Arpwatch surveille les machines de votre LAN
Date: 3/06/2008 | Catégories: Open-source,Reseau | Tags: arp,arpwatch
C'est dans un des commentaires du billet sur les outils réseau que je suis (re)tombé sur le logiciel Arpwatch. Ce dernier permet, en écoutant les requêtes ARP transitant sur le réseau de découvrir les machines qui y sont connectées.
Très utile sur un réseau LAN filaire, il l'ai encore plus si votre réseau comporte des spots Wifi. En effet, il peut être utile, dans certain cas, de ne pas protéger son réseau Wifi avec des processus d'authentification. Dans ce cas précis, il est parfois difficile de connaître les machines connectées à un instant t.
Installation de Arpwatch
C'est dans les prots de Ubuntu, donc c'est simple à installer:
# sudo apt-get install arpwatch
Comment fonctionne t-il ?
Par défaut, Arpwatch écoute sur l'interface réseau principale et envoie un mail (à l'utilisateur root mais cela est paramètrable avec l'option -m)à chaque fois qu'une nouvelle machine (identifiée par son adresse MAC) se branche sur le réseau. Un fichier (nommé arp.dat) est créé en parallèle avec une copie des mails envoyés.
Une utilisation standard peut donc être:
# touch arp.dat
> seulement à faire la première fois pour créer le fichier# sudo arpwatch
Personnellement je préfère désactiver l'option d'envoi des mails (option -Q). La commande est alors la suivante:
# sudo arpwatch -Q
L'output d'une telle commande est la suivante:
From: arpwatch (Arpwatch pc-nico-ubuntu)
To: root
Subject: new station eth0
hostname: <unknown>
ip address: 192.168.1.100
interface: eth0
ethernet address: 0:2:3f:65:65:c5
ethernet vendor: Compal Electronics, Inc.
timestamp: Tuesday, June 3, 2008 17:41:30 +0200
From: arpwatch (Arpwatch pc-nico-ubuntu)
To: root
Subject: new station (xaviertelemed.local) eth0
hostname: xaviertelemed.local
ip address: 192.168.1.78
interface: eth0
ethernet address: 0:1b:38:80:5d:6e
ethernet vendor: <unknown>
timestamp: Tuesday, June 3, 2008 17:53:56 +0200
Bref un utilitaire sympa pour surveiller son réseau.