Überwachen Sie den Linux-Ethernet-Verkehr

Die Verwendung verschiedener Geräte im Netzwerk ist in Linux-Umgebungen und in jedem anderen System etwas Natürliches, da die Verwendung des lokalen Netzwerks die Kommunikation zwischen ihnen ermöglicht, um Dateien und andere Elemente gemeinsam zu nutzen. Als Administrator ist es wichtig, sich der Änderungen bewusst zu sein, die möglicherweise entstehen mit der Ausrüstung und um dies zu kontrollieren, haben wir das Dienstprogramm Arpwatch. Es ist interessant, immer Überwachungstools in Linux zu haben, um zu wissen, was in unserem System passiert.

 

Arpwatch ist für die Überwachung der IP-Adresspaarungen der lokalen Computer zuständig, wobei die Aktivität gespeichert wird und Berichte über die Änderungen entweder auf dem Bildschirm oder bei Bedarf per E-Mail erstellt werden lokale Ethernet-Schnittstelle.

 

 

TechnoWikis erklärt, wie Sie dieses Dienstprogramm verwenden, um Änderungen an Computern im lokalen Netzwerk zu validieren.

 

Um auf dem Laufenden zu bleiben, denken Sie daran, unseren YouTube-Kanal zu abonnieren!

ABONNIEREN SIE AUF YOUTUBE

 

So überwachen Sie den Linux-Ethernet-Verkehr

 

Schritt 1

Wir werden das Dienstprogramm installieren, dazu öffnen wir das Terminal und installieren Arpwatch:

 sudo apt installiere arpwatch 

1-Monitor-Traffic-Ethernet-Linux.png

 

Schritt 2

Wir geben das Passwort ein und bestätigen den Vorgang mit dem Buchstaben S:

 

2-Monitor-Traffic-Ethernet-Linux.png

 

Schritt 3

Wir validieren den verwendeten Adapter mit dem Befehl. In diesem Fall sehen wir, dass es sich um den enp0s3-Adapter handelt.

 IP zu 

3-Monitor-Traffic-Ethernet-Linux.png

 

Schritt 4

Wir aktivieren Arpwatch beim Booten mit der folgenden Syntax:

 sudo systemctl enable arpwatch@adapter 

4-Monitor-Traffic-Ethernet-Linux.png

 

Schritt 5

Wir starten den Arpwatch-Dienst:

 sudo systemctl start arpwatch@adapter 

5-Monitor-Traffic-Ethernet-Linux.png

 

Schritt 6

Bestätigen Sie den Status von Arpwatch:

 sudo systemctl status arpwatch 

6-Monitor-Traffic-Ethernet-Linux.png

 

Schritt 7

Um zu sehen, was mit dem Netzwerk passiert, führen wir Folgendes aus:

 tail -f /var/log/syslog 
Schritt 8

Dort sehen wir die Zeile „arpwatch“ und beim ersten Mal das neue Gerät mit der Aufschrift „neue Station“ gefolgt von IP und MAC.

 

Wir sehen in der ersten Zeile die Legende, die IP-Adresse, die MAC-Adresse und den zugehörigen Adapter.

 

7-Monitor-Traffic-Ethernet-Linux.png

 

Schritt 9

Wieder führen wir in einem Zeitrahmen aus:

 tail -f /var/log/syslog 
Schritt 10

Jetzt haben alle Änderungen in den Teams die Legende “geändert”:

 

 

 

 

8-Monitor-Traffic-Ethernet-Linux.png

 

Schritt 11

Wir führen “arp -a” aus, um lokale Details anzuzeigen, wie zum Beispiel:

 

  • Tor
  • MAC-Adresse der Netzwerkkarte
  • lokalen Netzwerkadapter

 

 

 

 

 

9-Monitor-Traffic-Ethernet-Linux.png

 

Schritt 12

Falls Sie E-Mail-Benachrichtigungen über den Status der Geräte im Netzwerk erhalten möchten, müssen Sie SMTP auf dem Gerät aktivieren und dann die Arpwatch-Konfigurationsdatei mit dem folgenden Befehl erstellen:

 sudo nano /etc/arpwatch.conf 
Schritt 13

Dort geben wir folgende Syntax ein:

 Adapter -a -n subnet/24 ​​​​-m mail 

10-Monitor-Traffic-Ethernet-Linux.png

 

Zusätzliche Arpwatch-Parameter
Einige zusätzliche Parameter, die mit Arpwatch verwendet werden können, sind:

 

  • -d: aktiviert das Debuggen
  • -f: wird verwendet, um den Dateinamen der IP/Ethernet-Adressdatenbank zuzuweisen
  • -i: ermöglicht das Überschreiben der Standardschnittstelle
  • -n: gibt zusätzliche lokale Netzwerke an
  • -r : Ermöglicht die Verwendung einer gespeicherten Datei
  • -u: Mit diesem Befehl entfernt arpwatch Root-Rechte und ändert die Benutzer-ID in Benutzername und die Gruppen-ID in die der Hauptgruppe von Benutzername

 

 

Wir sehen, wie es mit Arpwatch nützlich ist, jede Änderung im lokalen Ethernet-Netzwerk zu kennen und eine genaue Kontrolle zu haben.