Arpwatch – wykrywanie arp-spoofingu

Arpwatch to taki mały bardzo przydatny programik monitorujący sieć w poszukiwaniu nowych adresów MAC kart sieciowych itd. Gdy tylko odnajdzie jakiś wysyła maila do administratora. Przydaje się do wykrywania wszelkiego rodzaju nadużyć, dalszego udostępniania internetu itd.

INSTALACJA:

  1. Ściągamy źródła arpwatcha – ftp://ftp.ee.lbl.gov/arpwatch.tar.gz
  2. Rozpakowujemy: tar -zxvf arpwatch.tar.gz
  3. Wchodzimy do powstałego katalogu: cd arpwatch-2.1a13
  4. Konfigurujemy: ./configure –prefix=/usr/local/arpwatch
  5. Kompilujemy: make
  6. Instalujemy: make install (nie wiem czemu ale musiałem sam stworzyć katalog /usr/local/arpwatch/ przed instalacją)
  7. Kopiujemy plik arp.dat: cp arp.dat /usr/local/arpwatch/sbin/
  8. Uruchamiamy program: /usr/local/arpwatch/sbin/arpwatch -i eth1 gdzie eth1 to nazwa interfejsu na którym ma nasłuchiwać
  9. Sprawdzamy czy działa w systemie: ps -u root| grep arpwatch powinno pokazać nam mniej więcej:
    2408 ? 00:00:00 arpwatch

Od tej chwili arpwatch będzie nasłuchiwał i jak tylko wykryje nowy adres MAC wyśle maila do root’a. W pliku arp.dat stworzy sobie listę stałych MAC’ów wraz z przydzielonymi im numerami IP. Dobrze jest od czasu do czasu przeglądnąć zawartość tego pliku.

Comments

  1. FutureM says:

    hej a jest cos podobnego pod windows 7?

  2. admin says:

    WinARP Watch

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*