Linux arpwatch 命令介绍
Linux arpwatch 命令介绍arpwatch 是一个监听网络上 ARP 记录的工具。它可以监听网络设备和 IP 地址的对应关系,并将发现的信息发送到系统日志文件 /var/log/messages。
安装部署:
root@uk8s:~# arpwatch
找不到命令 “arpwatch”,但可以通过以下软件包安装它:
apt install arpwatch
root@uk8s:~# apt install arpwatch
正在读取软件包列表... 完成
正在分析软件包的依赖关系树... 完成
正在读取状态信息... 完成
将会同时安装下列软件:
ieee-data
下列【新】软件包将被安装:
arpwatch ieee-data
升级了 0 个软件包,新安装了 2 个软件包,要卸载 0 个软件包,有 6 个软件包未被升级。
需要下载 1,633 kB 的归档。
解压缩后会消耗 10.5 MB 的额外空间。
您希望继续执行吗? [Y/n] y
获取:1 http://mirrors.aliyun.com/ubuntu focal/universe amd64 arpwatch amd64 2.1a15-7 [44.2 kB]
获取:2 http://mirrors.aliyun.com/ubuntu focal/main amd64 ieee-data all 20180805.1 [1,589 kB]
已下载 1,633 kB,耗时 7秒 (228 kB/s)
正在选中未选择的软件包 arpwatch。
(正在读取数据库 ... 系统当前共安装有 125017 个文件和目录。)
准备解压 .../arpwatch_2.1a15-7_amd64.deb ...
正在解压 arpwatch (2.1a15-7) ...
正在选中未选择的软件包 ieee-data。
准备解压 .../ieee-data_20180805.1_all.deb ...
正在解压 ieee-data (20180805.1) ...
正在设置 arpwatch (2.1a15-7) ...
Created symlink /etc/systemd/system/multi-user.target.wants/arpwatch.service → /lib/systemd/system/arpwatch.service.
正在设置 ieee-data (20180805.1) ...
正在处理用于 man-db (2.10.2-1) 的触发器 ...
Scanning processes...
Scanning linux images...
Running kernel seems to be up-to-date.
No services need to be restarted.
No containers need to be restarted.
No user sessions are running outdated binaries.
No VM guests are running outdated hypervisor (qemu) binaries on this host.
常用选项-d:启动调试模式,将调试信息输出到终端。-f <file>:设置存储 ARP 记录的文件,默认为 /var/arpwatch/arp.dat。在使用该命令之前,需要先创建一个空的 arp.dat 文件。-i <interface>:指定要监听 ARP 的网络接口,默认为 eth0。
-n:说明本地网络。-N:禁止报告。-r <file>:从指定的文件中读取 ARP 记录。-e <email>:指定发送报告邮件的目标用户,默认为 root。-s <email>:指定发送报告邮件的源用户,默认为 root。
案例使用:
root@uk8s:~# tail -n 5 /var/log/messages
Aug 12 09:22:48 uk8s root: [euid=root]:root pts/0 2024-08-05 15:14 (192.168.10.1):[/root]2024-08-12 09:22:41 tail -n 5 /var/log/messages
Aug 12 09:22:55 uk8s root: [euid=root]:root pts/1 2024-08-07 17:30 (192.168.10.1):[/var/lib/etcd/member]2024-08-12 09:22:55 ifconfig
Aug 12 09:23:09 uk8s kernel: [586112.391266] device ens33 entered promiscuous mode
Aug 12 09:23:09 uk8s root: [euid=root]:root pts/0 2024-08-05 15:14 (192.168.10.1):[/root]2024-08-12 09:23:09 arpwatch -i ens33
Aug 12 09:23:09 uk8s kernel: [586112.419439] device ens33 left promiscuous mode
root@uk8s:~# grep arpwatch /var/log/messages
Aug 12 09:22:38 uk8s arpwatch: Could not get IPv4 address on eth0 for bogon detection
Aug 12 09:22:38 uk8s root: [euid=root]:root pts/0 2024-08-05 15:14 (192.168.10.1):[/root]2024-08-12 09:22:38 arpwatch -i eth0
Aug 12 09:23:09 uk8s root: [euid=root]:root pts/0 2024-08-05 15:14 (192.168.10.1):[/root]2024-08-12 09:23:09 arpwatch -i ens33
Aug 12 09:24:23 uk8s root: [euid=root]:root pts/0 2024-08-05 15:14 (192.168.10.1):[/root]2024-08-12 09:24:23 arpwatch -i ens33
Aug 12 09:26:48 uk8s root: [euid=root]:root pts/0 2024-08-05 15:14 (192.168.10.1):[/root]2024-08-12 09:26:48 grep arpwatch /var/log/messages
Aug 12 09:27:40 uk8s root: [euid=root]:root pts/0 2024-08-05 15:14 (192.168.10.1):[/root]2024-08-12 09:27:40 grep arpwatch /var/log/messages
