unbekannte MAC Adressen erkennen und Benachrichtigung einrichten

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Guten Abend @all,

    ich würde gern in meinem LAN/WLAN auf einem pi (b+ / aktuelles raspbian) einer Art MAC Watchguard einrichten. In der Windows Welt gibt es ein gleichnamiges Tool, welches die MAC Adressen im Netzwerk im Auge behält und bei einer unbekannten MAC eine Information senden kann. Für genau dieses Thema suche ich ein passendes Skript/Tool. Nach einiger Recherche habe ich arpwatch und arpalert ausfindig gemacht. Arpwatch zeigt mir lediglich die MAC Adressen unter /var/log/syslog an, ich kann diese aber nicht sinnvoll auswerten, dafür fehlt mir einfach das Wissen beim Skripting. Ich möchte ja nur eine Info bei unbekannten MAC Adressen. Arpalert scheint auf den 1.Blick dafür besser geeignet zu sein, ich bekomme es aber nicht wirklich zum Laufen.

    Hat es jemand von euch im Einsatz? Kann mir hier jemand eine Hilfestellung geben?

    Danke u. Grüße Micky

  • unbekannte MAC Adressen erkennen und Benachrichtigung einrichten? Schau mal ob du hier fündig wirst!

  • Hallo,

    nmap kann die Adressen im Netz finden:

    Code
    sudo apt-get install nmap


    Ein Skript, das in Dauerschleife das Netz überwacht, könnte so aussehen:


    Aufruf mit Sonderrechten:

    Code
    sudo ./skript.sh


    In der unteren If-Anweisung kannst du Code einfügen, der dich benachrichtigt.


  • Arpwatch zeigt mir lediglich die MAC Adressen unter /var/log/syslog an, ich kann diese aber nicht sinnvoll auswerten, dafür fehlt mir einfach das Wissen beim Skripting. Ich möchte ja nur eine Info bei unbekannten MAC Adressen.

    arpwatch schreibt bei entsprechender Konfiguration, die IP- und MAC-Adressen zusätzlich auch in eine Datei (... hier ".arp.dat") Z. B.:

    Code
    :~$ cat /etc/default/arpwatch
    # Global options for arpwatch(8).
    # Debian: don't report bogons, don't use PROMISC.
    ARGS="-Q -N -p -i eth0 -f /var/lib/arpwatch/arp.dat"
    # Debian: run as `arpwatch' user.  Empty this to run as root.
    RUNAS="arpwatch"


    und mit iwatch (oder gleichwertig) kann man Änderungen in dieser Datei bzw. evtl. den Inhalt dieser Datei, per email mitteilen/anzeigen lassen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Guten Morgen ihr 2,

    vielen Dank für eure tolle Unterstützung.

    rpi444: Hast Recht, das File habe ich gefunden und es wurden dort auch alle MAC gespeichert. Man müsste diese nun noch auswerten.
    julian: Und nochmal ein ganz dickes Dankeschön. Skript und Prüfung via nmap liefen bei einem kurzen Test super, werde es jetzt mal 1-2 Wochen laufen lassen und dann findet es Einzug auf meinem Produktiv-PI. Ich werde als Ereignis wieder PushOver Event einpflegen, sodass ich bei einer unbekannten Mac eine PushOver Nachricht aufs Handy erhalte.

    LG Micky

    Einmal editiert, zuletzt von Micky (26. Mai 2015 um 10:15)


  • ... dort auch alle MAC gespeichert. Man müsste diese nun noch auswerten.

    BTW: Mit arpwatch und gleichwertigen tools, findest Du in deinem (W)LAN, nur die IP-/MAC-Adressen derer Geräte die entsprechende Verbindungen (Protokolle) auch zulassen. Evtl. scannst Du auch den DNS-Server (z. B. mit nmap) , der im (W)LAN die lokale Namensauflösung macht.

    EDIT:

    Z. B.:

    Code
    sudo nmap -sP -R --dns-servers 192.168.178.1 192.168.178.0/24 | egrep -o '([[:xdigit:]]{2}[:-]){5}[[:xdigit:]]{2}'

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (26. Mai 2015 um 15:03)


  • Ich werde als Ereignis wieder PushOver Event einpflegen, sodass ich bei einer unbekannten Mac eine PushOver Nachricht aufs Handy erhalte.


    Wobei mir gerade auffällt, dass du bei jetzigem Stand ziemlich zugespamt wirst, sobald ein unbekanntes Gerät gefunden wird.
    Hiermit wird eine einmal gemeldete mac für einen bestimmten Zeitraum ignoriert:

    Spoiler anzeigen
  • Hallo Julian,

    das wäre kein Problem. Es handelt sich um ein überschaubares Heimnetzwerk. Werde mir trotzdem deine Modifikation anschauen. Das schöne bei deinen Skripten ist, ich verstehe sie inhaltlich. Schreiben kann ich sie leider noch nicht, aber zumindest verstehe ich was sie tun :D

    Vielen Dank.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!