viernes, 5 de diciembre de 2014

Linux Debian arpwatch

Esta es una herramienta de monitorizacion muy simple utilizada para ver cambios sospechosos en las direcciones ip o mac address en una red o subnet. Para instalar la herrmienta en Debian

#apt-get install arpwatch

para ver lo que se va generando en el syslog

#tail -f  /var/log/syslog | grep "arpwatch"

un ejemplo de la salida es:

Dec  5 11:27:34 decepticon arpwatch: new station 10.4.0.115 00:xx:5a:e9:a2:70 eth0

Lo que la herramienta te puede reportar

       new activity
              Esta direccion se esta utilizando por primera vez en seis meses o mas.

       new station
              La mac address no se habia visto antes.

       flip flop
               La mac address ha cambiado desde la última visita
               frente a la segunda dirección más recientemente visto. ESTO ES EL IMPORTANTE

       changed ethernet address
              El anfitrión cambió a una nueva dirección ethernet.

En el syslog tenia muchisimas entradas asi:

Dec  5 12:16:44 decepticon arpwatch: bogon 0.0.0.0 00:40:48:75:94:2e eth0

la documentación dice bogon: la ip origen no corresponde a la subred local, si no te interesa este tipo de entredas

paramos el servicio

# /etc/init.d/arpwatch stop

Ahora no iniciamos para que ignore el bogon 

# arpwatch -N
Publicadas por a la/s
Etiquetas: , ,

1 comentario:

  1. Anónimo3 de febrero de 2022, 1:25 p.m.

    Online Casino » $100 Welcome Bonus | Gambi Huppie
    Gambi Games is 온라인 카지노 a video poker site, founded in 2012. Since then, they've made some of the best online poker rooms online. The site offers all

    ResponderBorrar

Suscribirse a: Comentarios de la entrada (Atom)