Arpwatch surveille les machines de votre LAN

Publié le 03 juin 2008 par Nicolargo

C’est dans un des commentaires du billet sur les outils réseau que je suis (re)tombé sur le logiciel Arpwatch. Ce dernier permet, en écoutant les requêtes ARP transitant sur le réseau de découvrir les machines qui y sont connectées.

Très utile sur un réseau LAN filaire, il l’ai encore plus si votre réseau comporte des spots Wifi. En effet, il peut être utile, dans certain cas, de ne pas protéger son réseau Wifi avec des processus d’authentification. Dans ce cas précis, il est parfois difficile de connaître les machines connectées à un instant t.

Installation de Arpwatch

C’est dans les prots de Ubuntu, donc c’est simple à installer:

# sudo apt-get install arpwatch

Comment fonctionne t-il ?

Par défaut, Arpwatch écoute sur l’interface réseau principale et envoie un mail (à l’utilisateur root mais cela est paramètrable avec l’option -m)à chaque fois qu’une nouvelle machine (identifiée par son adresse MAC) se branche sur le réseau. Un fichier (nommé arp.dat) est créé en parallèle avec une copie des mails envoyés.

Une utilisation standard peut donc être:

# touch arp.dat
> seulement à faire la première fois pour créer le fichier

# sudo arpwatch

Personnellement je préfère désactiver l’option d’envoi des mails (option -Q). La commande est alors la suivante:

# sudo arpwatch -Q

L’output d’une telle commande est la suivante:

From: arpwatch (Arpwatch pc-nico-ubuntu)

To: root

Subject: new station eth0

hostname: <unknown>

ip address: 192.168.1.100

interface: eth0

ethernet address: 0:2:3f:65:65:c5

ethernet vendor: Compal Electronics, Inc.

timestamp: Tuesday, June 3, 2008 17:41:30 +0200

From: arpwatch (Arpwatch pc-nico-ubuntu)

To: root

Subject: new station (xaviertelemed.local) eth0

hostname: xaviertelemed.local

ip address: 192.168.1.78

interface: eth0

ethernet address: 0:1b:38:80:5d:6e

ethernet vendor: <unknown>

timestamp: Tuesday, June 3, 2008 17:53:56 +0200

Bref un utilitaire sympa pour surveiller son réseau.