в Debian (http://ftp.de.debian.org/debian/pool/main/a/arpwatch/arpwatch_2.1a15-1.1.diff.gz) есть параметр указания инорируемых диапазонов IP-адресов (-z). Было бы полезно приложить и к нашему arpwatch этот патч ради такой возможности.
да, без него очень неудобно, так как логи засоряются записями об адресе 0.0.0.0, например. такого вида: changed ethernet address 0.0.0.0 0:11:11:ed:ef:db (0:27:e:2b:2c:22) changed ethernet address 0.0.0.0 0:13:46:b3:ff:fd (14:da:e9:93:f5:44) changed ethernet address 0.0.0.0 0:19:d1:5a:c6:a0 (50:46:5d:68:a3:79) changed ethernet address 0.0.0.0 0:19:d1:98:78:38 (14:da:e9:4:d9:f1) changed ethernet address 0.0.0.0 0:19:d1:b5:74:92 (14:da:e9:93:f1:8b) changed ethernet address 0.0.0.0 0:1c:c0:5c:fc:5 (90:2b:34:13:de:ce) changed ethernet address 0.0.0.0 0:1c:c0:61:4c:4c (0:27:e:30:d9:2b) ..... flip flop 0.0.0.0 0:11:11:ed:ef:db (0:1c:f0:63:7:cf) flip flop 0.0.0.0 0:1c:c0:61:4c:4c (14:da:e9:cf:73:16) flip flop 0.0.0.0 0:1c:f0:63:7:cf (0:11:11:ed:ef:db) flip flop 0.0.0.0 0:21:97:20:e1:c5 (54:4:a6:b5:a9:7c) flip flop 0.0.0.0 0:27:e:11:13:b2 (50:46:5d:b4:e7:70) .... надо бы игнорировать его, а опции нет..
добавлю - если собрать arpwatch отсюда http://packages.debian.org/wheezy/arpwatch (Package: arpwatch (2.1a15-1.2) ) c debian-патчами (лежат отдельно), то проблемы с 0.0.0.0 нет, ее исключили - теперь он явно этот адрес игнорирует, о чем сообщает в debug. плюс еще много опций комстроки, которых нет у автора. автор, видимо, заснул и обновляет софт раз в 10 лет.
Ошибка с адресом 0.0.0.0 - это проблема в -i any, скорее всего. С какими параметрами запускается arpwatch ?
сейчас версия debian (самосборная) работает так: /usr/local/sbin/arpwatch -u arpwatch -s /usr/sbin/sendmail -N -m root $ /usr/local/sbin/arpwatch -v Version 2.1a15 -i any не пробовал пакеты с адресом 0.0.0.0 - это не проблема в параметрах и не ошибка в pcap, это законные пакеты, которые в момент инициализации шлют устройства.
такие пакеты arpwatch должен по идее игнорировать.
он их в другой, не альтовой, версии и игнорирует, см. коммент #3. патчи -> "теперь он явно этот адрес игнорирует" осталось только уже собрать это в сизиф.