arpwatch
arpwatch指令可以監聽網絡設備和ip地址的對應關係,將發現的信息發送到系統日誌“/var/log/message”。
此命令的適用範圍:RedHat、RHEL、Ubuntu、CentOS、SUSE、openSUSE、Fedora。
1、語法
arpwatch [選項]
2、選項列表
|
選項 |
說明 |
|
-d |
打開調試模式,調試信息發送到終端 |
|
-f file |
設置arp記錄的存儲文件,默認arp.dat。開始使用這個指令之前,必須創建一個空arp.dat |
|
-i interface |
指定網絡接口 |
|
-n |
說明本地網絡 |
|
-N |
-N標誌禁止報告 |
|
-r |
從指定的文件中讀取arp記錄 |
|
-e |
指定發送mail的目標用戶,默認是root |
|
-s |
指定發送mail的源用戶,默認root |
3、報告信息
|
信息 |
說明 |
|
new activity |
這對ethernet/ip地址對第一次被使用了六個月或更長時間。 |
|
new station |
此ip地址以前從未使用過此以太網地址。 |
|
flip flop |
以太網地址已從最近看到的地址改爲第二最近看到的地址。(如果舊的或新的以太網地址是DECnet地址,並且不到24小時,則報告的電子郵件版本將被取消。) |
|
changed ethernet address |
主機切換到新的以太網地址。 |
4、系統日誌信息
|
信息 |
說明 |
|
ethernet broadcast |
主機的mac以太網地址是廣播地址。 |
|
ip broadcast |
主機的IP地址是廣播地址。 |
|
bogon |
源ip地址不是本地子網的本地地址。 |
|
ethernet broadcast |
源mac或arp以太網地址均爲1或全部爲零。 |
|
ethernet mismatch |
源Mac以太網地址與ARP數據包中的地址不匹配。 |
|
reused old ethernet address |
以太網地址已從最近看到的地址更改爲第三(或更大)最近看得最少的地址。(這類似於觸發器。) |
|
suppressed DECnet flip flop |
由於兩個地址之一是DECnet地址,“flip flop”報告被禁止。 |
5、實例
監聽arp信息
|
|