* Re: [Sysadmins] arpwatch
@ 2013-07-23 9:58 ` Mike Lykov
2013-07-24 7:36 ` [Sysadmins] arpwatch Mike Lykov
0 siblings, 2 replies; 12+ messages in thread
From: Mike Lykov @ 2013-07-23 9:58 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
> Подскажите, arpwatch в p6 рабочий?
> Что-то он у меня не функционирует...
> Единственный признак его активности - это сообщения "arpwatch[6406]: short (want 44)", которые постоянно сыпятся в сислог.
> Что означает эта таинственная фраза мне понять не удалось, сколько не искал в инете.
> Файл arp.dat как был нулевого размера, так и остался...
> Может быть я не умею готовить arpwatch или есть более другие пакеты для мониторинга маков, подскажите, пожалуйста?
>
> Спасибо.
>
> # rpm -qa | grep arpw
> arpwatch-2.1a15-alt7
не могу сказать про p6, просто хочу добавить о некоторых недостатках arpwatch, которые вдруг кто знает как обойти.
Они засоряют поступающую информацию (в лог или почту) и снижают ценность arpwatch как такового.
1. если включить отсылку писем (по умолчанию включена), то при первом старте придет сотня-другая отдельных писем (если в сети сотня устройств). Потом будет приходить 1 письмо на каждое событие, которые случаются часто.
Если отсылку писем выключить, то судить о каких-то событиях можно только разглядывая syslog. Не очень удобно.
Модуль logwatch, например, умеет только отсортировать сообщения syslog и убрать повторяющиеся, и прислать в таком виде. Не сильно лучше, но хотя бы одно письмо ;)
2. в сети кто-то постоянно шлет сообщения с адресом 0.0.0.0, как я почитал - в момент включения, например, когда адрес еще не получен, то шлется 0.0.0.0 is-at <macaddr только что включенного>.
В рез. arpwatch думает, что адрес 0.0.0.0 заняло другое устройство и шлет письмо
" changed ethernet address
hostname: <unknown>
ip address: 0.0.0.0
ethernet address: 54:4:a6:a4:da:b5
ethernet vendor: <unknown>
old ethernet address: 38:60:77:1a:b2:2e
old ethernet vendor: <unknown>"
как отключить - не нашел.
в логе получаются длинные списки
bogon 0.0.0.0 0:0:21:d9:92:b3
bogon 0.0.0.0 0:0:21:da:59:d4
bogon 0.0.0.0 0:11:11:ed:ef:db
bogon 0.0.0.0 0:13:46:b3:ff:fd
или
changed ethernet address 0.0.0.0 0:0:21:d9:92:b3 (0:1c:c0:fa:f0:c2)
changed ethernet address 0.0.0.0 0:0:21:da:59:d4 (0:27:e:31:90:92)
changed ethernet address 0.0.0.0 0:1c:c0:b:e5:f5 (0:1c:f0:63:7:cf)
...
3. Каждое появление какого-либо адреса - опять шлет на каждое. Например, кто-то получил адрес 169.254.83.58 (link-local) - шлет. Кто-то поставил себе 192.168.100.21 - шлет. Можно в параметре -n указать "еще одну подсеть", но как указать две и более я не понял.
В то время как меня интересуют в основном коллизии, т.е. когда кто-то пытается занять чужой уже работающий адрес.
Теоретически, можно написать некую надстройку, которая все это бы анализировала и слала сама только то что нужно, но я такой не нашел готовой.
--
Mike
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] HA: Re: HA: Re: arpwatch
@ 2013-07-23 13:15 ` Andrii Dobrovol`s`kii
0 siblings, 0 replies; 12+ messages in thread
From: Andrii Dobrovol`s`kii @ 2013-07-23 13:15 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
А бага заведена?
Или так и будем для каждой ошибки виртуалку поднимать?...
- --
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 525-7824 Department of Gas Electronics
Fax: (380-44) 525-2329 Institute of Physics of NASU
*********************************************************************
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.13 (GNU/Linux)
Comment: Using GnuPG with SeaMonkey - http://www.enigmail.net/
iF4EAREIAAYFAlHugfkACgkQpBPgR3404hOHRQD+PfF/lbhiSorrBA6RzZYnJLck
+e76knliHKacCID/wsQA/1XjBbd+VQcKDzXBvWARCGtj0MaaBezW0NOp0ZrY+iWY
=cAkE
-----END PGP SIGNATURE-----
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] HA: Re: HA: Re: HA: Re: arpwatch
@ 2013-07-23 15:36 ` Andrii Dobrovol`s`kii
0 siblings, 0 replies; 12+ messages in thread
From: Andrii Dobrovol`s`kii @ 2013-07-23 15:36 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Vladislav Y Gusev wrote:
> sysadmins-bounces@lists.altlinux.org написано 23.07.2013
> 18:01:47:
>
>> От: Yury Konovalov <speccyfan@gmail.com> Кому: "ALT Linux
>> sysadmins' discussion"
> <sysadmins@lists.altlinux.org>,
>> Дата: 23.07.2013 18:02 Тема: Re: [Sysadmins] HA: Re: HA: Re:
>> arpwatch Отправитель: sysadmins-bounces@lists.altlinux.org
>>
>> Помогло указание конкретного интерфейса, у себя сейчас
>> попробовал так:
>>
>> arpwatch -i any и нарвался на ошибку: Jul 23 16:57:02 sf
>> arpwatch[12052]: listening on any Jul 23 16:57:02 sf
>> arpwatch[12052]: short (want 44)
>
>> Потом запустил с указанием интерфейса arpwatch -i eth0
>
>> и все заработало:
>>
>
> Ну вот, сообща забороли проблему. Я тоже в конфиге оставил "-i
> eth1" Теперь понять бы как сделать, чтобы мониторилось
> несколько интерфейсов, раз уже "any" не подходит...
>
Отпишитесь в баге. Быстрей найдется решение.
- --
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 525-7824 Department of Gas Electronics
Fax: (380-44) 525-2329 Institute of Physics of NASU
*********************************************************************
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.13 (GNU/Linux)
Comment: Using GnuPG with SeaMonkey - http://www.enigmail.net/
iF4EAREIAAYFAlHuowEACgkQpBPgR3404hPnXAD6A5SuGGJEW6r/7MKErAndiylu
0Qrh399NE5s3bQus8Y0A+wWevgC6rTiikB09/F+brD0+NU3fHSiw24v/Dti/Y7k/
=j2Sa
-----END PGP SIGNATURE-----
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] arpwatch
2013-07-23 9:58 ` [Sysadmins] arpwatch Mike Lykov
@ 2013-07-24 7:36 ` Mike Lykov
2013-07-31 12:15 ` Anton Farygin
1 sibling, 1 reply; 12+ messages in thread
From: Mike Lykov @ 2013-07-24 7:36 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
> 2. в сети кто-то постоянно шлет сообщения с адресом 0.0.0.0, как я почитал - в момент включения, например, когда адрес еще не получен, то шлется 0.0.0.0 is-at <macaddr только что включенного>.
> В рез. arpwatch думает, что адрес 0.0.0.0 заняло другое устройство и шлет письмо
версия arpwatch из debian wheezy значительно пропатчена, введено много новых опций (кроме упоминавшейся -z), изменено поведение по умолчанию, изменен в сторону большей информативности формат писем, и т.п.
Например, пакеты от 0.0.0.0 эта версия игнорирует самостоятельно, без дополнительных настроек.
Засада только в том, что они автору из университета может не отправили, не сообщили, или он забил, но получается так что в debian собирают свою версию со своими патчами, а другие (alt, centos) собирают старую оригинальную ;)
--
Mike
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] arpwatch
2013-07-24 7:36 ` [Sysadmins] arpwatch Mike Lykov
@ 2013-07-31 12:15 ` Anton Farygin
2013-07-31 12:54 ` Mike Lykov
0 siblings, 1 reply; 12+ messages in thread
From: Anton Farygin @ 2013-07-31 12:15 UTC (permalink / raw)
To: sysadmins
24.07.2013 11:36, Mike Lykov пишет:
>
>> 2. в сети кто-то постоянно шлет сообщения с адресом 0.0.0.0, как я почитал - в момент включения, например, когда адрес еще не получен, то шлется 0.0.0.0 is-at <macaddr только что включенного>.
>> В рез. arpwatch думает, что адрес 0.0.0.0 заняло другое устройство и шлет письмо
>
> версия arpwatch из debian wheezy значительно пропатчена, введено много новых опций (кроме упоминавшейся -z), изменено поведение по умолчанию, изменен в сторону большей информативности формат писем, и т.п.
>
> Например, пакеты от 0.0.0.0 эта версия игнорирует самостоятельно, без дополнительных настроек.
>
> Засада только в том, что они автору из университета может не отправили, не сообщили, или он забил, но получается так что в debian собирают свою версию со своими патчами, а другие (alt, centos) собирают старую оригинальную ;)
>
Давайте обновим в альте, какие проблемы ?
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] arpwatch
2013-07-31 12:15 ` Anton Farygin
@ 2013-07-31 12:54 ` Mike Lykov
2013-07-31 12:59 ` Mykola S. Grechukh
` (3 more replies)
0 siblings, 4 replies; 12+ messages in thread
From: Mike Lykov @ 2013-07-31 12:54 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
>> Засада только в том, что они автору из университета может не отправили, не сообщили, или он забил, но получается так что в debian собирают свою версию со своими патчами, а другие (alt, centos) собирают старую оригинальную ;)
>
> Давайте обновим в альте, какие проблемы ?
да теоретически проблем -то нет, наверно, но вот бага #23661 -
Зарегистрирована: 2010-06-24 17:18
Исполнитель: Dmitry V. Levin
и с тех пор никакого отклика или движения (по этой баге, а вообще что-то перепаковывается).
кстати, судя по changelog, он каждую пересборку вручную обновляет ethercodes.dat, и он все равно устаревает постоянно.
я нашел (кто-то где-то упоминал) скрипт, который достаточно в пакете положить в cron.weekly/monthly, и не нужно будет заниматься такой ерундой, как
"2012-06-07 Updated ethercodes.dat.
2010-03-03 Update arpwatch/ethercodes.dat
2007-03-12 - Updated ethercodes.dat ..."
скрипт вот примерно как тут http://jhjessup.blogspot.ru/2010/04/update-mac-address-manufacturer-tables.html
(с адаптацией, если надо)
--
Mike
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] arpwatch
2013-07-31 12:54 ` Mike Lykov
@ 2013-07-31 12:59 ` Mykola S. Grechukh
2013-08-01 6:32 ` [Sysadmins] arpwatch Денис Смирнов
` (2 subsequent siblings)
3 siblings, 1 reply; 12+ messages in thread
From: Mykola S. Grechukh @ 2013-07-31 12:59 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Нельзя ставить в крон wget
http://standards.ieee.org/regauth/oui/oui.txt. Если бы там хотя бы
https с нормальным сертификатом был....
31 июля 2013 г., 15:54 пользователь Mike Lykov
<combr-desktop@yandex.ru> написал:
>
>>> Засада только в том, что они автору из университета может не отправили, не сообщили, или он забил, но получается так что в debian собирают свою версию со своими патчами, а другие (alt, centos) собирают старую оригинальную ;)
>>
>> Давайте обновим в альте, какие проблемы ?
>
> да теоретически проблем -то нет, наверно, но вот бага #23661 -
> Зарегистрирована: 2010-06-24 17:18
> Исполнитель: Dmitry V. Levin
>
> и с тех пор никакого отклика или движения (по этой баге, а вообще что-то перепаковывается).
>
> кстати, судя по changelog, он каждую пересборку вручную обновляет ethercodes.dat, и он все равно устаревает постоянно.
> я нашел (кто-то где-то упоминал) скрипт, который достаточно в пакете положить в cron.weekly/monthly, и не нужно будет заниматься такой ерундой, как
> "2012-06-07 Updated ethercodes.dat.
> 2010-03-03 Update arpwatch/ethercodes.dat
> 2007-03-12 - Updated ethercodes.dat ..."
>
> скрипт вот примерно как тут http://jhjessup.blogspot.ru/2010/04/update-mac-address-manufacturer-tables.html
>
> (с адаптацией, если надо)
>
> --
> Mike
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
--
Mykola Grechukh
CTO, Satelliz-Ukraine
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] arpwatch
2013-07-31 12:54 ` Mike Lykov
2013-07-31 12:59 ` Mykola S. Grechukh
@ 2013-08-01 6:32 ` Денис Смирнов
2013-08-01 9:54 ` Viacheslav Dubrovskyi
2013-08-12 12:37 ` Anton Farygin
3 siblings, 0 replies; 12+ messages in thread
From: Денис Смирнов @ 2013-08-01 6:32 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On Wed, Jul 31, 2013 at 04:54:43PM +0400, Mike Lykov wrote:
> кстати, судя по changelog, он каждую пересборку вручную обновляет ethercodes.dat, и он все равно устаревает постоянно.
> я нашел (кто-то где-то упоминал) скрипт, который достаточно в пакете положить в cron.weekly/monthly, и не нужно будет заниматься такой ерундой, как
> "2012-06-07 Updated ethercodes.dat.
> 2010-03-03 Update arpwatch/ethercodes.dat
> 2007-03-12 - Updated ethercodes.dat ..."
> скрипт вот примерно как тут http://jhjessup.blogspot.ru/2010/04/update-mac-address-manufacturer-tables.html
> (с адаптацией, если надо)
Можно этот файл во-первых упаковать в отдельный пакет, во-вторых отдать
этот пакет на поддержку repocop, а уже одновременно упаковать с ним
скрипт в cron.weekly.
--
С уважением, Денис
http://mithraen.ru/
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] arpwatch
2013-07-31 12:54 ` Mike Lykov
2013-07-31 12:59 ` Mykola S. Grechukh
2013-08-01 6:32 ` [Sysadmins] arpwatch Денис Смирнов
@ 2013-08-01 9:54 ` Viacheslav Dubrovskyi
2013-08-12 12:37 ` Anton Farygin
3 siblings, 0 replies; 12+ messages in thread
From: Viacheslav Dubrovskyi @ 2013-08-01 9:54 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
31.07.2013 15:54, Mike Lykov пишет:
>>>
> кстати, судя по changelog, он каждую пересборку вручную обновляет ethercodes.dat, и он все равно устаревает постоянно.
> я нашел (кто-то где-то упоминал) скрипт, который достаточно в пакете положить в cron.weekly/monthly, и не нужно будет заниматься такой ерундой, как
> "2012-06-07 Updated ethercodes.dat.
> 2010-03-03 Update arpwatch/ethercodes.dat
> 2007-03-12 - Updated ethercodes.dat ..."
3 раза за 5 лет...
IMHO надежнее руками и у нас нет cron.yearly :)
--
WBR,
Viacheslav Dubrovskyi
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] HA: Re: arpwatch
@ 2013-08-01 10:35 ` Mykola S. Grechukh
0 siblings, 1 reply; 12+ messages in thread
From: Mykola S. Grechukh @ 2013-08-01 10:35 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Потому что завтра в Вашей локальной сети dns или гейт перекинет на
http-сервер злоумышленника, который выдаст файл специального вида.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] HA: Re: HA: Re: arpwatch
@ 2013-08-01 10:46 ` Mykola S. Grechukh
0 siblings, 0 replies; 12+ messages in thread
From: Mykola S. Grechukh @ 2013-08-01 10:46 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Всё возможно. И информацию фейковую напихать могут - почему и лучше бы
просматривать глазами дифы.
1 августа 2013 г., 13:44 пользователь Vladislav Y Gusev
<VGusev@smpbank.ru> написал:
> sysadmins-bounces@lists.altlinux.org написано 01.08.2013 14:35:23:
>
>
>> От: "Mykola S. Grechukh" <gns@altlinux.org>
>
>> Кому: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org>,
>> Дата: 01.08.2013 14:35
>> Тема: Re: [Sysadmins] HA: Re: arpwatch
>> Отправитель: sysadmins-bounces@lists.altlinux.org
>>
>> Потому что завтра в Вашей локальной сети dns или гейт перекинет на
>> http-сервер злоумышленника, который выдаст файл специального вида.
>
> Такой, что сам запустится при скачивании? Это возможно?
> А если сделать два задания, одно для скачивания с пониженными правами, а
> второе для обновления?
>
> --
> С уважением,
> Гусев Владислав Юрьевич
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
--
Mykola Grechukh
CTO, Satelliz-Ukraine
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] arpwatch
2013-07-31 12:54 ` Mike Lykov
` (2 preceding siblings ...)
2013-08-01 9:54 ` Viacheslav Dubrovskyi
@ 2013-08-12 12:37 ` Anton Farygin
3 siblings, 0 replies; 12+ messages in thread
From: Anton Farygin @ 2013-08-12 12:37 UTC (permalink / raw)
To: sysadmins
31.07.2013 16:54, Mike Lykov пишет:
>>> >> Засада только в том, что они автору из университета может не отправили, не сообщили, или он забил, но получается так что в debian собирают свою версию со своими патчами, а другие (alt, centos) собирают старую оригинальную;)
>> >
>> >Давайте обновим в альте, какие проблемы ?
> да теоретически проблем -то нет, наверно, но вот бага #23661 -
> Зарегистрирована: 2010-06-24 17:18
> Исполнитель: Dmitry V. Levin
в #29217 приложил патч, исправляющий проблему с дефолтным поведением с
-i any
у #23661 оттуда-же ноги ростут.
^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2013-08-12 12:37 UTC | newest]
Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2013-07-23 9:58 ` [Sysadmins] arpwatch Mike Lykov
2013-07-23 13:15 ` [Sysadmins] HA: Re: HA: arpwatch Andrii Dobrovol`s`kii
2013-07-23 15:36 ` [Sysadmins] HA: " Andrii Dobrovol`s`kii
2013-07-24 7:36 ` [Sysadmins] arpwatch Mike Lykov
2013-07-31 12:15 ` Anton Farygin
2013-07-31 12:54 ` Mike Lykov
2013-07-31 12:59 ` Mykola S. Grechukh
2013-08-01 10:35 ` [Sysadmins] HA: arpwatch Mykola S. Grechukh
2013-08-01 10:46 ` [Sysadmins] HA: " Mykola S. Grechukh
2013-08-01 6:32 ` [Sysadmins] arpwatch Денис Смирнов
2013-08-01 9:54 ` Viacheslav Dubrovskyi
2013-08-12 12:37 ` Anton Farygin
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git