Ağınıza yeni bir cihaz/bilgisayar/akıllı telefon/tablet bağlandığında bundan haberdar olabilirsiniz. Wireless internet şifrenizi arkadaşınız ile paylaştınız ve ne zaman hangi bilgisayar ile bağlandığı hakkında haberdar olmak istiyorsunuz. Bu iş için arpwatch programı biçilmiş kaftandır. Kurup yapılandırdıktan sonra tanımladığınız e-posta adresinize bilgilendirme e-postaları almak üzere yapılandırabilirsiniz. Arpwatch kurduktan sonra arpwatch.conf dosyasını nano ile açın:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 |
pi@raspberry ~ $ sudo apt –y install arpwatch pi@raspberry ~ $ sudo nano /etc/arpwatch.conf # /etc/arpwatch.conf: Debian-specific way to watch multiple interfaces. # Format of this configuration file is: # #<dev1><arpwatch options for dev1> #<dev2><arpwatch options for dev2> #... #<devN><arpwatch options for devN> # # You can set global options for all interfaces by editing # /etc/default/arpwatch # For example: #eth0 -m root #eth1 -m root #eth2 -m root # or, if you have an MTA configured for plussed addressing: # #eth0 -m root+eth0 #eth1 -m root+eth1 #eth2 -m root+eth2 eth0 –m e-posta@adresiniz.com |
arpwatch.conf dosyasının içerisine yukarıdaki çıktının son satırında olduğu gibi e-posta adresinizi tanımlarsanız ağınızdaki değişiklikler hakkında e-posta bildirimleri alabilirsiniz. ArpWatch programı bir servis olarak çalışır. Servisi durdurup başlatmak için aşağıdaki komutlardan yararlanabilirsiniz:
1 2 3 |
pi@raspberry ~$ sudo /etc/init.d/arpwatch stop pi@raspberry ~$ sudo /etc/init.d/arpwatch start |
ArpWatch ağınızı izlerken tespit ettiği MAC ve IP adresi ilişkilerini /var/lib/arpwatch/arp.dat dosyasında saklar. Ağdaki değişiklikler e-posta adresine raporladığı gibi /var/log/syslog log dosyasına da kaydedilir. Arp.dat dosyasındaki ilgili MAC/IP eşlemelerinin kayıtlarını görmek için cat komutundan faydalanabilirsiniz:
1 2 3 4 5 6 7 8 9 10 11 12 13 |
pi@raspberry ~ $ sudo cat /var/lib/arpwatch/arp.dat 50:e5:49:c5:00:00 192.168.0.100 1458485865 eth0 13:14:15:01:02:03 192.168.0.101 1458485738 eth0 10:11:12:f0:29:0a 192.168.0.21 1458483139 eth0 e8:ab:fa:11:00:00 192.168.0.22 1458482443 eth0 e8:ab:fa:11:36:e8 192.168.0.170 1458484480 eth0 07:08:09:dd:fe:bd 192.168.0.1 1458484471 eth0 |
Dosyanın ilk sütununda MAC adresleri yer almaktadır. MAC adreslerinin hangi marka cihaza sahip olduğunu /usr/share/arpwatch/ethercodes.dat dosyasından görebilirsiniz. MAC adresinin ilk üç hanesi üreticiye ait adres havuzudur.
1 2 3 |
pi@raspberry ~ $ sudo cat /usr/share/arpwatch/ethercodes.dat | grep 0:e0:4c 0:e0:4c REALTEK SEMICONDUCTOR CORP. |
Arpwatch ağda değişiklik olduğunda size e-posta ile raporlar gönderir. Bu raporların içeriğinde olası dört çeşit bilgi yer alır.
- New activity: Bu MAC/IP eşlemesi ile ilk defa karşılaşıldığı anlamına gelir.
- New station: Bu MAC adresinin ağda ilk defa görüldüğü anlamına gelir.
- Flip Flop:Kaynak makinenin MAC adresi değiştiğinde ya da bir MAC adresini birden fazla IP kullandığı anlamına gelir.
- Changed Ethernet Address: İlgili bilgisayarın yeni bir MAC adresi kullandığı anlamına gelir.
