Arpwatch

Eyl 06, 2013

Arpwatch yerel ağda bulunan ARP (Address Resolution Protocol - Adres Çözümleme Protokolü), faaliyetlerinin takip edilmesinde kullanılan açık kaynak kodlu bir programdır. Arpwatch sayesinde ağa yeni eklenen ve ağda IP (Internet Protocol - İnternet Protokolü) MAC (Media Access Control - Ortam Erişim Kontrol) adreslerini değiştiren cihazlar kontrol edilebilir. Arpwatch programı gelen ARP bilgilerini veri tabanına kaydeder ve bu kayıtları karşılaştırarak mesajlar oluşturur. Oluşturulan mesajlar isteğe bağlı olarak belirtilen kullanıcıya e-posta yoluyla bildirilebilir ve günlüklere (loglara) kaydedilir. Bu program yerel ağa yapılan saldırıların tespit edilmesinde de önemli rol oynar.

Yapılandırma:

/etc/sysconfig/arpwatch:
Arpwatch programının çalışma parametrelerinin tutulduğu dosya, aşağıda belirtilen parametreler ile düzenlenir.

arpwatch [ -dN ] [ -f dosyaismi ] [ -i arayüz ] [ -n ağ[/alt ağ maskesi] ] [ -r dosya ]
[ -u kullanıcıadı ][ -e kullanıcıadı ] [-s kullanıcıadı ]

Arpwatch parametrelerinin açıklamaları  
 -d   Hata ayıklama seçeneğini aktif eder. 
 -N   Bogon ağların hatalarının raporlanmasını engeller. 
 -i   Hangi ara yüzü dinleyeceğini belirtir. 
 -u   Uygulamayı başka bir kullanıcı adına çalıştırmayı sağlar. 
 -n   Dinlenecek aygıtı belirtir. 
 -r

 Önceden oluşmuş bir ARP veri tabanını arpwatch yazılımı ile okumak için kullanılır. 

 -p   Rastgele kipte çalışmasını engeller. 
 -Q 

 Uygulamanın e-posta ile rapor göndermesini engeller. 

 -e   Arpwatch e-posta iletilerini belirtilen kullanıcıya gönderir. 
 -s 

 Belirtilen kullanıcı adı ile e-posta iletilerini gönderir. 

 -f   MAC/IP adres veri tabanının tutulduğu dosyayı belirler. 

Çalışma parametreleri dosyaya yazıldıktan sonra aşağıdaki komut ile program çalıştırılır.
# service arpwatch start

Bilgisayar her açıldığında programın otomatik olarak çalışması için aşağıdaki komut çalıştırılır.
# chkconfig arpwatch on

Günlükler (Loglar): 

/var/log/messages: ARP kayıtları günlüklerinin tutulduğu dosyadır.
# tail –f /var/log/messages komutu ile son tutulan kayıtlar kontrol edilir.

Dosyalar:

/var/lib/arpwatch/ethercodes.dat:
Ethernet sağlayıcılarının listesinin tutulduğu dosyadır.

/var/lib/arpwatch/arp.dat: MAC ve IP adresi veritabanının tutulduğu dosyadır. Bu dosyanın örneği aşağıdadır:



Arpwatch mesajlarının açıklamaları:

  • MAC broadcast (MAC yayımlamak)

Makinenin ağa MAC Adresini broadcast yaydığını belirtir. Kaynak MAC adresinin FF:FF:FF:FF:FF:FF olduğunu bildirir.

  • IP broadcast (IP yayımlamak)

Makinenin IP adresini ağa broadcast yaydığını belirtir.

  • Bogon IP (Yerel ağa ait olmayan IP)

Kaynak IP adresinin yerel ağına ait olmayan IP’ler bogon IP olarak tanımlanır. Yerel ağa ait olmayan bir IP’nin yerel ağa bağlanması sırasında bu hata mesajı görülür.

İç ağ: 192.168.1.0/24
Bogon ağ: 192.168.2.0/24       

  • MAC mismatch (MAC uyuşmazlığı)

Kaynak MAC adresinin adres veri tabanı ile uyuşmadığını bildirir.

  • reused old MAC address (Eski MAC adresinin yeniden kullanılması)

Kaynak makinenin daha önce görüldüğü bir MAC adresini tekrar aldığını gösterir. (flip-flop mesajları oluşturur.)

  • new activity (yeni aktivite)

Bu MAC/IP adresinin 6 aydan bu yana ağa ilk defa bağlandığını belirtir.

  • new station (yeni MAC adresi)

MAC adresinin ağa ilk defa bağlandığını belirtir.

  • flip flop (IP çakışması)

Kaynak makinenin MAC adresi değiştiğinde ya da bir MAC adresini birden fazla IP kullandığında oluşur. İlk olarak ethernet adresinin değiştiği hatasını gösterir.


  • changed MAC address (MAC adresinin değişmesi)

Makine (host) yeni bir MAC adresi ile ağa dahil olmuştur.