From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-3.6 required=5.0 tests=BAYES_00,RCVD_IN_DNSWL_LOW, SPF_PASS autolearn=ham version=3.2.5 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail; t=1374573504; bh=jQjduWc2ahfOqVm8xp/Thr36AZm3Qc5av+A2CtHelFo=; h=From:To:In-Reply-To:References:Subject:Date; b=L4K9oYnsm8GzNR9AI+g29UKJcJT/EnwVodSAx/EEyT46wZTPUjB8QmHczhpZgBvqG fY05cJ+A3MTbTkm6cbMlusRiaURkEr41G4x11p3+T/2WclZQLF4E8fOPe6PkK8eFtu Us8ligBYUi9Flm1yO1njXJORDZB97XfwoAT9ajPA= From: Mike Lykov To: ALT Linux sysadmins' discussion In-Reply-To: References: MIME-Version: 1.0 Message-Id: <535731374573503@web28e.yandex.ru> X-Mailer: Yamail [ http://yandex.ru ] 5.0 Date: Tue, 23 Jul 2013 13:58:23 +0400 Content-Transfer-Encoding: 8bit Content-Type: text/plain; charset=koi8-r Subject: Re: [Sysadmins] arpwatch X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 23 Jul 2013 09:58:34 -0000 Archived-At: List-Archive: > Подскажите, arpwatch в p6 рабочий? > Что-то он у меня не функционирует... > Единственный признак его активности - это сообщения "arpwatch[6406]: short (want 44)", которые постоянно сыпятся в сислог. > Что означает эта таинственная фраза мне понять не удалось, сколько не искал в инете. > Файл arp.dat как был нулевого размера, так и остался... > Может быть я не умею готовить arpwatch или есть более другие пакеты для мониторинга маков, подскажите, пожалуйста? > > Спасибо. > > # rpm -qa | grep arpw > arpwatch-2.1a15-alt7 не могу сказать про p6, просто хочу добавить о некоторых недостатках arpwatch, которые вдруг кто знает как обойти. Они засоряют поступающую информацию (в лог или почту) и снижают ценность arpwatch как такового. 1. если включить отсылку писем (по умолчанию включена), то при первом старте придет сотня-другая отдельных писем (если в сети сотня устройств). Потом будет приходить 1 письмо на каждое событие, которые случаются часто. Если отсылку писем выключить, то судить о каких-то событиях можно только разглядывая syslog. Не очень удобно. Модуль logwatch, например, умеет только отсортировать сообщения syslog и убрать повторяющиеся, и прислать в таком виде. Не сильно лучше, но хотя бы одно письмо ;) 2. в сети кто-то постоянно шлет сообщения с адресом 0.0.0.0, как я почитал - в момент включения, например, когда адрес еще не получен, то шлется 0.0.0.0 is-at . В рез. arpwatch думает, что адрес 0.0.0.0 заняло другое устройство и шлет письмо " changed ethernet address hostname: ip address: 0.0.0.0 ethernet address: 54:4:a6:a4:da:b5 ethernet vendor: old ethernet address: 38:60:77:1a:b2:2e old ethernet vendor: " как отключить - не нашел. в логе получаются длинные списки bogon 0.0.0.0 0:0:21:d9:92:b3 bogon 0.0.0.0 0:0:21:da:59:d4 bogon 0.0.0.0 0:11:11:ed:ef:db bogon 0.0.0.0 0:13:46:b3:ff:fd или changed ethernet address 0.0.0.0 0:0:21:d9:92:b3 (0:1c:c0:fa:f0:c2) changed ethernet address 0.0.0.0 0:0:21:da:59:d4 (0:27:e:31:90:92) changed ethernet address 0.0.0.0 0:1c:c0:b:e5:f5 (0:1c:f0:63:7:cf) ... 3. Каждое появление какого-либо адреса - опять шлет на каждое. Например, кто-то получил адрес 169.254.83.58 (link-local) - шлет. Кто-то поставил себе 192.168.100.21 - шлет. Можно в параметре -n указать "еще одну подсеть", но как указать две и более я не понял. В то время как меня интересуют в основном коллизии, т.е. когда кто-то пытается занять чужой уже работающий адрес. Теоретически, можно написать некую надстройку, которая все это бы анализировала и слала сама только то что нужно, но я такой не нашел готовой. -- Mike