先日、WiFiでWEP解読でタダ乗りされていないかの確認の一端として、 arpwatch なるIP＆MACアドレス対応チェックをしてくれるソフトを入れてみた。

すると警告メールがポロポロ。「げろタダ乗りされてる？」と思わず心配になってきた。

new station (192.168.1.100) eth0
new station (192.168.5.3) eth0
new station (192.168.1.101) eth0
flip flop (192.168.1.100) eth0

我が家では、192.168.1.X とか 5.X なんてアドレス使っていない。 でもよくよく送られてきたメールのMACアドレスを見ると、MacBook と iPod touch。 すると、192.168.1.X は、Pocket WiFi のアドレス、192.168.5.X は、職場のTimeCapsule… ということが見えてきた。

ある意味当たり前なんだけど、モバイル機器が自動でWiFi切り替える前に、 前のWiFi接続でのIP,MAC組みで通信を試みているのが原因。 ネットワークセグメントが違うから、警告に上がってくるとは予想してなかったけど、 arpwatchは、ARPパケットの視点でチェックするから、異常接続と誤認するわけやね…
# モバイル系、外で使った後はその度に警告でるのね…
# ちょっとうざいなぁ…

arpwatchの導入時に参考にした記事では、 「DHCP系はその度に違うアドレスが振られて警告がうざい」と書いてあったけど、 自宅は DHCPもMACアドレスで静的な対応を取らせてるから、 問題なしと思っていたんだが….甘かったな….

bogonを無視するように設定

arpwatchのマニュアルを見ると、関係ないネットワーク"bogon" を無視する機能がついている。 "-n network/width" でLocal以外を無視することもできるけど、 ブラックリスト方式よりはホワイトリスト方式の方がちょっとマシ。ということで、設定ファイルを書き換え。

(( /etc/arpwatch.conf ))
eth0    -m root -z 192.168.1.0/255.255.255.0 -z 192.168.5.0/255.255.255.0