Arpwatch: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Kmoorits (talk | contribs)
No edit summary
Kmoorits (talk | contribs)
 
(24 intermediate revisions by the same user not shown)
Line 1: Line 1:
==Autor==
==Autor==
Kristo Moorits A21
Kristo Moorits A21
<br>
22.05.2015


==Sissejuhatus [http://www.linuxcommand.org/man_pages/arpwatch8.html]==
==Sissejuhatus [http://www.linuxcommand.org/man_pages/arpwatch8.html]==


Arpwatch on linuxi käsurea käsk, millega on võimalik jälitada ip/ethernet aadresside sidumeid. Arpwatch kasutab pcap(3)(packet capture library) selleks, et kuulata pealt arpi pakette lokaalses ethernet liideses.
Arpwatch on arvuti tarkvara, millega saab monitoorida aadressi lahendus protokollide liiklust arvutivõrgus. Arpwatch genereerib logi jälgitavad seosed koos IP aadresside, MAC aadresside ja ajatemplitega kuna seosed tekkisid võrku. Samuti on sellega võimalik saada syslogi teateid või saata e-mail administraatorile, kui seosed muutusid või lisandusid. Võrguadministraatorid monitoorivad ARP tegevusi, et avastada [http://en.wikipedia.org/wiki/ARP_spoofing ARP Spoofingut]. Arpwatch tuleb installeerida juurkasutajaõigustes.
 
==Käsu formaat [https://www.hscripts.com/tutorials/linux-services/arpwatch.html]==
 
arpwatch [võtmed] [faili nimi] [liides]


du [kaust1/kaust2]
==Arpwatchi installeerimine Ubuntu Linuxis [http://www.cyberciti.biz/faq/how-to-detect-arp-spoofing-under-unix-or-linux/]==
 
du [kaust1/fail1]
 
== Võtmete tähendused [http://www.computerhope.com/unix/udu.htm] ==
 
*-a väljastab kettakasutuse kõikide failide kohta, koos kaustadega
*-h väljastab kettakasutuse inimesele loetavas formaadis (baitides, kilobatides, megabaitides jne)
*-c väljastab kettakasutuse kogu summa
*-H arvutab kettakasutuse symlinkidele, mis on käsureal
*-L arvutab kettakasutuse kõikidele linkidele
*-s väljastab tulemuse kus on praeguse kataloogi kettakasutuse kogusumma, mitte iga faili kohta eraldi*
*-d instrueerib käsku du kirjeldama tema sisekaustade nimistut. Võti toimib selles kaustas, kus parasjagu ollaks. -d 0 väljastab lihtsalt kettakasutuse summa ilma kaustade nimedeta. -d 1 väljastab tulemuseks alamkataloogide nimed ning nende kettakasutuse. -d 2 väljastab tulemuseks alamkataloogide nimed, nende ketta kasutuse ja alamkataloogide alamkataloogide nimed ja kettakasutuse.
 
==Näiteid[http://www.tecmint.com/check-linux-disk-usage-of-files-and-directories/] [http://en.wikipedia.org/wiki/Du_%28Unix%29]==
Käsk väljastab du -a kettakasutuse kõikide failide ja kataloogide kohta 
<br>Sisestades käsureale "du -a"
<pre>
<pre>
du -a
sudo apt-get install arpwatch
</pre>
Saame väljundiks alloleva tulemuse.
<pre>
4      /home/tecmint/.bash_logout
12      /home/tecmint/downloads/uploadprogress-1.0.3.1.tgz
24      /home/tecmint/downloads/Phpfiles-org.tar.bz2
40      /home/tecmint/downloads
12      /home/tecmint/uploadprogress-1.0.3.1.tgz
4      /home/tecmint/.mozilla/plugins
4      /home/tecmint/.mozilla/extensions
12      /home/tecmint/.mozilla
4      /home/tecmint/.bashrc
689108  /home/tecmint/Ubuntu-12.10/ubuntu-12.10-server-i386.iso
689112  /home/tecmint/Ubuntu-12.10
689360  /home/tecmint
</pre>
Käsk du -sk väljastab kataloogide (-s) kettakasutuse summa kilobaitides (-k)
<br>Sisestades käsureale "du -sk *"
<pre>
du -sk *
</pre>
saame väljundiks alloleva tulemuse.
<pre>
152304  directoryOne
1856548 directoryTwo
</pre>
</pre>


Käsk du -sh *  väljastab human readable ("inimesele loetavas formaadis") (-h : Bait, Kilobait, Megabait jne...) kataloogide kettakasutuse summa (-s)
==Käsu formaat [https://www.hscripts.com/tutorials/linux-services/arpwatch.html]==
<br>Sisestades käsureale "du -sh *"
<pre>
du -sh *
</pre>
saame väljundiks alloleva tulemuse.
<pre>
149M directoryOne
1.8G directoryTwo
</pre>


Võti du -ah väljastab kõik failid ja kataloogid (-a) "inimesele loetavas formaadis" (-h)
arpwatch [võtmed] [faili nimi] [liides]
<br>Sisestades käsureale "du -ah"
<pre>
du -ah
</pre>
saame väljundiks alloleva tulemuse.
<pre>
4.0K    /home/tecmint/.bash_logout
12K    /home/tecmint/downloads/uploadprogress-1.0.3.1.tgz
24K    /home/tecmint/downloads/Phpfiles-org.tar.bz2
40K    /home/tecmint/downloads
12K    /home/tecmint/uploadprogress-1.0.3.1.tgz
4.0K    /home/tecmint/.mozilla/plugins
4.0K    /home/tecmint/.mozilla/extensions
12K    /home/tecmint/.mozilla
4.0K    /home/tecmint/.bashrc
673M    /home/tecmint/Ubuntu-12.10/ubuntu-12.10-server-i386.iso
673M    /home/tecmint/Ubuntu-12.10
674M    /home/tecmint
</pre>


Käsk du -sk .[!.]* *| sort -n väljastab kettakasutuse kõikide alamkataloogide ja nii nähtavate kui peidetud failide kohta, mis on praeguses kataoogis ning sorteerib need suuruse järgi.
== Võtmete tähendused [https://www.hscripts.com/tutorials/linux-services/arpwatch.html] ==
<br>Sisestades käsureale "du -sk .[!.]* *| sort -n"
<pre>
du -sk .[!.]* *| sort -n
</pre>
Saame väljundiks alloleva tulemuse.


<pre>
*-d võtit kasutatakse kui tahetakse lubada vigade eemaldamist. Samuti keelab see hargnemise tagataustale ja veateadete emailidele saatmise. Selle asemel saadetakse need standard errorvoogu.
4      .bashrc
*-f võtit kasutatakse ethernet/ip aadressi andmebaasi failinime lisamiseks. Vaikimisi on selleks arp.dat
4      .gvfs
*-i võtit kasutatakse vaikeliidese üle kirjutamiseks.
4      .profile
*-n võti täpsustab täiendavalt lokaalvõrke. See aitab ära hoida "bogon"(Bogon on mitteametlik nimi IP pakettidele, mis on avalikus võrgus ja väidavad, et selline ip aadress on juba võetud, kuid ei ole veel eraldatud või delegeeritud IANA või RIR-i poolt) hoiatusi, kus ühte kaablit pidi käib mitme võrgu liiklus.
4      .viminfo
*-N võti eemaldab "bogon" hoiatuste teated.
8      .bash_history
*-r võtit kasutatakse, kui tahetakse täpsustada kust salvestatud faili loetakse, selle asemel, et seda võrgust loetaks. Sellisel juhul arpwatch ei hargne.
8      .cache
*-u võtme abil ütleb arpwatch lahti juurkasutaja õigustest ja vahetab kasutaja ID kasutaja nimks ja grupi ID selle seab primaar grupiks selle kasutajanime. Seda kasutatakse turvalisuse eesmärkidel
12    .dbus
*-e võtit kasutatakse, kui arpwatch saadab e-maili pigem kasutajanimele kui vaikekasutajale(juurkasutajale). Lisades ühe "-" märgi kasutajanimele, keelatakse e-mailide saatmine, kuid syslogi abil logimine käib nii nagu tavaliselt.(See tuleb kasuks algsel käivitamisel, kui kogutakse andmeid ilma, et süsteem uute seadmete poolt uue infoga üle ei koormataks.
36    .synaptic
*-s võtme kasutamisel saadetakse e-maili näol sõnum, koos kasutaja nimega nagu oleks see aadress, mis tuleb tagasi.
40    .config
*-z võtit kasutatakse ip aadresside vahemiku andmiseks selleks, et eirata näiteks DHCP vahemiku.
144    .local
*-Q võti keelab arpwatchil veateadete saatmise e-maili kaudu.
</pre>
 
Näide sissejuhatuses mainitud võtme -d kohta.
<br>Sisestades käsureale "du -d 0"  
<pre>
du -d 0
 
</pre>
Saame väljundiks alloleva tulemuse.
 
<pre>
268  .
</pre>
 
<br>Sisestades käsureale "du -d 1"  
<pre>
du -d 1
 
</pre>
Saame väljundiks alloleva tulemuse.
<pre>
du -d 1
12    ./.dbus
4      ./.gvfs
36    ./.synaptic
40    ./.config
8      ./.cache
144    ./.local
268    .
</pre>


==Kokkuvõte ==
==Kokkuvõte ==
Käsk du on funktsioon, mis lihtsustab suuresti administraatorite tööd, kuna saame teada, kui palju miski fail või kataloog meie kettal ruumi võtab. Saame kohendada võtmete abil süntaksit täpselt nii nagu meil seda parasjagu vaja on. Näiteks kui on teada, et failid/kataloogid, mida uurime on vaid megabaitide suurused, pole meil mõtet väljastada tulemust gigabaitides, vaid hoopis nende enda suurusjärgus.
Arpwatch on programm, mille installeerimine on väga lihtne ja mille abil saame parema ülevaate meie interneti liiklusest. Tänu sellele programmile on võimalik avastada ka mitmeid ründeid.


==Kasutatud kirjandus==
==Kasutatud kirjandus==
*[1]http://www.tecmint.com/check-linux-disk-usage-of-files-and-directories/
*[1]http://www.linuxcommand.org/man_pages/arpwatch8.html
*[2]http://linux.about.com/library/cmd/blcmdl1_du.htm
*[2]http://www.cyberciti.biz/faq/how-to-detect-arp-spoofing-under-unix-or-linux/
*[3]http://www.linfo.org/du.html
*[3]http://en.wikipedia.org/wiki/ARP_spoofing
*[4]http://www.computerhope.com/unix/udu.htm
*[4]https://www.hscripts.com/tutorials/linux-services/arpwatch.html
*[5]http://www.tecmint.com/check-linux-disk-usage-of-files-and-directories/
*[6]http://en.wikipedia.org/wiki/Du_%28Unix%29

Latest revision as of 09:38, 25 May 2015

Autor

Kristo Moorits A21
22.05.2015


Sissejuhatus [1]

Arpwatch on arvuti tarkvara, millega saab monitoorida aadressi lahendus protokollide liiklust arvutivõrgus. Arpwatch genereerib logi jälgitavad seosed koos IP aadresside, MAC aadresside ja ajatemplitega kuna seosed tekkisid võrku. Samuti on sellega võimalik saada syslogi teateid või saata e-mail administraatorile, kui seosed muutusid või lisandusid. Võrguadministraatorid monitoorivad ARP tegevusi, et avastada ARP Spoofingut. Arpwatch tuleb installeerida juurkasutajaõigustes.

Arpwatchi installeerimine Ubuntu Linuxis [2]

sudo apt-get install arpwatch

Käsu formaat [3]

arpwatch [võtmed] [faili nimi] [liides]

Võtmete tähendused [4]

  • -d võtit kasutatakse kui tahetakse lubada vigade eemaldamist. Samuti keelab see hargnemise tagataustale ja veateadete emailidele saatmise. Selle asemel saadetakse need standard errorvoogu.
  • -f võtit kasutatakse ethernet/ip aadressi andmebaasi failinime lisamiseks. Vaikimisi on selleks arp.dat
  • -i võtit kasutatakse vaikeliidese üle kirjutamiseks.
  • -n võti täpsustab täiendavalt lokaalvõrke. See aitab ära hoida "bogon"(Bogon on mitteametlik nimi IP pakettidele, mis on avalikus võrgus ja väidavad, et selline ip aadress on juba võetud, kuid ei ole veel eraldatud või delegeeritud IANA või RIR-i poolt) hoiatusi, kus ühte kaablit pidi käib mitme võrgu liiklus.
  • -N võti eemaldab "bogon" hoiatuste teated.
  • -r võtit kasutatakse, kui tahetakse täpsustada kust salvestatud faili loetakse, selle asemel, et seda võrgust loetaks. Sellisel juhul arpwatch ei hargne.
  • -u võtme abil ütleb arpwatch lahti juurkasutaja õigustest ja vahetab kasutaja ID kasutaja nimks ja grupi ID selle seab primaar grupiks selle kasutajanime. Seda kasutatakse turvalisuse eesmärkidel
  • -e võtit kasutatakse, kui arpwatch saadab e-maili pigem kasutajanimele kui vaikekasutajale(juurkasutajale). Lisades ühe "-" märgi kasutajanimele, keelatakse e-mailide saatmine, kuid syslogi abil logimine käib nii nagu tavaliselt.(See tuleb kasuks algsel käivitamisel, kui kogutakse andmeid ilma, et süsteem uute seadmete poolt uue infoga üle ei koormataks.
  • -s võtme kasutamisel saadetakse e-maili näol sõnum, koos kasutaja nimega nagu oleks see aadress, mis tuleb tagasi.
  • -z võtit kasutatakse ip aadresside vahemiku andmiseks selleks, et eirata näiteks DHCP vahemiku.
  • -Q võti keelab arpwatchil veateadete saatmise e-maili kaudu.

Kokkuvõte

Arpwatch on programm, mille installeerimine on väga lihtne ja mille abil saame parema ülevaate meie interneti liiklusest. Tänu sellele programmile on võimalik avastada ka mitmeid ründeid.

Kasutatud kirjandus