozproszonymi w Internecie. Co się dzieje, gdy do sieci włącza się/dołącza się nowy węzeł czyli jeśli ktoś zainstaluje nowy portfel lub uruchomi już używany.