Титла: arpwatch
Публикувано от: VladSun в May 15, 2005, 12:40
на рутера е инсталиран arpwatch.
Рутера беше забил (няма ping, ssh и т.н.) и се оправи само с hard-restart.
Linux 2.4.20 #1 Mon Apr 26 19:29
7 EEST 2004 i686 unknown
arpwatch-2.1a4
Трафика в момента преди забиването е бил около 8 Mbps.
Дали е възможно това, че ЛАН картата влиза в promiscuous mode да е причина за забиването?
ПП: Между другото никъде не успях да открия как и къде се прави arpwatch.conf ... Документацията е доста постна, а и чичко Гугъл не каза нищо свястно - някакъв пример за конф-а?
| Примерен код |
May 15 09:56:10 kernel: eth1: Promiscuous mode enabled. May 15 09:56:11 last message repeated 35 times May 15 09:56:23 arpwatch: bogon 192.168.4.246 0:c:41:18:2e:a5 May 15 09:56:57 last message repeated 3 times May 15 09:58:14 last message repeated 6 times May 15 09:59:13 last message repeated 3 times May 15 09:59:26 arpwatch: bogon 192.168.4.246 0:c:41:18:2e:a5 May 15 10:00:01 arpwatch: bogon 192.168.4.247 0:c:41:18:61:b3 May 15 10:00:01 arpwatch: bogon 192.168.4.1 4c:0:10:3c:28:a2 May 15 10:00:04 arpwatch: bogon 192.168.4.246 0:c:41:18:2e:a5 May 15 10:00:04 arpwatch: bogon 192.168.4.1 4c:0:10:3c:28:a2 May 15 10:00:06 arpwatch: bogon 192.168.4.246 0:c:41:18:2e:a5 May 15 10:00:10 kernel: eth1: Promiscuous mode enabled. May 15 10:00:11 last message repeated 35 times May 15 10:00:14 arpwatch: bogon 192.168.4.246 0:c:41:18:2e:a5 May 15 11:11:10 syslogd 1.4.1: restart. |
Рутера беше забил (няма ping, ssh и т.н.) и се оправи само с hard-restart.
Linux 2.4.20 #1 Mon Apr 26 19:29
7 EEST 2004 i686 unknownarpwatch-2.1a4
| Примерен код |
| free total used free shared buffers cached Mem: 256068 155244 100824 0 36756 77632 -/+ buffers/cache: 40856 215212 Swap: 520684 0 520684 |
Трафика в момента преди забиването е бил около 8 Mbps.
Дали е възможно това, че ЛАН картата влиза в promiscuous mode да е причина за забиването?
ПП: Между другото никъде не успях да открия как и къде се прави arpwatch.conf ... Документацията е доста постна, а и чичко Гугъл не каза нищо свястно - някакъв пример за конф-а?
Титла: arpwatch
Публикувано от: neonic в May 15, 2005, 14:56
/etc/arpwatch.conf Би трябвало там да го има конфигурационния файл.
http://www.t2-project.org/packages/arpwatch.html - Виж този адрес. Би трябвало да ти свърши работа.
П.п.
=================================================
Скрипт създаващ dhcpd.conf, използвайки arpwatch
=================================================
#!/bin/bash
#A script that starts arpwatch, pings a range of addresses and creates an
#/etc/dhcpd.conf file from the output of arpwatch.
#The arp.dat2dhcpd.conf programm is described later.
#Do not forget to edit the i variable and the while statement to specify
#the range of the addresses you want to ping
i=128;
echo "Starting arpwatch";echo
arpwatch
while [ "$i" -lt 253 ]
do
addr=192.168.160.$i
echo "Now pinging $addr"
ping -c 5 $addr >/dev/null
i=$(($i+1))
done
echo
exit
killproc arpwatch
echo "Creating /etc/dhcpd.conf"
cat /var/lib/arpwatch/arp.dat |arp.dat2dhcpd.conf >/etc/dhcpd.conf
The arp.dat2dhcpd.conf script
#!/usr/bin/perl -n
($ether, $ip,$stup1,$name) = split;
if ($name eq "") {
print "
host host$i {
hardware ethernet $ether;
fixed-address $ip;
}
";
$i++;}
else{
print "
host $name {
hardware ethernet $ether;
fixed-address $ip;
}
"}
Надявам се да съм ти помогнал.
http://www.t2-project.org/packages/arpwatch.html - Виж този адрес. Би трябвало да ти свърши работа.
П.п.
=================================================
Скрипт създаващ dhcpd.conf, използвайки arpwatch
=================================================
#!/bin/bash
#A script that starts arpwatch, pings a range of addresses and creates an
#/etc/dhcpd.conf file from the output of arpwatch.
#The arp.dat2dhcpd.conf programm is described later.
#Do not forget to edit the i variable and the while statement to specify
#the range of the addresses you want to ping
i=128;
echo "Starting arpwatch";echo
arpwatch
while [ "$i" -lt 253 ]
do
addr=192.168.160.$i
echo "Now pinging $addr"
ping -c 5 $addr >/dev/null
i=$(($i+1))
done
echo
exit
killproc arpwatch
echo "Creating /etc/dhcpd.conf"
cat /var/lib/arpwatch/arp.dat |arp.dat2dhcpd.conf >/etc/dhcpd.conf
The arp.dat2dhcpd.conf script
#!/usr/bin/perl -n
($ether, $ip,$stup1,$name) = split;
if ($name eq "") {
print "
host host$i {
hardware ethernet $ether;
fixed-address $ip;
}
";
$i++;}
else{
print "
host $name {
hardware ethernet $ether;
fixed-address $ip;
}
"}
Надявам се да съм ти помогнал.
Титла: arpwatch
Публикувано от: VladSun в May 15, 2005, 17:56
И аз се надявах ама ... пак никакво инфо в тези линкове.
arpwatch.conf в /etc нямам ... нито знам какво трябва да има в него
имам единствено arp.dat файл, който ми е ясен за какво е ...
Чудя се защо arpwatch прихваща само локалните ИП адреси, но не и публичните такива? Предполагам, че в конф-а трябва да се укаже ...
А проблемът със забиването ми е доста по-важен ...
arpwatch.conf в /etc нямам ... нито знам какво трябва да има в него
имам единствено arp.dat файл, който ми е ясен за какво е ...
Чудя се защо arpwatch прихваща само локалните ИП адреси, но не и публичните такива? Предполагам, че в конф-а трябва да се укаже ...
А проблемът със забиването ми е доста по-важен ...
Титла: arpwatch
Публикувано от: в May 17, 2005, 13:50
| Цитат |
| Чудя се защо arpwatch прихваща само локалните ИП адреси, но не и публичните такива? |
Na koj interfejs slu6a ?
Титла: arpwatch
Публикувано от: VladSun в May 17, 2005, 16:42
На вътрешния, за публичните ИП-та има routing към вътрешния интерфейс.
Да не би да трябва да се укаже eth1:1 примерно?
Да не би да трябва да се укаже eth1:1 примерно?
Титла: arpwatch
Публикувано от: Uvigii в May 17, 2005, 17:04
| Цитат |
| ... routing към вътрешния интерфейс ... |
Не съм запознат с програмката .. нито с конфигурацията на машината ...
но rоuting е на L3
докато arp ~ L2
| Цитат |
| May 15 09:56:10 kernel: eth1: Promiscuous mode enabled. |
да не би да трява да се стартира с -i ethX
Титла: arpwatch
Публикувано от: VladSun в May 17, 2005, 17:18
@ Uvigii ok
Пускам го така
/usr/local/sbin/arpwatch -i eth1 -f /var/arp.dat
и ми логва само ИП-та от 192.168.2.0 мрежа ...
Лошото е, че освен README-то никаква друга документация не успях да изкопая ...
А, някакви идеи дали гореописаното може да е причина да забива сървера?
okПускам го така
/usr/local/sbin/arpwatch -i eth1 -f /var/arp.dat
| Примерен код |
| eth1 Link encap:Ethernet HWaddr 4C:00:10:3C:28:A2 inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:3389605 errors:0 dropped:0 overruns:0 frame:0 TX packets:3451713 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:1496802164 (1427.4 Mb) TX bytes:3841601960 (3663.6 Mb) Interrupt:12 Base address:0xd000 eth1:1 Link encap:Ethernet HWaddr 4C:00:10:3C:28:A2 inet addr:192.168.3.1 Bcast:192.168.3.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interrupt:12 Base address:0xd000 eth1:2 Link encap:Ethernet HWaddr 4C:00:10:3C:28:A2 inet addr:192.168.4.1 Bcast:192.168.4.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interrupt:12 Base address:0xd000 |
и ми логва само ИП-та от 192.168.2.0 мрежа ...
Лошото е, че освен README-то никаква друга документация не успях да изкопая ...
А, някакви идеи дали гореописаното може да е причина да забива сървера?
Титла: arpwatch
Публикувано от: Ivan_storm в May 18, 2005, 09:35
При мен арпвотча се стартира със следните параметри
/usr/sbin/arpwatch -i eth0 -f eth0.dat -m root -u arpwatch -N -p
може да си направиш скрипт които да го вдига ,обаче за целта трябва да имаш усер arpwatch ,вдигнат маил (-m на кого да пише ). тои по принцип трябва да е на вътрешен интерфейс ,и да нюха само твоите си юзери.
/usr/sbin/arpwatch -i eth0 -f eth0.dat -m root -u arpwatch -N -p
може да си направиш скрипт които да го вдига ,обаче за целта трябва да имаш усер arpwatch ,вдигнат маил (-m на кого да пише ). тои по принцип трябва да е на вътрешен интерфейс ,и да нюха само твоите си юзери.
Титла: arpwatch
Публикувано от: kolio_kolev в May 18, 2005, 10:46
С парамерът -n се изреждат мрежите, които те интересуват,
а с -i се изреждат мрежите.
Ето малък пример (Mandriva 2005LE):
Файл: /etc/sysconfig/arpwatch
----------------------------------------------------------------
# listen on interface X
# ARPWATCH_INTERFACE="-i eth0 -i eth1"
# filter out bogon warnings
ARPWATCH_LOCAL_NETWORKS="-n 212.10.10.0/24 -n 192.168.15.0/24 -n 192.168.20.0/24 -n 192.168.10.0/24 -n 192.168.7.0/24"
# send no bogon warnings
# ARPWATCH_NO_REPORTING="-N"
# listen on an interface that has no IPv4 assigned address
# ARPWATCH_NO_IP="-w"
# set any other options here
# ARPWATCH_OPTIONS=""
----------------------------------------------------------------
Успех
Кольо Колев
а с -i се изреждат мрежите.
Ето малък пример (Mandriva 2005LE):
Файл: /etc/sysconfig/arpwatch
----------------------------------------------------------------
# listen on interface X
# ARPWATCH_INTERFACE="-i eth0 -i eth1"
# filter out bogon warnings
ARPWATCH_LOCAL_NETWORKS="-n 212.10.10.0/24 -n 192.168.15.0/24 -n 192.168.20.0/24 -n 192.168.10.0/24 -n 192.168.7.0/24"
# send no bogon warnings
# ARPWATCH_NO_REPORTING="-N"
# listen on an interface that has no IPv4 assigned address
# ARPWATCH_NO_IP="-w"
# set any other options here
# ARPWATCH_OPTIONS=""
----------------------------------------------------------------
Успех
Кольо Колев