Автор Тема: arpwatch  (Прочетена 2697 пъти)

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
arpwatch
« -: May 15, 2005, 12:40 »
на рутера е инсталиран arpwatch.

Примерен код

May 15 09:56:10 kernel: eth1: Promiscuous mode enabled.
May 15 09:56:11 last message repeated 35 times
May 15 09:56:23 arpwatch: bogon 192.168.4.246 0:c:41:18:2e:a5
May 15 09:56:57 last message repeated 3 times
May 15 09:58:14 last message repeated 6 times
May 15 09:59:13 last message repeated 3 times
May 15 09:59:26 arpwatch: bogon 192.168.4.246 0:c:41:18:2e:a5
May 15 10:00:01 arpwatch: bogon 192.168.4.247 0:c:41:18:61:b3
May 15 10:00:01 arpwatch: bogon 192.168.4.1 4c:0:10:3c:28:a2
May 15 10:00:04 arpwatch: bogon 192.168.4.246 0:c:41:18:2e:a5
May 15 10:00:04 arpwatch: bogon 192.168.4.1 4c:0:10:3c:28:a2
May 15 10:00:06 arpwatch: bogon 192.168.4.246 0:c:41:18:2e:a5
May 15 10:00:10 kernel: eth1: Promiscuous mode enabled.
May 15 10:00:11 last message repeated 35 times
May 15 10:00:14 arpwatch: bogon 192.168.4.246 0:c:41:18:2e:a5
May 15 11:11:10 syslogd 1.4.1: restart.


Рутера беше забил (няма ping, ssh и т.н.) и се оправи само с hard-restart.

Linux 2.4.20 #1 Mon Apr 26 19:29':0'7 EEST 2004 i686 unknown
arpwatch-2.1a4
Примерен код
free
             total       used       free     shared    buffers     cached
Mem:        256068     155244     100824          0      36756      77632
-/+ buffers/cache:      40856     215212
Swap:       520684          0     520684


Трафика в момента преди забиването е бил около 8 Mbps.

Дали е възможно това, че ЛАН картата влиза в promiscuous mode да е причина за забиването?

ПП: Между другото никъде не успях да открия как и къде се прави arpwatch.conf ... Документацията е доста постна, а и чичко Гугъл не каза нищо свястно - някакъв пример за конф-а?
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

neonic

  • Напреднали
  • *****
  • Публикации: 104
    • Профил
arpwatch
« Отговор #1 -: May 15, 2005, 14:56 »
/etc/arpwatch.conf Би трябвало там да го има конфигурационния файл.

http://www.t2-project.org/packages/arpwatch.html - Виж този адрес. Би трябвало да ти свърши работа.   '<img'>

П.п.

=================================================

Скрипт създаващ dhcpd.conf, използвайки arpwatch

=================================================

#!/bin/bash
#A script that starts arpwatch, pings a range of addresses and creates an
#/etc/dhcpd.conf file from the output of arpwatch.
#The arp.dat2dhcpd.conf programm is described later.
#Do not forget to edit the i variable and the while statement to specify
#the range of the addresses you want to ping

i=128;

echo "Starting arpwatch";echo
arpwatch

while [ "$i" -lt 253 ]
do
        addr=192.168.160.$i
        echo "Now pinging $addr"
        ping -c 5 $addr >/dev/null
        i=$(($i+1))
done
echo
exit
killproc arpwatch
echo "Creating /etc/dhcpd.conf"
cat /var/lib/arpwatch/arp.dat |arp.dat2dhcpd.conf >/etc/dhcpd.conf

The arp.dat2dhcpd.conf script

#!/usr/bin/perl -n
($ether, $ip,$stup1,$name) = split;
if ($name eq "") {
print "
host host$i {
        hardware ethernet $ether;
        fixed-address $ip;
}
";
$i++;}
else{
        print "
host $name {
        hardware ethernet $ether;
        fixed-address $ip;
}
"}

Надявам се да съм ти помогнал.  '<img'>
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
arpwatch
« Отговор #2 -: May 15, 2005, 17:56 »
И аз се надявах ама ... пак никакво инфо в тези линкове.
arpwatch.conf в /etc нямам ... нито знам какво трябва да има в него
имам единствено arp.dat файл, който ми е ясен за какво е ...
Чудя се защо arpwatch прихваща само локалните ИП адреси, но не и публичните такива? Предполагам, че в конф-а трябва да се укаже ...

А проблемът със забиването ми е доста по-важен ...
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

  • Гост
arpwatch
« Отговор #3 -: May 17, 2005, 13:50 »
Цитат
Чудя се защо arpwatch прихваща само локалните ИП адреси, но не и публичните такива?

Na koj interfejs slu6a ?
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
arpwatch
« Отговор #4 -: May 17, 2005, 16:42 »
На вътрешния, за публичните ИП-та има routing към вътрешния интерфейс.
Да не би да трябва да се укаже eth1:1 примерно?
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

Uvigii

  • Напреднали
  • *****
  • Публикации: 381
    • Профил
arpwatch
« Отговор #5 -: May 17, 2005, 17:04 »
Цитат
... routing към вътрешния интерфейс ...

Не съм запознат с програмката .. нито с конфигурацията на машината ...
но rоuting  е на L3
докато arp ~ L2
'<img'>
Цитат
May 15 09:56:10 kernel: eth1: Promiscuous mode enabled.

да не би да трява да се стартира с -i ethX
Активен

http://www.openlab.info мрежова лаборатория

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
arpwatch
« Отговор #6 -: May 17, 2005, 17:18 »
@ Uvigii '<img'> ok

Пускам го така

/usr/local/sbin/arpwatch -i eth1 -f /var/arp.dat

Примерен код
eth1      Link encap:Ethernet  HWaddr 4C:00:10:3C:28:A2
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3389605 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3451713 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1496802164 (1427.4 Mb)  TX bytes:3841601960 (3663.6 Mb)
          Interrupt:12 Base address:0xd000

eth1:1    Link encap:Ethernet  HWaddr 4C:00:10:3C:28:A2
          inet addr:192.168.3.1  Bcast:192.168.3.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:12 Base address:0xd000

eth1:2    Link encap:Ethernet  HWaddr 4C:00:10:3C:28:A2
          inet addr:192.168.4.1  Bcast:192.168.4.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:12 Base address:0xd000


и ми логва само ИП-та от 192.168.2.0 мрежа ...
Лошото е, че освен README-то никаква друга документация не успях да изкопая ...

А, някакви идеи дали гореописаното може да е причина да забива сървера?
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

Ivan_storm

  • Напреднали
  • *****
  • Публикации: 35
  • Distribution: Debian stable
    • Профил
arpwatch
« Отговор #7 -: May 18, 2005, 09:35 »
При мен арпвотча се стартира със следните параметри
/usr/sbin/arpwatch -i eth0 -f eth0.dat -m root -u arpwatch -N -p
може да си направиш скрипт които да го вдига ,обаче за целта трябва да имаш усер  arpwatch  ,вдигнат маил (-m  на кого да пише ). тои по принцип трябва да е на вътрешен интерфейс ,и да нюха само твоите си юзери.
Активен

Pentium + Debian GNU/Linux - he fights for us.

kolio_kolev

  • Напреднали
  • *****
  • Публикации: 356
  • Distribution: Mandriva 2011, Mandriva Cooker
  • Window Manager: KDE 4.6.x
    • Профил
    • WWW
arpwatch
« Отговор #8 -: May 18, 2005, 10:46 »
С парамерът -n се изреждат мрежите, които те интересуват,
а с -i се изреждат мрежите.

Ето малък пример (Mandriva 2005LE):

Файл: /etc/sysconfig/arpwatch
----------------------------------------------------------------

# listen on interface X
# ARPWATCH_INTERFACE="-i eth0 -i eth1"

# filter out bogon warnings
ARPWATCH_LOCAL_NETWORKS="-n 212.10.10.0/24 -n 192.168.15.0/24 -n 192.168.20.0/24 -n 192.168.10.0/24 -n 192.168.7.0/24"

# send no bogon warnings
# ARPWATCH_NO_REPORTING="-N"

# listen on an interface that has no IPv4 assigned address
# ARPWATCH_NO_IP="-w"

# set any other options here
# ARPWATCH_OPTIONS=""

----------------------------------------------------------------

Успех

Кольо Колев
Активен

Кольо Колев
Mandriva BG: http://mandriva.biotronica.net
Bitronica.Net форуми: http://forum.biotronica.net

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Arpwatch-db
Общ форум
edmon 28 5785 Последна публикация Dec 31, 2008, 16:35
от h7d8
arpwatch
Настройка на програми
h7d8 4 1900 Последна публикация Dec 01, 2008, 11:38
от VladSun