3 581
contributi
Monitorare l'attività ARP con Arpwatch: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
m
Monitorare l'attività ARP con Arpwatch (visualizza wikitesto)
Versione delle 07:49, 28 lug 2019
, 28 lug 2019verificata per Stretch e Buster
mNessun oggetto della modifica |
m (verificata per Stretch e Buster) |
||
| Riga 1: | Riga 1: | ||
{{Versioni compatibili| | {{Versioni compatibili|Jessie|Stretch|Buster}} | ||
__TOC__ | __TOC__ | ||
==Monitorare l'attività di una rete LAN con Arpwatch: introduzione== | ==Monitorare l'attività di una rete LAN con Arpwatch: introduzione== | ||
| Riga 5: | Riga 5: | ||
Ogni cambiamento rispetto al database contenuto nel log, come ad esempio l'aggiunta di nuovo host o la modifica del MAC address di un host già aggiunto (sintomo o del cambio della scheda di rete di un computer o del cambio dell'host associato ad un IP o - e questo è l'aspetto più importante - di attività di ARP poisoning, tipiche di sniffer per ambienti switchati come <code>ettercap</code>) viene notificato via mail (di default a root) e su syslog. Alla prima esecuzione è normale ricevere varie mail per tutti gli host in rete, successivamente verranno notificate solo le variazioni e su queste, se non sono previste, è sempre bene indagare. Nelle notifiche vengono segnalati l'indirizzo IP coinvolto e il vecchio e il nuovo MAC address.<br/> | Ogni cambiamento rispetto al database contenuto nel log, come ad esempio l'aggiunta di nuovo host o la modifica del MAC address di un host già aggiunto (sintomo o del cambio della scheda di rete di un computer o del cambio dell'host associato ad un IP o - e questo è l'aspetto più importante - di attività di ARP poisoning, tipiche di sniffer per ambienti switchati come <code>ettercap</code>) viene notificato via mail (di default a root) e su syslog. Alla prima esecuzione è normale ricevere varie mail per tutti gli host in rete, successivamente verranno notificate solo le variazioni e su queste, se non sono previste, è sempre bene indagare. Nelle notifiche vengono segnalati l'indirizzo IP coinvolto e il vecchio e il nuovo MAC address.<br/> | ||
Per la cattura dei pacchetti broadcast Arpwatch si appoggia alla libreria <code>libpcap</code>. | Per la cattura dei pacchetti broadcast Arpwatch si appoggia alla libreria <code>libpcap</code>. | ||
==Installazione== | ==Installazione== | ||
Per installare <code>arpwatch</code> basta installare l'omonimo pacchetto. Per esempio con [[privilegi di amministrazione]]: | Per installare <code>arpwatch</code> basta installare l'omonimo pacchetto. Per esempio con [[privilegi di amministrazione]]: | ||
<pre> | <pre> | ||
# apt | # apt install arpwatch | ||
</pre> | </pre> | ||
| Riga 77: | Riga 78: | ||
:[[Utente:HAL 9000|HAL 9000]] | :[[Utente:HAL 9000|HAL 9000]] | ||
|Verificata_da= | |Verificata_da= | ||
:[[Utente:HAL 9000|HAL 9000]] | :[[Utente:HAL 9000|HAL 9000]] 09:49, 28 lug 2019 (CEST) | ||
|Numero_revisori=1 | |Numero_revisori=1 | ||
}} | }} | ||