Arp poisoning detection con Arpwatch

Arpwatch è un ottimo strumento per monitorare il traffico arp in una rete locale.
L'installazione tramite rpm è estremamente semplice e subito funzionale, basta lanciare il demone arpwatch (viene creato lo script di gestione /etc/rc.d/init.d/arpwatch) per tenere sotto controllo le modifiche dei pacchetti arp nel segmento di rete a cui si è collegati.

L'ideale è installare Arpwatch su un server di monitoring, che rimane sempre acceso, e che intercetta tutti i broadcast arp che arrivano all'interfaccia di rete principale.
Ogni aggiunta di nuovo host o modifica del mac address di un host già aggiunto (sintomo o del cambio della scheda di rete di un computer o del cambio dell'host associato ad un IP o, e questo è l'aspetto più importante, di attività di arp poisoning, tipiche di sniffer per ambienti switchati come ettercap) viene notificato via mail (di default a root) e su syslog.
Alla prima esecuzione è normale ricevere varie mail per tutti gli host in rete, successivamente verranno notificate solo le variazioni e su queste, se non sono previste, è sempre bene indagare.
Nelle notifiche vengono segnalati l'indirizzo IP coinvolto e il vecchio e il nuovo MAC address. Se si ricevono mail che contengono nel titolo le parole FLIP FLOP o Chenge ethernet address è sicuramente il caso di indagare: segnalano una alternanza fra il precedente MAC address associato ad un indirizzo e l'ultimo noto o la modifica del Mac address associato ad un dato IP e possono essere la prova di attività di arp poisoning in rete (o di diversi PC che si alternano in rete con lo stesso IP).

Nella directory /var/arpwatch l'rpm di arpwatch scrive vari file e script tra cui il file dove si registrano le coppie mac:ip (arp.dat) e un database con l'elenco dei vendor a cui sono stati associati i principali prefissi arp (ethercodes.dat, utile anche per altri scopi, ogniqualvolta si cerca di individuare di quale produttore è un dispositivo con un dato mac address).

Privacy Policy