「arpwatch(8)」-

  LINUX MANUAL PAGES

跟踪以太网/IP地址配对

命令语法格式

arpwatch [ -dN ] [ -f datafile ] [ -i interface ] [ -n net[/width] ] [ -r file ] [ -s sendmail_path ] [ -p ] [ -a ] [ -m addr ] [ -u username ] [ -R seconds ] [ -Q ] [ -z ignorenet/ignoremask ]

命令描述

命令arpwatch跟踪以太网/IP地址配对。 它使用syslogs记录活动,并通过电子邮件报告某些变化。 arpwatch使用pcap(3)在本地以太网接口上侦听arp数据包。

请注意,必须在第一次运行arpwatch之前创建一个空的arp.dat文件。

命令行选项

-d
标志用于启用调试。 这也禁止分配到后台并通过电子邮件发送报告。相反,他们被送到标准错误。

-f
标志用于设置以太网/IP地址数据库文件名。 默认为arp.dat文件。

-i
标志用于覆盖默认接口。

-n net[/width]
标志指定其他本地网络。 当在同一线路上运行多个网络时,这可以避免“bogon”警告。 如果未指定可选width,则使用该网络类(A,B,C…)的默认网络掩码。

-N
标志禁用报告任何“bogons”。

-r file
标志用于指定保存文件(可能由tcpdump(1)或pcapture(1)创建)以读取而不是从网络读取。 在这种情况下,arpwatch不会分叉。

在Debian中的选项

-s sendmail_path
标志用于指定sendmail程序的路径。任何带有选项-odi选项,然后读取来自标准输入的文本的程序都可以替换。这对于将报表重定向到日志文件而不是邮件非常有用。

-p
标志禁用混杂操作。无需接口处于混杂模式,ARP广播可通过集线器,同时节省了大量资源(这些资源将浪费在处理千兆字节的非广播流量上)。另一方面,设置混杂模式并不意味着获得与arpwatch有关的100%流量。因人而异。

-a
默认情况下,arpwatch报告与默认接口的第一个IP地址位于同一子网中的IP地址的“bogons”(除非给出-N)。如果指定了此选项,arpwatch将报告有关每个IP地址的“bogons”。

-m
选项用于指定将向其发送报告的电子邮件地址。默认情况下,报告将发送到本地计算机上的root用户。

-u username
标志指示arpwatch删除root权限,并将UID更改为username和GID更改为username的主组。出于安全原因,建议使用此方法,但用户名必须具有对默认目录的写访问权限。

-R
标志指示arpwatch在接口关闭后的几秒钟内重新启动。默认情况下,在这种情况下,arpwatch会打印错误消息并退出。如果使用-r或-u标志,则忽略此选项。

-Q
标志阻止arpwatch通过邮件发送报告。

-z ignorenet/ignoremask
标志用于设置要忽略的IP地址范围(例如DHCP范围)。网络掩码指定为“255.255.128.0”。

报告消息(REPORT MESSAGES)

以下是arpwatch(1)(和arpsnmp(1))生成的报告消息的快速列表:

new activity
此以太网/IP地址对已首次使用六个月或更长时间。

new station
之前没有看到以太网地址。

flip flop
以太网地址已从最近看到的地址变为第二个最近看到的地址。 (如果旧的或新的以太网地址是DECnet地址,且不到24小时,则报告的电子邮件版本将被禁止。)

changed ethernet address
主机切换到新的以太网地址。

在SYSLOG中的消息(SYSLOG MESSAGES)

以下是一些系统日志消息;请注意,报告的消息也是sysloged记录。

ethernet broadcast
主机的mac以太网地址是广播地址。

ip broadcast
主机的IP地址是广播地址。

bogon
源IP地址不是本地到本地子网。

ethernet broadcast
源mac或arp以太网地址都是全部或全部为零。

ethernet mismatch
源mac以太网地址与arp数据包内的地址不匹配。

reused old ethernet address
以太网地址已从最近看到的地址更改为第三个(或更高)最近看到的地址。 (这类似于flip flop)

suppressed DECnet flip flop
“flip flop”报告被抑制,因为两个地址中的一个是DECnet地址。

注意事项

尝试抑制DECnet触发器,但它们并不总是成功。

大多数错误消息都是使用syslog发布的。

相关文件

/var/lib/arpwatch
默认目录

arp.dat
以太网/IP地址数据库

/usr/share/arpwatch/ethercodes.dat
供应商以太网块列表

相关手册

arpsnmp(8), arp(8), bpf(4), tcpdump(1), pcapture(1), pcap(3)

参考文献

  • man 8 arpwatch, Version 2.1a15-2+b1

更新日志

  • 11/16/2018 创建文章