FreeBSD

FreeBSD: ARPWatch ethernet vendor: unknown

Заметил что на почту приходят сообщения такого содержания:

          hostname:
          ip address: xxx.xxx.xxx.xxx
          ethernet address: 00:11:22:33:44:55
          ethernet vendor: unknown
          timestamp: Wednesday, August 14, 2013 11:36:04 +0200

ethernet vendor почему то не определился.
Смотрим файл ethercodes.dat в папке с программой, у меня это:

# cd /usr/local/arpwatch

Он был пустым.

Хотя по завершению установки ARPWatch выводилось уведомление о возможности обновления файла ethercodes.dat что и было сделано

# cd /usr/local/arpwatch
# fetch http://standards.ieee.org/regauth/oui/oui.txt
oui.txt                                       100% of 2985 kB  905 kBps
# ./massagevendor oui.txt > ethercodes.dat
# rm oui.txt

Создаём вручную этот файл с правельним содержимым: МАС — Производитель

# cd /usr/local/arpwatch && touch update_mac_addresses.sh

Вставляем такое содержимое:

#!/bin/bash
# update_mac_addresses.sh
# Скрипт загружает данные  о MAC адресах из IEEE и анализирует его для Nmap и Arpwatch.
# nmap-mac-prefixes для nmap.
# ethercodes.dat для arpwatch.

# Скачиваем
wget http://standards.ieee.org/regauth/oui/oui.txt

# Разделяем данные о Производителе и Mac адресах
cat oui.txt | grep '(base 16)' | cut -f3 > mac.manufacturer
cat oui.txt | grep '(base 16)' | cut -f3 -d' ' > mac.address

# Вставляем их обратно для nmap
paste mac.address mac.manufacturer > nmap-mac-prefixes

# Разбираем адресные данные для Arpwatch
cat mac.address | perl -pe 's/^(([^0].)|0(.))(([^0].)|0(.))(([^0].)|0(.))/23:56:89/' > tmp.address
cp tmp.address mac.address

# Вставляем данные в файл ethercodes.dat
paste mac.address mac.manufacturer > ethercodes.dat

# Очищаем мусор
rm tmp.address
rm mac.address
rm mac.manufacturer
rm oui.txt

На выходе имеем 2 файла:
1. Обновлённый ethercodes.dat и копируем его в папку с Arpwatch.
2. nmap-mac-prefixes для Nmap.

Оставить комментарий