arpwatch — демон анализирует ARP-ответы на сетевом интерфейсе и запоминает соответствие IP-адресов и MAC-адресов. Как только соответствие нарушено, или появляются новые адреса — сообщает об этом на электронную почту.
Команда установки в Ubuntu/Debian:
apt-get install arpwatch
Приведу пример конфигурационного фала, который должен находится по адресу /etc/arpwatch.conf:
eth0 -m arp@domain.com #если на сетевом интерфейсе настроены Vlan: eth0.1 -m arp@domain.com eth0.15 -m arp@domain.com eth0.47 -m arp@domain.com #и т.д.
Данные отправляются на указанную почту и сохраняются в директории /var/lib/arpwatch в отдельный файл для каждого сетевого интерфейса, которые потом можно просмотреть и увидеть какие MAC и IP адреса были в сети.
Опишу дополнительные ключи запуска:
-d (Режим отладки, отключаются почтовые сообщения, информация выводится в консоль)
-i (указание имени используемого сетевого интерфейса)
-N (отключение сообщений о подменах)
-n (указание сети для мониторинга)
-r (чтение и анализирование данных из файла, записанного через tcpdump, информация выводится в консоль)
-u (запуск от имение указанного пользователя)
-f (установка имени файла базы данных, по умолчанию arp.dat)
Пример типов основных сообщений которые шлет arpwatch:
new activity (Когда пара ip+mac которая не использовалась больше 6 месяцев, появилась в сети)
new station (Когда в сети обнаруживается ранее не обнаруженное устройство)
flip flop (Когда Ethernet-адрес изменился с одного известного на другой, когда в сети есть одинаковые адреса)
changed ethernet address (В ранее обнаруженной паре ip+mac изменился ip или mac адрес)
Проверить запущен ли arpwatch можно командой:
ps -ef | grep arpwatch
Замечал старое дополнение arpwatch + sql на sources.homelink.ru/arpwatch