Surveiller le trafic Ethernet Linux
Tutoriel vidéo pour apprendre à surveiller le trafic Ethernet Linux et ainsi pouvoir surveiller complètement le trafic Ethernet Linux.
L’utilisation de divers appareils sur le réseau est quelque chose de naturel dans les environnements Linux et dans tout autre système puisque l’utilisation du réseau local permet la communication entre eux pour partager des fichiers et d’autres éléments, en tant qu’administrateurs, il est essentiel d’être conscient des changements qui peuvent surviennent avec l’équipement et pour aider à contrôler cela, nous avons l’utilitaire Arpwatch.
Arpwatch est chargé de surveiller les appariements d’adresses IP des ordinateurs locaux, avec cela l’activité est stockée et génère des rapports sur les changements soit à l’écran soit par e-mail si nécessaire, Arpwatch utilise pcap pour écouter les paquets arp sur le local interface Ethernet.
Comment surveiller le trafic Ethernet Linux
Nous allons installer l’utilitaire, pour cela nous ouvrons le terminal et installons Arpwatch :
sudo apt installer arpwatch
Nous entrons le mot de passe et confirmons le processus en utilisant la lettre S:
Nous validons l’adaptateur utilisé avec la commande. Dans ce cas, nous voyons qu’il s’agit de l’adaptateur enp0s3.
adresse IP à
Nous activons Arpwatch au démarrage en utilisant la syntaxe suivante :
sudo systemctl activer arpwatch@adapter
Nous démarrons le service Arpwatch :
sudo systemctl démarrer arpwatch@adapter
Confirmez l’état d’Arpwatch :
sudo systemctl état arpwatch
Pour voir ce qui se passe avec le réseau, nous exécutons :
queue -f /var/log/syslog
On y voit la ligne « arpwatch » et à la première occasion le nouvel équipement avec la légende « nouvelle station » suivi de l’IP et du MAC.
On voit en première ligne la légende, l’adresse IP, l’adresse MAC et l’adaptateur associé.
Encore une fois, nous exécutons dans un laps de temps :
queue -f /var/log/syslog
Désormais, tout changement dans les équipes aura la légende « modifiée »:
Nous exécutons « arp -a » pour voir les détails locaux tels que :
- Passerelle
- Adresse MAC de la carte réseau
- adaptateur réseau local
Si vous souhaitez recevoir une notification par e-mail sur l’état des appareils sur le réseau, vous devez activer SMTP sur l’appareil, puis créer le fichier de configuration Arpwatch avec la commande :
sudo nano /etc/arpwatch.conf
Là, nous entrons dans la syntaxe suivante :
Adaptateur -a -n subnet/24 -m mail
Certains paramètres supplémentaires à utiliser avec Arpwatch sont :
- -d : active le débogage
- -f : est utilisé pour attribuer le nom de fichier de la base de données d’adresses IP/Ethernet
- -i : permet de remplacer l’interface par défaut
- -n : spécifie des réseaux locaux supplémentaires
- -r : permet d’utiliser un fichier stocké
- -u : avec cette commande, arpwatch supprime les privilèges root et change l’identifiant de l’utilisateur en nom d’utilisateur et l’identifiant de groupe en celui du groupe principal de nom d’utilisateur
Nous voyons comment avec Arpwatch il est utile de connaître tout changement dans le réseau Ethernet local et d’avoir un contrôle précis.
No comments yet.