wenn ich email erhalte dass ein neuer Host im Netz gefunden wurde, steht bei "MAC Vendor" in der eMail immer <unknown> drin. Wenn ich jedoch eMails erhalte mit Flip/Flop Nachrichten, oder andere steht er drin. Ich möchte aber auch beim ersteren sehen können um welchen MAC vendor es sich handelt. Bisher kopier ich mir immer mühselig die MAC heraus und überprüfe sie in einen der vielen online vorhandenen WebServices (MAC --> Herstellername).
Ist das nur bei mir so, default Einstellung oder woran könnte das liegen? any help appreciated
EDIT: Problem gelöst. Die /usr/share/arpwatch/ethercodes.dat ist nicht grad die aktuellste gewesen, daran lag es. Also hab ich kurzerhand meine ethercodes.dat mit der offziellen MAC-Vendor Liste upgedatet. Wen's interessiert, hier das Skript dazu. Bitte vorher noch die original ethercodes.dat backuppen falls erwünscht, denn das Skript überschreibt die vorhandene ethercodes.dat...
Code: Alles auswählen
#!/bin/bash
# Die aktuelle Liste von IEEE's Webseite holen
wget http://standards.ieee.org/regauth/oui/oui.txt
# Hersteller und MAC-Adressbereich wird aufgeteilt aus der gezogenen Liste
cat oui.txt | grep '(base 16)' | cut -f3 > mac.manufacturer
cat oui.txt | grep '(base 16)' | cut -f1 -d' ' > mac.address
# der Adressteil wird in arpwatch' format geparsed ...
cat mac.address | perl -pe 's/^(([^0].)|0(.))(([^0].)|0(.))(([^0].)|0(.))/\2\3:\5\6:\8\9/' > tmp.address
cat tmp.address | tr [A-Z] [a-z] > mac.address
# und letztendlich das ganze in die ethercodes.dat schreiben
paste mac.address mac.manufacturer > ethercodes.dat
# Putzfrau
rm tmp.address
rm mac.address
rm mac.manufacturer
rm oui.txt
) funktioniert die URL hinter "wget" nicht mehr.