[Sysadmins] arpwatch

Mike Lykov combr-desktop на yandex.ru
Вт Июл 23 13:58:23 MSK 2013 

> Подскажите, arpwatch в p6 рабочий?
> Что-то он у меня не функционирует...
> Единственный признак его активности - это сообщения "arpwatch[6406]: short (want 44)", которые постоянно сыпятся в сислог.
> Что означает эта таинственная фраза мне понять не удалось, сколько не искал в инете.
> Файл arp.dat как был нулевого размера, так и остался...
> Может быть я не умею готовить arpwatch или есть более другие пакеты для мониторинга маков, подскажите, пожалуйста?
>
> Спасибо.
>
> # rpm -qa | grep arpw
> arpwatch-2.1a15-alt7

не могу сказать про p6, просто хочу добавить о некоторых недостатках arpwatch, которые вдруг кто знает как обойти.
Они засоряют  поступающую информацию (в лог или почту) и снижают ценность arpwatch как такового.

1. если включить отсылку писем (по умолчанию включена), то при первом старте придет сотня-другая отдельных писем (если в сети сотня устройств). Потом будет приходить 1 письмо на каждое событие, которые случаются часто.
Если отсылку писем выключить, то судить о каких-то событиях можно только разглядывая syslog. Не очень удобно.
Модуль logwatch, например, умеет только отсортировать сообщения syslog и убрать повторяющиеся, и прислать в таком виде. Не сильно лучше, но хотя бы одно письмо ;)

2. в сети кто-то постоянно шлет сообщения с адресом 0.0.0.0, как я почитал - в момент включения, например, когда адрес еще не получен, то шлется 0.0.0.0 is-at <macaddr только что включенного>.
В рез. arpwatch думает, что адрес 0.0.0.0 заняло другое устройство и шлет письмо 
" changed ethernet address
hostname: <unknown>
          ip address: 0.0.0.0
    ethernet address: 54:4:a6:a4:da:b5
     ethernet vendor: <unknown>
old ethernet address: 38:60:77:1a:b2:2e
 old ethernet vendor: <unknown>"

как отключить - не нашел.
в логе получаются длинные списки 
 bogon 0.0.0.0 0:0:21:d9:92:b3
 bogon 0.0.0.0 0:0:21:da:59:d4
 bogon 0.0.0.0 0:11:11:ed:ef:db
 bogon 0.0.0.0 0:13:46:b3:ff:fd
или 
 changed ethernet address 0.0.0.0 0:0:21:d9:92:b3 (0:1c:c0:fa:f0:c2)
 changed ethernet address 0.0.0.0 0:0:21:da:59:d4 (0:27:e:31:90:92)
 changed ethernet address 0.0.0.0 0:1c:c0:b:e5:f5 (0:1c:f0:63:7:cf)
...

3. Каждое появление какого-либо адреса - опять шлет на каждое. Например, кто-то получил адрес 169.254.83.58 (link-local) - шлет. Кто-то поставил себе 192.168.100.21 - шлет. Можно в параметре -n указать "еще одну подсеть", но как указать две и более я не понял.
В то время как меня интересуют в основном коллизии, т.е. когда кто-то пытается занять чужой уже работающий адрес.

Теоретически, можно написать некую надстройку, которая все это бы анализировала и слала сама только то что нужно, но я такой не нашел готовой.

-- 
Mike

Подробная информация о списке рассылки Sysadmins