Arpwatch - Pantau Aktivitas Ethernet di Linux

Arpwatch adalah program perangkat lunak komputer sumber terbuka yang membantu Anda memantau aktivitas lalu lintas Ethernet (seperti Mengubah IP dan Alamat MAC kuat>) di jaringan Anda dan memelihara database pasangan alamat ethernet/ip.

Ini menghasilkan log informasi pasangan IP dan alamat MAC yang diketahui bersama dengan stempel waktu, sehingga Anda dapat dengan hati-hati memperhatikan kapan aktivitas pasangan muncul di jaringan. Ia juga memiliki opsi untuk mengirim laporan melalui email ke administrator jaringan ketika pasangan ditambahkan atau diubah.

Alat Arpwatch sangat berguna bagi Administrator jaringan untuk mengawasi aktivitas ARP guna mendeteksi Spoofing ARP atau yang tidak terduga modifikasi alamat IP/MAC.

Menginstal Arpwatch di Linux

Alat Arpwatch tidak diinstal pada distribusi Linux, Anda perlu menggunakan manajer paket default untuk menginstalnya dari repositori sistem seperti yang ditunjukkan.

sudo apt install arpwatch             [On Debian, Ubuntu and Mint]
sudo yum install arpwatch             [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]
sudo emerge -a net-analyzer/arpwatch  [On Gentoo Linux]
sudo apk add arpwatch                 [On Alpine Linux]
sudo pacman -S arpwatch               [On Arch Linux]
sudo zypper install arpwatch          [On OpenSUSE]

Setelah diinstal, Anda dapat melihat file arpwatch yang paling penting, lokasi file sedikit berbeda berdasarkan sistem operasi Anda.

  • /usr/lib/systemd/system/arpwatch – Layanan arpwatch untuk memulai atau menghentikan daemon.
  • /etc/sysconfig/arpwatch – Ini adalah file konfigurasi arpwatch utama.
  • /usr/sbin/arpwatch – Perintah biner untuk memulai dan menghentikan alat melalui terminal.
  • /var/lib/arpwatch/arp.dat – Ini adalah file database utama tempat alamat IP/MAC dicatat.
  • /var/log/messages – File log, tempat arpwatch menulis perubahan atau aktivitas tidak biasa apa pun ke IP/MAC.

Sekarang jalankan perintah berikut untuk memulai layanan arpwatch.

systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch

Cara Menggunakan Perintah Arpwatch di Linux

Untuk melihat antarmuka tertentu, ketik perintah berikut dengan -i dan nama perangkat.

arpwatch -i eth0

Jadi, setiap kali MAC baru dipasang atau IP tertentu mengubah alamat MAC-nya di jaringan, Anda akan melihat entri syslog di '/var/log/syslog' atau '/ var/log/message' menggunakan perintah tail.

tail -f /var/log/messages
Contoh Keluaran
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

Output di atas menampilkan workstation baru. Jika ada perubahan yang dilakukan, Anda akan mendapatkan output berikut.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

Anda juga dapat memeriksa tabel ARP saat ini dengan menggunakan perintah berikut.

arp -a
Contoh Keluaran
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Jika Anda ingin mengirim peringatan ke id email khusus Anda, buka file konfigurasi utama '/etc/sysconfig/arpwatch' dan tambahkan email seperti yang ditunjukkan di bawah ini.

-u <username> : defines with what user id arpwatch should run
-e <email>    : the <email> where to send the reports
-s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Berikut adalah contoh laporan email, ketika MAC baru terhubung.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2022 15:32:29

Berikut adalah contoh laporan email, ketika IP mengubah alamat MAC miliknya.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2022 15:43:45
  previous timestamp: Monday, April 15, 2022 15:32:29 
               delta: 9 minutes

Seperti yang Anda lihat di atas, ini mencatat, Nama host, alamat IP, alamat MAC, Nama vendor, dan stempel waktu.

Untuk informasi lebih lanjut, lihat halaman manual arpwatch dengan menekan ‘man arpwatch’ di terminal.

man arpwatch