linux命令Arpwatch 详解:监控局域网LAN上的 ARP流量

最新推荐文章于 2025-03-24 09:20:45 发布
最新推荐文章于 2025-03-24 09:20:45 发布
阅读量1.2k 收藏 11
点赞数 29
文章标签: linux 运维 centos ubuntu 局域网 arp LAN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_70208651/article/details/140725318
版权

目录

一、概述

1.1 定义和作用

1.2 ARP介绍

二、安装

2.1 在Debian或者Ubuntu中安装

2.2 在Fedora或者Centos中安装

三、使用

3.1启动服务

3.2基本语法

3.3帮助信息

四、示例 

4.1监听特定的网络端口

4.2监听特定接口并记录在文件中

4.3记录新增设备的ARP记录

4.4 记录修改IP或者MAC地址的ARP记录

五、总结

5.1 功能和特点

5.2 注意事项

一、概述

1.1 定义和作用

        Arpwatch是用一款于监控以太网活动的的命令,它能够监听局域网中ARP数据包;        

        Arpwatch 通过监听网络上的 ARP 请求和响应来工作,并记录下何时和哪个 IP 地址关联到了哪个 MAC 地址。这使得网络管理员能够追踪 IP 地址的变动,比如 IP 地址冲突、IP 地址欺骗(也称为 ARP 欺骗)或者未经授权的 DHCP 服务器活动等。

1.2 ARP介绍

        ARP是一个网络层协议,通常在局域网中将网络层的地址解析成链路层的地址以便数据链路层能够正确地发送数据包。在IPv4网络中,表现则是将IP地址解析成MAC地址。

二、安装

        Arpwatch这个命令在一般的Linux发行版中不会预装,需要按需自行下载安装。

2.1 在Debian或者Ubuntu中安装

        Debian或者Ubuntu中可以使用下面命令安装
       sudo apt-get install arpwatch

2.2 在Fedora或者Centos中安装

        Fedora或者Centos中使用下面命令安装

        sudo yum install arpwatch

三、使用

3.1启动服务

        arpwauch服务启动命令如下:

        systemctl start arpwatch

        启动后使用下面命令查看arpwatch是否启动:

        systemctl status arpwatch

        看到下图中active情况为active(running)则证明服务启动成功。

3.2基本语法

        基本语法为

        arpwatch [options]

       其中 options代表arpwatch的选项,选择即可。

3.3帮助信息

        使用arpwatch --help就可以显示帮助信息,不过不同于一般命令,它的帮助信息比较简略,下图就是其返回的结果:

        下面是这些选项的说明:

-dN

d是进入调试模式;N是禁止报告

-f datafile

设置arp数据包的记录文件,不填写的话默认为/var/log/messages

-i interface

指定网络接口,这个必须填

-n net

指定附加的本地网络,可以指定特定网段,例如192.168.1.0/24

-r file

从特定的文件去读取arp

记录,一般是tcpdump的抓包文件和wireshark的抓包文件

-u username

指定用户名和用户组

-e username

指定发送告警邮件的用户,如果不指定默认会发送到root账户

-s username

指定用户名为返回地址,如果不指定该用户就是root

四、示例 

4.1监听特定的网络端口

        使用如下命令:

        arpwatch -i 网络接口名
       就可以监听特定网络接口,下图是监听本地ens32网络接口的命令。

       

        执行该命令后arpwatch会一直监听该接口并将将结果输出到/var/log/messages的默认文件中。

4.2监听特定接口并记录在文件中

        使用命令

        arpwatch -i 网络接口名 -f 自己想要指定的文件中

        即可在该文件中查看arpwatch监测网络接口的记录。其中指定文件需要提前存在才可以顺利记录。

        下图是在/var/log/arpwatch.log中监测本地ens32的记录。

      

        如下图为记录的一部分:

4.3记录新增设备的ARP记录

        如果没有指定特定文件记录arpwatch监测日志,则需要在检测后通过

        tail -f /var/log/messages

        这个命令查看记录,如果查看到下图所示的new station记录,证明本地机器ARP缓存表新增IP和MAC地址的对应关系。

4.4 记录修改IP或者MAC地址的ARP记录

        通过如下命令:

        tail -f /var/log/messages

        这个命令查看arpwatch记录,查看到下图所示的change station证明某些IP和MAC地址对应关系改变了,和ARP缓存表中的对应关系不一致。

五、总结

5.1 功能和特点

        Arpwatch 的主要功能和特点:

        (1)监控 ARP 流量:自动检测 ARP 请求和响应,并跟踪哪些 IP 地址与哪些 MAC 地址相关联。

        (2)警报机制:当检测到 IP 地址或 MAC 地址的变化时,可以通过电子邮件、系统日志或其他方式发送警报。

        (3)日志记录:将 ARP 活动的详细记录保存在日志文件中,供日后分析。

        (4)防止 ARP 欺骗:通过监控和警报功能,帮助识别并防止 ARP 欺骗攻击。

        (5)网络审计:为网络审计提供有用的数据,帮助管理员了解网络中的设备是如何连接的。

        

5.2注意事项

        (1)arpwatch需要在root权限下才可以运行。

        (2)arpwatch需要先启动服务,命令才可以使用。

文章正下方可以看到我的联系方式:鼠标“点击” 下面的 “威迪斯特-就是video system 微信名片”字样,就会出现我的二维码,欢迎沟通探讨。

威迪斯特
关注
Linux arpwatch命令教程:如何监控网络中的ARP活动(附实例详解和注意事项)
u012964600的博客
04-28 1529
arpwatch是一个开源的计算机软件程序,它可以帮助你监控网络上的以太网流量活动,如IP和MAC地址的变化。它可以维护一个以太网/IP地址配对的数据库,并生成一个日志,记录观察到的IP和MAC地址信息配对以及时间戳。因此,你可以仔细观察何时在网络上出现了配对活动。它还有一个选项可以通过电子邮件向网络管理员发送报告,当添加或更改配对时。
ARP 攻击监控软件
11-06
防止ARP 攻击的监控软件,我使用了一下,感觉还不错。
Linux arpwatch 命令详解:一个用于监控以太网地址(MAC 地址)变化的工具
最新发布
yangchuang111213的博客
03-24 556
是一个用于监控以太网地址(MAC 地址)变化的工具。它主要用于记录 IP 和 MAC 地址的映射关系,并在检测到新的 MAC 地址或 MAC 地址变化时发送通知。这在检测 ARP 欺骗攻击、监控网络设备变化以及审计网络环境时非常有用。是一款轻量级但强大的网络监控工具,适用于运维和安全审计场景。运行时,默认会将监控到的 ARP 变化信息记录在。在大多数 Linux 发行版中,
ARP监测工具Arpwatch
weixin_34270606的博客
08-28 619
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux基础命令---arpwatch
wj78080458的专栏
02-21 439
arpwatch            arpwatch指令可以监听网络设备和ip地址的对应关系,将发现的信息发送到系统日志“/var/log/message”。       此命令的适用范围:RedHat、RHEL、UbuntuCentOS、SUSE、openSUSE、Fedora。   1、语法       arpwatch [选项]    2、选项列表 选项 ...
ARP监控工具ARPalert
weixin_34321753的博客
11-15 204
2019独角兽企业重金招聘Python工程师标准>>> ...
linux arpwatch 命令详解
weixin_34210740的博客
05-23 100
linux arpwatch 命令详解 功能说明:监听网络上ARP的记录。 语  法:arpwatch [-d][-f<记录文件>][-i<接口>][-r<记录文件>] 补充说明:ARP(Address Resolution Protocol)是用来解析IP与网络装置硬件地址的协议。arpwatch可监听区域网络中的ARP数据包并记录,同时将监...
Linux arpwatch命令用法详解
01-09
Linux arpwatch命令用于监听网络上ARP的记录。 ARP(Address Resolution Protocol)是用来解析IP与网络装置硬件地址的协议。 arpwatch可监听区域网络中的ARP数据包并记录,同时将监听到的变化通过E-mail来报告。 语法...
arpwatch命令 监听网络上ARP的记录
01-09
arpwatch命令用于监听网络上ARP的记录。 ARP(Address Resolution Protocol)是用来解析IP与网络装置硬件地址的协议。 arpwatch可监听区域网络中的ARP数据包并记录,同时将监听到的变化通过E-mail来报告。 语法格式:...
Linux常用服务详解:启动、监控与网络功能
"这篇内容主要介绍了Linux系统的常见服务功能,包括自动挂载、电源管理、网络监控、计划任务、文件系统自动装载、网络启动服务、定时任务、路由、Web服务、网络服务管理、新闻服务器以及键盘映射等。了解这些服务...
arpwatch:观察 ARP 请求回复
07-05
ARP(Address Resolution Protocol)是网络层中的一个关键协议,它用于将IP地址转换为物理(MAC)地址,以便数据可以在局域网LAN)中正确传输。`arpwatch` 是一个监控工具,专门用来监测 ARP 表的变化,帮助网络...
局域网流量管理工具
12-20
mrtg流量工量,实时监测局域网内站点(交换机,路由器)各接入口,中继口的流量.配有MRTG使用说明 
一款经典的ARP中间人Arpwatch
04-01
Arpwatch是LBNL网络研究组出品的一款经典的ARP中间人(man-in-the-middle)攻击检测器。它记录网路活动的系统日志,并将特定的变更通过Email报告给管理员。Arpwatch使用LibPcap来监听本地以太网接口ARP数据包。
Linux启动过程详解:rc启动脚本与守护进程
3. `arpwatch`:监控局域网的以太网/IP地址对,用于网络安全。 4. `autofs`:自动挂载管理器,与NFS和NIS相关。 5. `crond`:定时任务守护进程,执行cron计划的任务。 6. `named`:域名服务器,提供DNS服务。 7. `...
arpwatch
weixin_33860147的博客
08-07 126
arpwatch命令网络测试arpwatch命令用来监听网络上arp的记录。语法arpwatch(选项)选项-d:启动排错模式; -f<记录文件>:设置存储ARP记录的文件,预设为/var/arpwatch/arp.dat; -i<接口>:指定监听ARP的接口,预设的接口为eth0; -r<记录文件>:从指定的文件中读取ARP记录,而不是从...
局域网流量监控
最实用的Linux博客
10-11 4441
公司使用的一台华3路由器,因为没有流量监控,它确实 没这个功能,我查遍了 Comware V3 命令手册也没有这么一项遇到病毒爆发时很难准确定位出问题的机器,所以需要增加流量监控的功能,在局域网中的机器上添加上流量监控软件也可以,但只能监视到到此机器有流量的ip,因为现在都是switch了,哪个还用hub啊,这个就面临一个问题:如何能全面监控到网络中的机器?正确的做法:做端口镜
ARP监控工具ARPalert常用命令集合大学霸IT达人
大学霸__IT达人
07-21 342
ARP监控工具ARPalert常用命令集合大学霸IT达人 ARP协议用于IP转化为MAC地址。由于ARP协议的缺陷,导致被用于中间人攻击。ARPalert是一款专用的ARP监控工具。该工具可以对网络中的ARP数据包进行监听。根据用户指定的Mac地址黑白名单,进行识别,然后执行对应的脚本和模块。 ...
局域网网络流量监控_LINUX常见性能监控工具总结
weixin_39603132的博客
11-10 671
概述很多朋友私信问关于linux有哪些性能监控工具,所以整理了这方面内容,下面分享下给大家。工具功能概览整理了一个关于监控工具及其功能的表。下面对这些工具单独详细介绍。Linux性能监控工具top top命令会展示进程的实际活动。默认情况下,它会列出系统上所有cpu密集型任务,并且每5秒钟刷新一次列表。可以对PID(数值),生存时间(最新的排最前面),时间(累计时间)以及常驻内存使用率和时间(进程...
ARP欺骗-监控网络
qq_52333044的博客
11-30 399
可以发现windows11登录的网站输入的账号和密码是以明文的方式传输的,其他的也是可以查看他上网的具体做什么操作什么的。我们先才登录的账号是post请求刚好监控到了,然后我们打开查看具体的http数据包内容。当为1时,通过我们的网卡转发,使目标ip能够正常使用网络,但是我们可以监控这些流量。192.168.21.2 对应的是00-50-56-f5-d5-f0。可以看到现在的物理地址变成00-0c-29-19-0f-f9。可能不太稳定,属于有时候截取的不是完整的什么的。查看ip的物理地址是否改变。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值