LogoENEnglish

بخشی از مجموعه

دستورات لینوکس برای مدیران سیستم

~2 دقیقه مطالعه • بروزرسانی ۳۰ تیر ۱۴۰۴

۱. پروتکل ARP چیست؟


ARP برای یافتن آدرس MAC متناظر با یک آدرس IP در شبکه محلی استفاده می‌شود. این اطلاعات در جدول ARP ذخیره می‌شود و به ارسال بسته‌های لایهٔ دوم شبکه کمک می‌کند.


۲. بررسی جدول ARP با دستور arp


arp برای مشاهده جدول ARP سیستم استفاده می‌شود. در برخی توزیع‌ها باید ابتدا بستهٔ net-tools نصب شود:

sudo apt install net-tools

مشاهدهٔ جدول:

arp -a

خروجی شامل آدرس IP، آدرس MAC متناظر، و نوع اتصال است.


۳. پاک‌سازی جدول ARP


sudo ip -s -s neigh flush all

یا با ifconfig:

sudo ifconfig eth0 down
sudo ifconfig eth0 up

۴. ابزار arpwatch چیست؟


arpwatch ابزاری برای ثبت و پایش تغییرات در جدول ARP در سطح شبکه است. این ابزار هرگاه دستگاه جدیدی با MAC جدید وارد شبکه شود یا آدرس IP تغییر کند، هشدار صادر می‌کند.


۵. نصب arpwatch


sudo apt install arpwatch        # Debian / Ubuntu
sudo yum install arpwatch        # CentOS / RHEL

۶. اجرای arpwatch


اجرای پایش روی رابط مشخص (مثلاً eth0):

sudo arpwatch -i eth0 -f /var/lib/arpwatch/arp.dat -n

اختیاری: تعیین ایمیل مقصد هشدارها:

sudo arpwatch -i eth0 -e [email protected]

۷. مسیر ذخیرهٔ لاگ‌ها


  • /var/lib/arpwatch/arp.dat: پایگاه دادهٔ MAC/IP
  • /var/log/syslog: ثبت رویدادها و هشدارها
  • /var/log/messages: در توزیع‌های غیر Debian

۸. نمونهٔ خروجی و تحلیل


ورود MAC جدید:

arpwatch: new station 192.168.1.20 [00:11:22:33:44:55] on eth0

تغییر MAC برای IP موجود:

arpwatch: changed ethernet address for 192.168.1.20 from 00:11:22:AA:BB to 00:11:22:33:44:55

۹. کاربردهای عملی arp و arpwatch


  • تشخیص ورود تجهیزات ناشناس به شبکه
  • پایش تغییرات ARP در شبکه‌های حساس
  • مقابله با حملات spoofing یا poisoning
  • تهیه آرشیو از دستگاه‌های فعال در طول زمان

۱۰. نکات امنیتی


  • اجرا با سطح دسترسی root ضروری است
  • در شبکه‌های با DHCP پویایی زیاد گزارش‌ها بالا خواهد بود
  • در صورت استفاده از arpwatch، SMTP یا تنظیم ایمیل هشدار را امن‌سازی کنید

۱۱. نتیجه‌گیری


arp و arpwatch از ابزارهای کلیدی لینوکس برای پایش رفتار شبکه و امنیت لایهٔ دوم هستند. نمایش و ثبت تغییرات MAC/IP به‌ویژه در محیط‌هایی با حساسیت بالا مثل دیتاسنترها یا شبکه‌های مالی ارزشمند بوده و به تحلیل‌گران شبکه در شناسایی تهدیدات و مستندسازی ساختار شبکه کمک می‌کند.


نوشته و پژوهش شده توسط دکتر شاهین صیامی

مقاله بعدی