লিনাক্সে ইথারনেট ক্রিয়াকলাপ পর্যবেক্ষণ করার জন্য আরপওয়াচ সরঞ্জাম

আরপওয়াচ একটি ওপেন সোর্স কম্পিউটার সফটওয়্যার প্রোগ্রাম যা আপনাকে আপনার নেটওয়ার্কে ইথারনেট ট্র্যাফিক ক্রিয়াকলাপ (যেমন আইপিং এবং ম্যাক অ্যাড্রেসগুলি পরিবর্তন করা) নিরীক্ষণ করতে সহায়তা করে এবং ইথারনেট/আইপি অ্যাড্রেস পেয়ারিংয়ের একটি ডাটাবেস বজায় রাখে। এটি আইপি এবং ম্যাকের ঠিকানাগুলির টাইমস্ট্যাম্পগুলির সাথে যুক্ত জুড়ে দেওয়ার লক্ষণ তৈরি করে, যাতে নেটওয়ার্কে জুটিবদ্ধকরণের ক্রিয়াকলাপটি উপস্থিত হওয়ার সময় আপনি সাবধানতার সাথে দেখতে পারেন। কোনও জুড়ি যুক্ত করা বা পরিবর্তন করা হলে কোনও নেটওয়ার্ক প্রশাসকের কাছে ইমেলের মাধ্যমে প্রতিবেদনগুলি পাঠানোর বিকল্প এটিও রয়েছে।

এইআরপি স্পোফিং বা অপ্রত্যাশিত আইপি/ম্যাকের ঠিকানা পরিবর্তনগুলি সনাক্ত করতে এটিআরপি ক্রিয়াকলাপের উপরে নজর রাখা নেটওয়ার্ক প্রশাসকদের পক্ষে এই সরঞ্জামটি বিশেষভাবে কার্যকর।

লিনাক্সে আরপওয়াচ ইনস্টল করা

ডিফল্টরূপে, কোনও লিনাক্স বিতরণে আরপওয়াচ সরঞ্জাম ইনস্টল করা হয় না। আমাদের অবশ্যই এটি অবশ্যই আরএইচইল, সেন্টোস, ফেডোরায় ‘ইয়াম’ কমান্ড এবং উবুন্টুতে <স্প্যান ক্লাস = "আইএল_এডি" আইডি = "আইএল_এডি 4"> লিনাক্স মিন্ট এবং ডেবিয়ান ব্যবহার করে ম্যানুয়ালি ইনস্টল করতে হবে।

# yum install arpwatch
$ sudo apt-get install arpwatch

আসুন কয়েকটি গুরুত্বপূর্ণ আরপওয়াচ ফাইলগুলিতে ফোকাস করা যাক, ফাইলগুলি আপনার অপারেটিং সিস্টেমের উপর ভিত্তি করে কিছুটা পৃথক।

  1. /etc/rc.d/init.d/arpwatch: ডিমন শুরু বা বন্ধ করার জন্য আরপওয়াচ পরিষেবা
  2. /etc/sysconfig/arpwatch: এটি মূল কনফিগারেশন ফাইল…
  3. /usr/sbin/arpwatch: টার্মিনাল দিয়ে সরঞ্জাম শুরু এবং থামানোর জন্য বাইনারি কমান্ড
  4. /var/arpwatch/arp.dat: এটি মূল ডাটাবেস ফাইল যেখানে আইপি/ম্যাক ঠিকানা রেকর্ড করা হয়
  5. /var/লগ/বার্তা: লগ ফাইল, যেখানে আরপওয়াচ আইপি/ম্যাক-তে কোনও পরিবর্তন বা অস্বাভাবিক ক্রিয়াকলাপ লেখায়

আরপওয়াচ পরিষেবা শুরু করতে নিম্নলিখিত কমান্ডটি টাইপ করুন।

# chkconfig --level 35 arpwatch on
# /etc/init.d/arpwatch start
$ sudo chkconfig --level 35 arpwatch on
$ sudo /etc/init.d/arpwatch start

একটি নির্দিষ্ট ইন্টারফেস দেখতে, ‘-i’ এবং ডিভাইসের নাম দিয়ে নিম্নলিখিত কমান্ডটি টাইপ করুন।

# arpwatch -i eth0

সুতরাং, যখনই কোনও নতুন ম্যাক প্লাগ করা আছে বা কোনও নির্দিষ্ট আইপি নেটওয়ার্কে তার ম্যাক ঠিকানা পরিবর্তন করছে, আপনি ‘/ var/লগ/সিসলোগ’ বা ‘/ ভার/লগ/বার্তা’ ফাইলটিতে সিসলগ এন্ট্রি দেখতে পাবেন।

# tail -f /var/log/messages
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

উপরের আউটপুটটি নতুন ওয়ার্কস্টেশন প্রদর্শন করে। যদি কোনও পরিবর্তন করা হয়, আপনি নিম্নলিখিত আউটপুট পাবেন।

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

আপনি নিম্নলিখিত কমান্ডটি ব্যবহার করে বর্তমান এআরপি টেবিলটিও পরীক্ষা করতে পারেন।

# arp -a
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

আপনি যদি নিজের কাস্টম ইমেল আইডিতে সতর্কতা প্রেরণ করতে চান তবে মূল কনফিগারেশন ফাইল ‘/ etc/sysconfig/arpwatch’ খুলুন এবং নীচের চিত্রের মতো ইমেল যুক্ত করুন।

# -u <username> : defines with what user id arpwatch should run
# -e <email>    : the <email> where to send the reports
# -s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

এখানে কোনও ইমেল প্রতিবেদনের উদাহরণ রয়েছে, যখন একটি নতুন ম্যাক সংযুক্ত থাকে।

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2012 15:32:29

এখানে একটি ইমেল প্রতিবেদনের উদাহরণ রয়েছে, যখন কোনও আইপি তার ম্যাক ঠিকানা পরিবর্তন করে।

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2012 15:43:45
  previous timestamp: Monday, April 15, 2012 15:32:29 
               delta: 9 minutes

আপনি উপরে দেখতে পারেন, এটি রেকর্ড করে, হোস্টনেম, আইপি ঠিকানা, ম্যাক ঠিকানা, বিক্রেতার নাম এবং টাইমস্ট্যাম্পগুলি। আরও তথ্যের জন্য, টার্মিনালে ‘ম্যান আরপওয়াচ’ টিপে আরপওয়াচ ম্যান পৃষ্ঠাটি দেখুন।