Lệnh arpwatch trong Linux

Giới thiệu

Trong lab này, bạn sẽ học cách sử dụng lệnh arpwatch trong Linux để giám sát hoạt động mạng và phát hiện các vấn đề bảo mật tiềm ẩn. arpwatch là một công cụ giám sát mạng theo dõi các thay đổi trong các cặp địa chỉ Ethernet/IP, điều này có thể hữu ích cho việc xác định các cuộc tấn công ARP spoofing và giám sát hành vi mạng. Bạn sẽ bắt đầu bằng cách hiểu mục đích và chức năng của arpwatch, sau đó cài đặt nó trên hệ thống Ubuntu 22.04 của bạn và cuối cùng học cách sử dụng nó để giám sát hoạt động mạng. Lab này bao gồm các bước cần thiết để bắt đầu với arpwatch và cung cấp các ví dụ thực tế về cách sử dụng nó.

Hiểu Mục đích và Chức năng của arpwatch

Trong bước này, bạn sẽ tìm hiểu về mục đích và chức năng của lệnh arpwatch trong Linux. arpwatch là một công cụ giám sát mạng theo dõi các thay đổi trong các cặp địa chỉ Ethernet/IP trên mạng.

arpwatch giám sát lưu lượng mạng và ghi lại bất kỳ thay đổi nào trong bảng ARP (Address Resolution Protocol), bảng này ánh xạ các địa chỉ IP tới các địa chỉ MAC. Thông tin này có thể hữu ích cho việc phát hiện các vấn đề bảo mật mạng, chẳng hạn như các cuộc tấn công ARP spoofing và để giám sát hoạt động mạng.

Hãy bắt đầu bằng cách hiểu cách sử dụng cơ bản của arpwatch:

sudo apt-get update
sudo apt-get install -y arpwatch

Các lệnh trên sẽ cài đặt gói arpwatch trên hệ thống Ubuntu 22.04 của bạn.

Sau khi cài đặt, bạn có thể khởi động dịch vụ arpwatch:

sudo arpwatch

Điều này sẽ khởi động daemon arpwatch và bắt đầu giám sát mạng của bạn để tìm bất kỳ thay đổi nào của bảng ARP.

Ví dụ đầu ra:

arpwatch: listening on eth0

Lệnh arpwatch có một số tùy chọn và cấu hình cho phép bạn tùy chỉnh hành vi của nó, chẳng hạn như chỉ định giao diện mạng để giám sát, thiết lập thông báo email và định cấu hình vị trí tệp nhật ký.

Để tìm hiểu thêm về các tùy chọn có sẵn, bạn có thể kiểm tra trang man của arpwatch:

man arpwatch

Điều này sẽ cung cấp thông tin chi tiết về lệnh arpwatch và các tùy chọn khác nhau của nó.

Cài đặt arpwatch trên Ubuntu 22.04

Trong bước này, bạn sẽ học cách cài đặt gói arpwatch trên hệ thống Ubuntu 22.04 của bạn.

Đầu tiên, hãy cập nhật chỉ mục gói:

sudo apt-get update

Tiếp theo, cài đặt gói arpwatch:

sudo apt update
sudo apt-get install -y arpwatch

Điều này sẽ cài đặt gói arpwatch và các phụ thuộc của nó trên hệ thống của bạn.

Sau khi cài đặt hoàn tất, bạn có thể khởi động dịch vụ arpwatch:

sudo arpwatch

Điều này sẽ khởi động daemon arpwatch và bắt đầu giám sát mạng của bạn để tìm các thay đổi của bảng ARP.

Ví dụ đầu ra:

arpwatch: listening on eth0

Bạn cũng có thể kiểm tra trạng thái của dịch vụ arpwatch:

sudo systemctl status arpwatch

Điều này sẽ hiển thị trạng thái hiện tại của dịch vụ arpwatch.

Giám sát Hoạt động Mạng với arpwatch

Trong bước cuối cùng này, bạn sẽ học cách sử dụng lệnh arpwatch để giám sát hoạt động mạng trên hệ thống Ubuntu 22.04 của bạn.

Đầu tiên, hãy khởi động dịch vụ arpwatch nếu nó chưa chạy:

sudo arpwatch

Điều này sẽ khởi động daemon arpwatch và bắt đầu giám sát mạng của bạn.

Theo mặc định, arpwatch ghi lại đầu ra của nó vào tệp /var/log/arpwatch.log. Bạn có thể xem tệp nhật ký bằng lệnh sau:

sudo tail -n 20 /var/log/arpwatch.log

Điều này sẽ hiển thị 20 mục nhập cuối cùng trong tệp nhật ký arpwatch.

Ví dụ đầu ra:

Aug 23 14:32:01 myhost arpwatch[12345]: new station 192.168.1.100 0:11:22:33:44:55
Aug 23 14:33:15 myhost arpwatch[12345]: changed ethernet address 192.168.1.101 0:66:77:88:99:aa -> 0:aa:bb:cc:dd:ee

Các mục nhập nhật ký cho biết khi một trạm mới được phát hiện trên mạng (ánh xạ địa chỉ IP-to-MAC mới) hoặc khi một ánh xạ hiện có thay đổi.

Bạn cũng có thể định cấu hình arpwatch để gửi thông báo email khi nó phát hiện các thay đổi trong bảng ARP. Để thực hiện việc này, bạn cần định cấu hình cài đặt email trong tệp cấu hình arpwatch nằm tại /etc/arpwatch.conf.

sudo nano /etc/arpwatch.conf

Trong tệp cấu hình, hãy bỏ ghi chú các dòng ARPWATCH_EMAIL và ARPWATCH_SUBJECT và cập nhật chúng với cài đặt email của bạn.

Sau khi thực hiện các thay đổi, hãy lưu tệp và khởi động lại dịch vụ arpwatch:

sudo systemctl restart arpwatch

Bây giờ, arpwatch sẽ gửi thông báo email bất cứ khi nào nó phát hiện các thay đổi trong bảng ARP.

Tóm tắt

Trong lab này, bạn đã tìm hiểu về mục đích và chức năng của lệnh arpwatch trong Linux. arpwatch là một công cụ giám sát mạng theo dõi các thay đổi trong các cặp địa chỉ Ethernet/IP trên mạng, điều này có thể hữu ích cho việc phát hiện các vấn đề bảo mật mạng và giám sát hoạt động mạng. Sau đó, bạn đã học cách cài đặt gói arpwatch trên hệ thống Ubuntu 22.04 của mình và khởi động dịch vụ arpwatch để bắt đầu giám sát mạng của bạn.

Tác giả

Tôi là một chuyên gia System Administrator (SysAdmin) & DevOps Engineer với hơn 10 năm kinh nghiệm trong lĩnh vực quản trị hệ thống, bảo mật mạng, và tối ưu hạ tầng Cloud. Tôi đã từng làm việc tại các tập đoàn công nghệ lớn và tham gia triển khai nhiều hệ thống High Availability (HA), Load Balancing, Database, container và CI/CD giúp doanh nghiệp hoạt động ổn định với hiệu suất cao. Bài này tôi viết với thời gian đọc khoảng 7 phút. Tôi có viết phiên bản Tiếng Anh.