ArpON Proteccion contra Spoofing/Poisoning y mas

[firecold]

Como muchos sabran muchas veces es algo aburrido estar lidiando con clientes fastidiosos que solo buscan aprovecharse de la mas minima brecha que dejamos abierta, pues ultimamente he tenido un cliente que se estaba aprovechando de mi falta de configuracion en mi configuracion dhcp, haciendo un DHCP Spoofing, pues como conozco como es dicho cliente me di a la tarea de configurar mi DHCP asignando una ip amarrada con la mac addres de cada cliente y dejando un rango muy corto de asignacion de ips por dhcp, a modo que no pueda cambiar su mac addres y obtener otra ip, solo dejando las necesarias, nada mas.

Siguiendo con la configuracion del Dhcp me dispuse a buscar una herramienta que me ayudara a protegerme de manera proactiva y encontre ArpON, segun su sitio:

ArpON (ARP handler inspection) es una herramienta para securizar ARP en nuestra red, un demonio que ha de instalarse en cada equipo que interviene en la conexión y que se caracteriza por:

• Detectar y bloquear MITM a través de ataques de falseamiento/envenenamiento ARP en redes estáticas, dinámicas (DHCP) e híbridas
• Detectar y bloquear ataques derivados: DHCP Spoofing, DNS Spoofing WEB Spoofing, Session Hijacking, SSL/TLS Hijacking & co
• Detectar y bloquear ataques punto a punto o multipunto
• No afecta a la eficiencia de la comunicación del protocolo ARP
• En un ataque, no afecta al tiempo de respuesta
• Es multihilo y multi SO
• Administra el interface de red en modo boot, unplug, hibernación y suspensión
• Funciona en el espacio de usuario por motivos de portabilidad de SO
• Es fácilmente configurable a través de la línea de comandos
• Está comprobado contra Ettercap, Cain & Abel, DSniff, Yersinia, scapy, netcut, Metasploit, arpspoof, sslsniff, sslstrip & co tools.

Para los que no sepamos que es arp, les dare un pequeño concepto segun wikipedia:

En comunicaciones, ARP (del inglés Address Resolution Protocol o, en español, Protocolo de resolución de direcciones) es un protocolo de la capa de enlace de datos responsable de encontrar la dirección hardware (Ethernet MAC) que corresponde a una determinada dirección IP. Para ello se envía un paquete (ARP request) a la dirección de difusión de la red (broadcast (MAC = FF FF FF FF FF FF)) que contiene la dirección IP por la que se pregunta, y se espera a que esa máquina (u otra) responda (ARP reply) con la dirección Ethernet que le corresponde. Cada máquina mantiene una caché con las direcciones traducidas para reducir el retardo y la carga. ARP permite a la dirección de Internet ser independiente de la dirección Ethernet, pero esto sólo funciona si todas las máquinas lo soportan.

En Ethernet, la capa de enlace trabaja con direcciones físicas. El protocolo ARP se encarga de traducir las direcciones IP a direcciones MAC (direcciones físicas). Para realizar esta conversión, el nivel de enlace utiliza las tablas ARP, cada interfaz tiene tanto una dirección IP como una dirección física MAC.

ARP se utiliza en 4 casos referentes a la comunicación entre 2 hosts:

Cuando 2 hosts están en la misma red y uno quiere enviar un paquete a otro.
Cuando 2 host están sobre redes diferentes y deben usar un gateway/router para alcanzar otro host.
Cuando un router necesita enviar un paquete a un host a través de otro router.
Cuando un router necesita enviar un paquete a un host de la misma red.

En todo caso ArpON implementa los siguientes algoritmos:

• - SARPI – Static ARP inspection: Redes sin DHCP. Utiliza una lista estática de entradas y no permite modificaciones.
• - DARPI – Dynamic ARP inspection: Redes con DHCP. Controla peticiones ARP entrantes y salientes, cachea las salientes y fija un timeout para la respuesta entrante.
• - HARPI – Hybrid ARP inspection: Redes con o sin DHCP. Utiliza dos listas simultáneamente.

Su instalacion es sumamente facil, ya que se encuentra en los repositorios tanto de Debian como de ubuntu, pudiendolo hacer de este modo:

Código (bash) [Seleccionar] Expandir

sudo apt-get install arpon

Completada la instalacion configuraremos el archivo que le permite funcionar en /etc/default/arpon en el encontraras esto:

Código [Seleccionar] Expandir

# Defaults for arpon initscript
# sourced by /etc/init.d/arpon
# installed at /etc/default/arpon by the maintainer scripts

# You must choose between static ARP inspection (SARPI) and
# dynamic ARP inspection (DARPI)
#
# For SARPI uncomment the following line (please edit also /etc/arpon.sarpi)
# DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -s"

# For DARPI uncomment the following line
# DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -d"

# Modify to RUN="yes" when you are ready
RUN="no"


Para que este pueda funcionar en redes dhcp como la mia, cambiamos solomente dos parametros:

Código [Seleccionar] Expandir

# Defaults for arpon initscript
# sourced by /etc/init.d/arpon
# installed at /etc/default/arpon by the maintainer scripts

# You must choose between static ARP inspection (SARPI) and
# dynamic ARP inspection (DARPI)
#
# For SARPI uncomment the following line (please edit also /etc/arpon.sarpi)
# DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -s"

# For DARPI uncomment the following line
DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -d -i eth0" #Descomentamos en Darpi ya que es DHCP mi red y agrego la interface de red que funciona como DHCP.

# Modify to RUN="yes" when you are ready
RUN="Yes"    # Cambiamos RUN a Yes para que se pueda iniciar o ejecutar


E iniciamos el servicio con:

Código [Seleccionar] Expandir

sudo /etc/init.d/arpon restart

Con esto lo tendremos funcionando  y sin problemas, ahora bien me puse a pensar como funciona y encontre algo en la super carretera de la informacion sobre como funciona en DHCP:

Únicamente voy a explicar cómo funciona el modo dinámico, tal como hemos visto anteriormente es usado para protegernos en las redes con el DHCP activo.

Modo dinamico –

Arpon Dynamic Arp Inspection, una vez que se ejecuta Arpon en modo DARPI , limpia la cache ARP borrando todas las entradas y protege de los ataques bidireccionales y distribuidos:

[...]
14:11:41 - Deletes these Arp Cache entries:
14:11:41 - 1)     192.168.1.1 ->  0:25:53:29:f6:69
[...]

Para las solicitudes ARP (ARP request), Arpon sigue las siguientes reglas:

TRAFICO DE SALIDA: Para los paquetes que son generados por nosotros. ArpON les permite pasar, añadiendo una entrada con el destino a la DARPI cache.
A la cache DARPI, DARPI añade un timeout para que en caso de que no exista dicha entrada DARPI debe borrarla de la cache.

TRAFICO DE ENTRADA: Los paquetes que viene hacia nosotros desde fuera de nuestro equipo. ARPon rechaza el paquete, borrando la entrada de la cache ARP porque el paquete puede estar envenenado. Después de eso, el kernel enviará una solicitud ARP solicitando la dirección de origen, esta petición será gestionada por Arpon a través de DARPI.

Para las respuestas ARP (ARP entry), Arpon sigue las siguientes reglas:

TRAFICO DE SALIDA: Para los paquetes que son generados por nosotros. Arpon, únicamente, les deja pasar.

TRAFICO DE ENTRADA: Los paquetes que viene hacia nosotros desde fuera de nuestro equipo. Arpon revisa si el origen de direcciones coincide con la entrada en la cache DARPI, esto permite que el paquete continúe con el flujo normal añadiendo la entrada en la cache ARP.
En caso contrario si el origen de direcciones no coincide con ninguna entrada de la cache DARPI, Arpon rechaza el paquete, borrando la entrada de la cache ARP.

Ambos tipos de paquetes (ARP request y ARP entry)son usados para ejecutar un envenenamiento de tabla ARP (ataque conocido como "ARP Poisoning/Spoofing").

La entrada es algo larga pero interesante, mas cuando es de proteger nuestro servidor, Saludos

[firecold]

Si desean ver la actividad de dicha herramienta puedes ver su log con:

Código (bash) [Seleccionar] Expandir

sudo tail -f /var/log/arpon/arpon.log

Podran como funciona y verificar su eficacia, tambien si desean ver en alguan reinicio si esta funcionando pueden hacerlo con:

Código (bash) [Seleccionar] Expandir

sudo service arpon status

Saludos

[zeronett]

Gracias por el aporte, lo tendre en cuenta en caso de detectar alguna anomalia en mi red.

[firecold]

Gracias por el aporte, lo tendre en cuenta en caso de detectar alguna anomalia en mi red.

Gracias amigo zeronett es bueno implementarlo entes de cualquier problema, ya que uno nunca sabe que cliente de repente se quiere pasar de listo, Saludos

[josueflat]

Buen aporte, en mi caso yo trabajo con hotspot con mikrotik con las redes wifi abierta creen que me funcionaria bien mi red,  la tengo implementada de la siguiente forma..

Balanceo-Mikrotik administrador- Raptorcache..

[firecold]

Buen aporte, en mi caso yo trabajo con hotspot con mikrotik con las redes wifi abierta creen que me funcionaria bien mi red,  la tengo implementada de la siguiente forma..

Balanceo-Mikrotik administrador- Raptorcache..

MI amigo tu red es con o sin DHCP, ya que en las dos opciones es perfectamente posible, solo debes elegir que algoritmo dependiendo de tus necesidades, Saludos

[josueflat]

Con dhcp

Enviado desde mi DROID RAZR mediante Tapatalk

[firecold]

Con dhcp

Enviado desde mi DROID RAZR mediante Tapatalk

Entonces seria con el algoritmo DARPI, pero tendria que limitar las ips por dhcp, bien podria amarar ip con la mac address, para sus clientes y para los que quieren navegar por telefonos o algun dispositivo movil dejar un numero de ips libres, pero que no sean demasiadas, Saludos

[btocarmona]

Amigo Firecold como siempre con excelentes aportes y como veras recientemente he tenido unos problemas de elevaciones de conexiones lo cual concluyo con mi restauracion de raptor, lo cual no quisiera que me pasase nuevamente, uso amarre de ip y mac por Arp, con ip estaticas en cada cliente, como deberia hacer para implementarlo? desde ya muchisimas gracia por tan valioso aporte.

[firecold]

Amigo Firecold como siempre con excelentes aportes y como veras recientemente he tenido unos problemas de elevaciones de conexiones lo cual concluyo con mi restauracion de raptor, lo cual no quisiera que me pasase nuevamente, uso amarre de ip y mac por Arp, con ip estaticas en cada cliente, como deberia hacer para implementarlo? desde ya muchisimas gracia por tan valioso aporte.

Como podras saber se puede amarar host+mac+ip+iptables, como sabras tambien tienes que configurar tu servidor dhcp, anteriormente ya explique como configurar un servidor dhcp: http://www.alterserv.com/foros/index.php?topic=1356.msg9994#msg9994, pero para que funcione con iptables en la configuracion de dhcp tienes que listar nombrarando cada host y asignarle una ip con dhcp, ejemplo:

Código [Seleccionar] Expandir


key "rndc-key" {
algorithm hmac-md5;
secret "/55lf+9JMGMhYAyG0IF3mg==";
};

server-identifier ns1.leondejuda.gt;
ddns-update-style interim;
ddns-updates on;
ddns-domainname "leondejuda.gt";
ddns-rev-domainname "in-addr.arpa.";
ignore client-updates;
authoritative;
option domain-name "leondejuda.gt";
option ntp-servers 192.168.1.1;

zone leondejuda.gt. {
       primary 192.168.1.1;
       key rndc-key;
       }
zone 1.168.192.in-addr.arpa. {
       primary 192.168.1.1;
       key rndc-key;
       }

subnet 192.168.1.0 netmask 255.255.255.0 {
       option netbios-name-servers 192.168.1.1;
       option netbios-node-type 8;
       option domain-name-servers 192.168.1.1;
       option routers 192.168.1.1;
       range 192.168.1.2 192.168.1.7;
       }
       
host MAQUINA1 {
hardware ethernet 00:11:43:C5:51:60;
fixed-address 192.168.1.2;
}

host MAQUINA2 {
hardware ethernet 00:0BB:4F:05:1A;
fixed-address 192.168.1.3;
}

host MAQUINA4 {
hardware ethernet 00:25:22:BB:CF:E5;
fixed-address 192.168.1.5;
}

host MAQUINA5 {
hardware ethernet 00:0F:FE:75:B0:7B;
fixed-address 192.168.1.6;
}

Como ves nombro cada host, asignandole una ip por dhcp, viendo tambien en range limitando a unas pocas las ips que se puedan asignar por dhcp, pues bien ahora tienes host+ip+mac, solo falta iptables, debo agregar que el script descrito lo puedes encontrar en maravento.com, enlace: http://www.maravento.com/2013/06/firewall-iii.html:

Código (bash) [Seleccionar] Expandir

##################
# FIREWALL RULES #
##################

echo IPTABLES FIREWALL START...
adminMAC="XX:XX:XX:XX:XX:XX"
internet=ppp0
lan=eth0
local=192.168.1.0
iptables=/sbin/iptables
route=/home/usuario/acl
proxyport=3128
netmask=255.255.255.0
modprobe=/sbin/modprobe

# RUTA dhcpd.conf
#dhcp_conf=/etc/dhcp3/dhcpd.conf # para dhcp v3.x
dhcp_conf=/etc/dhcp/dhcpd.conf # para dhcp v4.x
#
mac2ip=$(sed -n '/^\s\+hardware\|^\s\+fixed/ s:hardware ethernet \|fixed-address ::p' $dhcp_conf | sed 's/;//')

# RUTA ips_dhcp/macs_dhcp
path_ips=/home/servidor/scripts/ips_dhcp
path_macs=/home/servidor/scripts/macs_dhcp

# alias
alias cat="sed '/#.*/d'"

###############
# FLUSH RULES #
###############

echo " Borrando las Cadenas existentes..."

# Delete all
$iptables -F
$iptables -t nat -F
$iptables -t mangle -F
$iptables -X
$iptables -t nat -X
$iptables -t mangle -X
# Zero all packets and counters.
$iptables -Z
$iptables -t nat -Z
$iptables -t mangle -Z

echo " Estableciendo Politica por Defecto "
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

# CREANDO ACL MACS/IPS
create_acl() {
   ips="# ips"
   macs="# macs"
   while [ "$1" ]; do
       mac="$1"
       shift
       ip="$1"
       shift
       $iptables -t mangle -A PREROUTING -i $lan -m mac --mac-source $mac -s $ip -j ACCEPT
       ips="$ips\n$ip"
       macs="$macs\n$mac"
   done
   echo $ips > $path_ips
   echo $macs > $path_macs
}

echo ok

#####################
### KERNEL RULES ###
#####################

echo Load Kernel Rules...
$modprobe ip_conntrack_ftp
$modprobe ip_conntrack_irc

# Activar ip forward rules
echo 1 > /proc/sys/net/ipv4/ip_forward

echo OK

####################
# DEFAULT POLICIES #
####################

echo Apply Default Policies...

# LOOPBACK
$iptables -A INPUT -i lo -j ACCEPT
$iptables -A OUTPUT -o lo -j ACCEPT

echo ok

##########################
# LOCAL NETWORK POLICIES #
##########################

echo Apply Local Network Policies...

# SOLO PETICIONES DE LA LAN
create_acl $mac2ip
$iptables -t mangle -A PREROUTING -i $lan -j DROP
# ACCESO LAN AL PROXY (LAN ---> PROXY ---> INTERNET) (DEFAULT 3129 Y NAT 3128)
$iptables -t nat -A PREROUTING -i $lan -p tcp --dport 80 -j REDIRECT --to-port $proxyport
$iptables -A INPUT -i $lan -p tcp --dport 3128 -j ACCEPT

Este script nos permite tomar las ips y mac de nuestra configuracion de dhcp, agregandolas a dos textos, uno con las ips y el otro con las macs, creando reglas de iptables que solo permitan navegar por nuestra red si poseen dicha ip+mac, permitiendoles navegar asimismo solo por squid, donde podriamos hacer otra capa de defensa agregando una acl con las ips que deseamos que puedan acceder internet y los demas por ende denegarlo, claro que con estas medidas si alguien trata de copiar la mac o la ip de alguno de tus clientes, haciendocelo mas dificil, tendria que tener la mac + ip de tu cliente y aun asi solo uno podria navegar, ya con eso si un cliente te dice que no puede navegar es que alguien mas esta haciendo de las suyas, contra esto es tambien indispensable que utilices ArpON ya que te protegue contra una variedad de ataques, espero te sea de ayuda, Saludos

[firecold]

Como dato adicional para saber las mac addres de tus clientes puedes usar nmap de esta manera:

Código (bash) [Seleccionar] Expandir

nmap –sS IP_CLIENTE

Saludos

[firecold]

Como detalle adicional y como seguridad de si servidor primero revisen sus tablas arp con:

Código [Seleccionar] Expandir

arp -a

Les devolvera algo como esto:

Código [Seleccionar] Expandir

arp -a
maquina1.leondejuda.gt (192.168.1.2) en 00:11:43:c5:51:60 [ether] PERM en eth0
maquina2.leondejuda.gt (192.168.1.3) en 00:0b:db:4f:05:1a [ether] PERM en eth0

En mi caso me aparecen las computadoras que estan encendidas en mi red, tambien seria bueno que revisaran si APIPA esta activado ya que representaria un problema de seguridad, pueden saberlo con:

Código [Seleccionar] Expandir

route -n

Segun Wikipedia:

APIPA (Automatic Private Internet Protocol Addressing - Direccionamiento Privado Automático del Protocolo de Internet) es un protocolo que utilizan los sistemas que funcionan bajo Windows 98 o versiones posteriores para obtener la configuración de red cuando el sistema está configurado para obtener una dirección dinámicamente y, al iniciar, éste no encuentra un servidor DHCP (Dynamic Host Configuration Protocol). El procedimiento APIPA asigna una dirección IP y su máscara de red únicamente, y no configura ningún otro parámetro que configuraría un servidor DHCP, como pueden ser una ruta por omisión o un servidor DNS. Esto significa que el sistema APIPA permite la funcionalidad básica para que el equipo funcione en un esquema de red local, pero no proporcionará salida fuera de la misma, a Internet.

Al no detectar la presencia de un servidor DHCP, el sistema por medio de APIPA se asigna una dirección IP privada, de clase B en el rango 169.254.0.1 a 169.254.255.254 con máscara 255.255.0.0 (el bloque definido como link-local por el RFC 3330). El servicio detectará si la dirección a asignar se encuentra en uso utilizando paquetes broadcast; el recibir respuesta a dichos paquetes indica que la dirección ya fue tomada por otro equipo, en cuyo caso se seleccionaría otra dirección alternativa. No obstante, cada cinco minutos el cliente buscará nuevamente un servidor DHCP. El procediemiento utilizado por APIPA sólo funciona con sistemas de IPv4, ya que IPv6 utiliza otro procedimiento.

Si en todo caso les aparece, es mas que seguro que aparecera, pueden agregar este areglo a su script de iptables para eliminar esta vulnerabilidad:

Código (bash) [Seleccionar] Expandir

if [ "`route -n | grep 169.254.0.0`" ]; then
   route del -net 169.254.0.0/16 dev eth0
   echo -e " Borrado APIPA"
   else
   echo -e " No Existe APIPA"
fi

Opcionalmente yo agrego una ruta a route, pero esto es dependiendo su tipo de red, lo pueden agregar o modificar segun sean su necesidad:

Código (bash) [Seleccionar] Expandir

if [ "`route -n | grep 169.254.0.0`" ]; then
   route del -net 169.254.0.0/16 dev eth0
   route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1 dev eth0
   echo -e "$R Borrado APIPA$N"
   else
   echo -e "$R No Existe APIPA$N"
fi

Agregando esta linea route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1 dev eth0, en la que le decimos que agregamos una ruta  con destino 192.168.1.0 con mascara de subred 255.255.255.0 y la puerta de enlace 192.168.1.1 en eth0, como dije ustedes la pueden modificar dependiendo sus necesidades, Espero les sirva, Saludos

[Maravento]

Buenas. Gracias por permitirme participar y felicitaciones.
Hay una cuestión con ArpON que debe ser tenida en cuenta y es la versión.
Lo siguiente no ha sigo verificado en su totalidad.

Para versiones anteriores a Debian 7x y Ubuntu 12x (Ej: Ubuntu 10.04 LTS, Debian 6, etc)
# For SARPI uncomment the following line (please edit also /etc/arpon.sarpi)
# DAEMON_OPTS="-d -f /var/log/arpon/arpon.log -g -s"

# For DARPI uncomment the following line
DAEMON_OPTS="-d -f /var/log/arpon/arpon.log -g -y"

Para versiones Debian 7x y Ubuntu 12x y posterior
# For SARPI uncomment the following line (please edit also /etc/arpon.sarpi)
# DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -s"

# For DARPI uncomment the following line
DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -d"

El Portal securitybydefault propone un script para arrancarlo con las interfaces (ya que da problemas)
http://www.securitybydefault.com/2011/05/arpon-para-defenderse-de-arp.html

Código (bash) [Seleccionar] Expandir

#!/bin/bash

if [ $# -ne 1 ]; then
       echo "Help: enable-arpon interface"
       echo "  Ex: enable-arpon eth0"
else
       /usr/sbin/arpon -q -f /var/log/arpon/arpon.log -g -d -i $1
fi

Gracias

[firecold]

Buenas. Gracias por permitirme participar y felicitaciones.
Hay una cuestión con ArpON que debe ser tenida en cuenta y es la versión.
Lo siguiente no ha sigo verificado en su totalidad.

Para versiones anteriores a Debian 7x y Ubuntu 12x (Ej: Ubuntu 10.04 LTS, Debian 6, etc)
# For SARPI uncomment the following line (please edit also /etc/arpon.sarpi)
# DAEMON_OPTS="-d -f /var/log/arpon/arpon.log -g -s"

# For DARPI uncomment the following line
DAEMON_OPTS="-d -f /var/log/arpon/arpon.log -g -y"

Para versiones Debian 7x y Ubuntu 12x y posterior
# For SARPI uncomment the following line (please edit also /etc/arpon.sarpi)
# DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -s"

# For DARPI uncomment the following line
DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -d"

El Portal securitybydefault propone un script para arrancarlo con las interfaces (ya que da problemas)
http://www.securitybydefault.com/2011/05/arpon-para-defenderse-de-arp.html

Código (bash) [Seleccionar] Expandir

#!/bin/bash

if [ $# -ne 1 ]; then
        echo "Help: enable-arpon interface"
        echo "  Ex: enable-arpon eth0"
else
        /usr/sbin/arpon -q -f /var/log/arpon/arpon.log -g -d -i $1
fi

Gracias

Gracias por darte un vistazo amigo Maravento, es un placer tenerlo por aca y claro tomare en cuenta su consejo, Saludos

[Maravento]

He probado la solución de securitybydefault y no funciona para versiones anteriores a Ubuntu 12x Debian 7x. Tu solución tampoco ( -i eth0)
No he encontrado solución aún. Te agradecería tu intervención en este asunto, ya que lo considero arpon MUY ESENCIAL, porque es PRIMORDIAL para proteger el perímetro

gracias por tu comprensión

[firecold]

He probado la solución de securitybydefault y no funciona para versiones anteriores a Ubuntu 12x Debian 7x. Tu solución tampoco ( -i eth0)
No he encontrado solución aún. Te agradecería tu intervención en este asunto, ya que lo considero arpon MUY ESENCIAL, porque es PRIMORDIAL para proteger el perímetro

gracias por tu comprensión

Mi amigo que le muestra su /var/log/arpon/arpon.log, ya que el mio me muestra esto:

Código [Seleccionar] Expandir

18:57:05 - Wait link connection on eth0...
 18:57:15 - DARPI on dev(eth0) inet(192.168.1.1) hw(60:a4:4c:b0:77:79)
 18:57:15 - Deletes these Arp Cache entries:
 18:57:15 - 1)     192.168.1.6 ->   0:f:fe:75:b0:7b
 18:57:15 - 2)     192.168.1.2 ->  0:11:43:c5:51:60
 18:57:15 - Cache entry timeout: 500 milliseconds.
 18:57:15 - Realtime Protect actived!
 18:57:15 - Request >> Add entry 192.168.1.6
 18:57:15 - Reply   << Refresh entry 192.168.1.6 -> 0:f:fe:75:b0:7b
 18:57:15 - Request >> Add entry 192.168.1.2
 18:57:15 - Reply   << Refresh entry 192.168.1.2 -> 0:11:43:c5:51:60
 18:57:16 - Request >> Add entry 192.168.1.3
 18:57:16 - Reply   << Delete timeout entry 192.168.1.3
 18:57:17 - Request >> Add entry 192.168.1.3
 18:57:17 - Request >> Add entry 192.168.1.5
 18:57:17 - Reply   << Delete timeout entry 192.168.1.3
 18:57:17 - Reply   << Delete timeout entry 192.168.1.5

el dia siguiente:

Código [Seleccionar] Expandir

DARPI Interrupt...

 08:31:07 - Wait link connection on eth0...
 08:48:41 - DARPI on dev(eth0) inet(192.168.1.1) hw(60:a4:4c:b0:77:79)
 08:48:41 - Deletes these Arp Cache entries:
 08:48:41 - Cache entry timeout: 500 milliseconds.
 08:48:41 - Realtime Protect actived!
 08:49:01 - Request << Delete entry 192.168.1.3 -> 0:b:db:4f:5:1a
 08:49:01 - Reply   >> Send to 192.168.1.3 -> 0:b:db:4f:5:1a
 08:49:01 - Request >> Add entry 192.168.1.3
 08:49:01 - Reply   << Refresh entry 192.168.1.3 -> 0:b:db:4f:5:1a
 09:01:10 - Request << Delete entry 192.168.1.2 -> 0:11:43:c5:51:60
 09:01:10 - Reply   >> Send to 192.168.1.2 -> 0:11:43:c5:51:60
 09:01:10 - Request >> Add entry 192.168.1.2
 09:01:10 - Request >> Add entry 192.168.1.2

El dia de hoy:

Código [Seleccionar] Expandir

DARPI Interrupt...

 08:34:12 - Wait link connection on eth0...
 08:39:15 - DARPI on dev(eth0) inet(192.168.1.1) hw(60:a4:4c:b0:77:79)
 08:39:15 - Deletes these Arp Cache entries:
 08:39:15 - Cache entry timeout: 500 milliseconds.
 08:39:15 - Realtime Protect actived!
 08:39:35 - Request << Delete entry 192.168.1.3 -> 0:b:db:4f:5:1a
 08:39:35 - Reply   >> Send to 192.168.1.3 -> 0:b:db:4f:5:1a
 08:39:35 - Request >> Add entry 192.168.1.3
 08:39:35 - Reply   << Refresh entry 192.168.1.3 -> 0:b:db:4f:5:1a
 08:49:39 - Request << Delete entry 192.168.1.3 -> 0:b:db:4f:5:1a
 08:49:39 - Reply   >> Send to 192.168.1.3 -> 0:b:db:4f:5:1a
 08:49:39 - Request >> Add entry 192.168.1.3
 08:49:39 - Reply   << Refresh entry 192.168.1.3 -> 0:b:db:4f:5:1a
 08:59:11 - Request << Delete entry 192.168.1.6 -> 0:f:fe:75:b0:7b
 08:59:11 - Reply   >> Send to 192.168.1.6 -> 0:f:fe:75:b0:7b
 08:59:11 - Request >> Add entry 192.168.1.6
 08:59:11 - Reply   << Refresh entry 192.168.1.6 -> 0:f:fe:75:b0:7b

Hago saber primero que solo pongo unas cuantas lineas del log de arpon, ya que es muy grande para ponerlo todo y que solo pongo el funcionamiento de tres dias ya que hace tres dias instale Ubuntu 14.04, saludos

Enlace de Interes: http://www.linuxcertif.com/man/8/arpon/305233/

[Maravento]

Tu solucion funciona bien para ubuntu 12 y 14, pero no para Ubuntu 10 y Debian anterior al 7.
En estas versiones, arpon es la 1.90 y la línea es diferente:
Ejemplo:
DAEMON_OPTS="-d -f /var/log/arpon/arpon.log -g -y"
Al agregarle el adaptador de red
DAEMON_OPTS="-d -f /var/log/arpon/arpon.log -g -y -i eth1"
y correrlo
sudo /etc/init.d/arpon restart (o sudo service arpon restart)
Luego status
sudo service arpon status
Checking etc etc    fail

[firecold]

Tu solucion funciona bien para ubuntu 12 y 14, pero no para Ubuntu 10 y Debian anterior al 7.
En estas versiones, arpon es la 1.90 y la línea es diferente:
Ejemplo:
DAEMON_OPTS="-d -f /var/log/arpon/arpon.log -g -y"
Al agregarle el adaptador de red
DAEMON_OPTS="-d -f /var/log/arpon/arpon.log -g -y -i eth1"
y correrlo
sudo /etc/init.d/arpon restart (o sudo service arpon restart)
Luego status
sudo service arpon status
Checking etc etc    fail

En mi caso en la 14.04 esta funcionando la version 2.0 de Arpon, auqneu creo que seria posible instalar desde la fuente que esta mucho mas actualizada, creo que va por la version 2.7 de ArpON, dejo el enalce: http://softlayer-dal.dl.sourceforge.net/project/arpon/arpon/ArpON-2.7.tar.gz, y creo que tienes que descargarlo y descargar unas librerias de aqui; http://arpon.sourceforge.net/download.html, y al compilar te crea los deb, rpm y demas o eso es creo lo que explica el INSTALL:

Código [Seleccionar] Expandir

ArpON's install:
================

In order to use ArpON you need the following
libraries installed in your system:

- LibPcap >= 0.9.8
- LibNet11 >= 1.1.2.1
- LibDNet >= 1.11
- LibPthread >= all

and software:

- Cmake >= 2.6

ArpON is supported on all linux os, Mac OS X, FreeBSD, OpenBSD and NetBSD.
There are two method of installation:

Cmake can produce automatically the binary packages of debian/ubuntu  deb, rpm, sh, tar.gz, tar.bz2 ,stgz
To install arpon via cmake follow these commands as root:

$ mkdir build
$ cd build
$ cmake ..
$ make
$ make install

If you want personalize the compilation phase
with your custom CFLAGS run cmake with:

-DCMAKE_C_FLAGS="-your-personal-cflags"

If you have problems with cmake test, run cmake by specifying
the library and the include path where to search with:

-DCMAKE_INCLUDE_PATH="/path/to/include/"
-DCMAKE_LIBRARY_PATH="/path/to/include/"


If you want to make a deb,rpm,tar.gz,tbz2,stgz package
run after the "make" phase:
$ fakeroot cpack .

General options:

Clean with:
$ make clean

Install with:
# sudo make install
Or
# make install

Uninstall with
# sudo make install
Or
# make uninstall

Use with:
# ./arpon
Or
# arpon

For algorithms documentation read:

doc/algorithms/algorithms.html

For example and documentation read:

doc/documentation/documentation.html

For general options of ArpON daemon read:

$ man arpon

Hare unas pruebas a ver que pasa, Saludos

[Maravento]

Fue un error mio. Ya hice las pruebas nuevamente y funciona también para ubuntu 10, con el -i eth0 (wlan0 o la que sea). Resumiendo: funciona para toda la familia ubuntu y debian
Gracias por todo

[firecold]

Fue un error mio. Ya hice las pruebas nuevamente y funciona también para ubuntu 10, con el -i eth0 (wlan0 o la que sea). Resumiendo: funciona para toda la familia ubuntu y debian
Gracias por todo

Me alegra mucho, ya que estaba empezando a buscar las librerias que menciona en la pagina de ArpON y a instalarlas, pero si te funciono lo dejo para despues, Saludos