使用arpwatch和arping来排查ARP攻击

zyp

ARPWATCH监听广播域内的ARP通信，记录每台设备的IP与MAC的对应关系，当发生变化时，发邮件通知。
ARP攻击的常见迹象就是发现网关的MAC地址变生变化。
+ M( P5 }/ @7 M当然,ARPWATCH不是万能的。因为一般情况下，你的安装arpwatch的服务器不可能总是能接收到整个网络的arp事件。想要完全监听，不得不在交换上做端口镜象。
另外，对路由器的攻击，因为攻击包是发给路由器的，假如在适当的位置没有端口镜象的支持，也是收不到任何信息的，所以也发现不了攻击。
% }0 e2 {. e8 \* z####################
# ARP攻击监控、处理
####################
#系统环境：CentOS 5.2
#
# 安装 ARPWACTH
1 S/ ]# q9 B9 U4 Eyum -y install arpwatch
# 设备成自动启动
, c3 ?' a5 e) Q/ Kchkconfig arpwatch on
# 启动arpwatch服务
3 Y0 D3 q; d- [serivce arpwatch start 、/etc/init.d/arpwatch start
# 设置arpwatch
5 M' Y/ \" E5 p/ w/ M- mvi /etc/sysconfig/arpwatch
# -u : defines with what user id arpwatch should run
# -e : the where to send the reports
1 j, A5 r; B$ q' K/ ?" |# -s : the -address
* y1 y: Z2 x/ y/ z4 mOPTIONS=”-u pcap -e  -s ‘root (Arpwatch)’”
9 s  C: z2 J$ N% t7 e* o4 D8 H使用arping查询得到mac地址
# 遍历VLAN内的MAC地址
. z& s) j- q. [0 ]8 h#!/bin/bash
, y' @/ h6 n# O! g8 }& Rfor i in `seq 254` ; do
  G6 N; C$ I! P2 N6 W- B( Sarping -c2 210.51.44.$i | awk ‘/Unicast reply from/{print $4,$5}’ | sed ’s/\[//' | sed 's/\]//’
; _5 t$ y9 e, ddone
报警样例：
hostname:
ip address: 210.51.44.1
* v  I( p8 M7 L! A8 Iethernet address: 0:0:24:5b:bb:ac
ethernet vendor: CONNECT AS
5 |) d0 q0 l& [old ethernet address: 0:b:bf:29:d0:56
: [0 A* T: L( u- G6 Uold ethernet vendor: Cisco Systems
  ^9 S( y- d- N+ V6 h) Ltimestamp: Sunday, December 7, 2008 14:46:34 +0800
previous timestamp: Sunday, December 7, 2008 14:46:34 +0800
' N* [* W# ~3 [( fdelta: 0 seconds
: H" S/ q5 e  ^1 y4 k5 T其中，知道网关正确的MAC是0:b:bf:29:d0:56,所以0:0:24:5b:bb:ac就是攻击者的MAC地址（有一点需要注意，MAC地址也是可以改变的）。使用arping遍历同网段的IP，得到MAC列表，再grep出这个MAC的IP地址即可。可以把这个MAC地址表保存起来，下次使用。当然，要保证这个文件是正确的，所以还是需要保持更新。