Заметил что на почту приходят сообщения такого содержания:
ADVERTISEMENT
hostname: ip address: xxx.xxx.xxx.xxx ethernet address: 00:11:22:33:44:55 ethernet vendor: unknown timestamp: Wednesday, August 14, 2013 11:36:04 +0200
ethernet vendor почему то не определился.
Смотрим файл ethercodes.dat в папке с программой, у меня это:
# cd /usr/local/arpwatch
Он был пустым.
Хотя по завершению установки ARPWatch выводилось уведомление о возможности обновления файла ethercodes.dat что и было сделано
# cd /usr/local/arpwatch # fetch http://standards.ieee.org/regauth/oui/oui.txt oui.txt 100% of 2985 kB 905 kBps # ./massagevendor oui.txt > ethercodes.dat # rm oui.txt
Создаём вручную этот файл с правельним содержимым: МАС — Производитель
# cd /usr/local/arpwatch && touch update_mac_addresses.sh
Вставляем такое содержимое:
#!/bin/bash # update_mac_addresses.sh # Скрипт загружает данные о MAC адресах из IEEE и анализирует его для Nmap и Arpwatch. # nmap-mac-prefixes для nmap. # ethercodes.dat для arpwatch. # Скачиваем wget http://standards.ieee.org/regauth/oui/oui.txt # Разделяем данные о Производителе и Mac адресах cat oui.txt | grep '(base 16)' | cut -f3 > mac.manufacturer cat oui.txt | grep '(base 16)' | cut -f3 -d' ' > mac.address # Вставляем их обратно для nmap paste mac.address mac.manufacturer > nmap-mac-prefixes # Разбираем адресные данные для Arpwatch cat mac.address | perl -pe 's/^(([^0].)|0(.))(([^0].)|0(.))(([^0].)|0(.))/23:56:89/' > tmp.address cp tmp.address mac.address # Вставляем данные в файл ethercodes.dat paste mac.address mac.manufacturer > ethercodes.dat # Очищаем мусор rm tmp.address rm mac.address rm mac.manufacturer rm oui.txt
На выходе имеем 2 файла:
1. Обновлённый ethercodes.dat и копируем его в папку с Arpwatch.
2. nmap-mac-prefixes для Nmap.