Monitorare l'attività ARP con Arpwatch: differenze tra le versioni

Ogni cambiamento rispetto al database contenuto nel log, come ad esempio l'aggiunta di nuovo host o la modifica del MAC address di un host già aggiunto (sintomo o del cambio della scheda di rete di un computer o del cambio dell'host associato ad un IP o - e questo è l'aspetto più importante - di attività di ARP poisoning, tipiche di sniffer per ambienti switchati come <code>ettercap</code>) viene notificato via mail (di default a root) e su syslog. Alla prima esecuzione è normale ricevere varie mail per tutti gli host in rete, successivamente verranno notificate solo le variazioni e su queste, se non sono previste, è sempre bene indagare. Nelle notifiche vengono segnalati l'indirizzo IP coinvolto e il vecchio e il nuovo MAC address.<br/>

Per la cattura dei pacchetti broadcast Arpwatch si appoggia alla libreria <code>libpcap</code>.

Per installare Arpwatch basta usare apt:

<pre>