Linux基礎命令—arpwatch

arpwatch
      arpwatch指令可以監聽網路裝置和ip地址的對應關係，將發現的資訊傳送到系統日誌“/var/log/message”。
      此命令的適用範圍：RedHat、RHEL、Ubuntu、CentOS、SUSE、openSUSE、Fedora。

1、語法
      arpwatch  [選項]

2、選項列表
      -d
            開啟除錯模式，除錯資訊傳送到終端
      -f file
            設定arp記錄的儲存檔案，預設arp.dat。開始使用這個指令之前，必須建立一個空arp.dat
      -i interface
            指定網路介面
      -n
            說明本地網路
      -N
            -N標誌禁止報告
      -r
            從指定的檔案中讀取arp記錄
      -e
            指定傳送mail的目標使用者，預設是root
      -s
            指定傳送mail的源使用者，預設root

3、報告資訊
      new activity
            這對ethernet/ip地址對第一次被使用了六個月或更長時間。
      new station
            此ip地址以前從未使用過此乙太網地址。
      flip flop
            乙太網地址已從最近看到的地址改為第二最近看到的地址。(如果舊的或新的乙太網地址是DECnet地址，並且不到24小時，則報告的電子郵件版本將被取消。)
      changed ethernet address
            主機切換到新的乙太網地址。

4、系統日誌資訊
      ethernet broadcast
            主機的mac乙太網地址是廣播地址。
      ip broadcast
            主機的IP地址是廣播地址。
      bogon
            源ip地址不是本地子網的本地地址。
      ethernet broadcast
            源mac或arp乙太網地址均為1或全部為零。
      ethernet mismatch
            源Mac乙太網地址與ARP資料包中的地址不匹配。
      reused old ethernet address
            乙太網地址已從最近看到的地址更改為第三(或更大)最近看得最少的地址。(這類似於觸發器。)
      suppressed DECnet flip flop
            由於兩個地址之一是DECnet地址，“flip  flop”報告被禁止。

5、例項
監聽arp資訊
      [root@localhost ~]# arpwatch -i eth0                       //監聽網路卡eht0

      [root@localhost ~]# tail -n 3 /var/log/messages          //檢視最近的日誌資訊
      Sep 30 08:29:59 localhost arpwatch: listening on eth0
      Sep 30 08:30:01 localhost arpwatch: new station 192.168.1.1 c8:41:29:f4:4a:20
      Sep 30 08:30:12 localhost arpwatch: new station 192.168.1.9 8:0:27:14:33:57
      You have new mail in /var/spool/mail/root

Linux基礎命令—arpwatch

相關文章