Arpwatchの隠れたユーティリティ: massagevendor の徹底解説 🛠️

massagevendor は、イーサネットのベンダーコード（OUI: Organizationally Unique Identifier）のマスターリストを、Arpwatchが利用可能な形式 (ethercodes.dat) に変換するためのプログラム（またはスクリプト）です。

簡単に言うと、以下のような役割を担っています。

• 🌐 IEEE（Institute of Electrical and Electronics Engineers）などが公開している公式のOUIリスト（通常テキスト形式）を入力として受け取る。
• 📝 そのリストを解析し、Arpwatch (arpwatch デーモンや arpsnmp) が読み込める特定のフォーマットに整形する。
• 💾 整形されたデータを標準出力に出力する（通常、この出力が ethercodes.dat ファイルとして保存される）。

MACアドレスは通常、最初の24ビット（6桁の16進数）がベンダーを示すOUIとなっています。ArpwatchはこのOUI部分と ethercodes.dat ファイル内の情報を照合することで、デバイスの製造元を特定しています。

古いバージョンのArpwatchではシェルスクリプトとして実装されていましたが、最近のバージョン（例: Arpwatch 3.x以降）ではPythonスクリプト (massagevendor.py) として提供されている場合もあります。基本的な機能は変わりませんが、実装言語が異なる点に注意が必要です。

massagevendor の出力結果である ethercodes.dat ファイルは、ArpwatchがMACアドレスからベンダー名を解決するためのデータベースです。このファイルが存在しないか、内容が古い場合、Arpwatchはベンダー名を正しく表示できず、ログに “unknown vendor” やそれに類する表示が多くなります。

ファイルの場所:
ethercodes.dat ファイルの一般的な格納場所は、OSやArpwatchのインストール方法によって異なりますが、以下のようなパスがよく使われます。

• /usr/share/arpwatch/ethercodes.dat
• /var/lib/arpwatch/ethercodes.dat
• /usr/local/arpwatch/ethercodes.dat (FreeBSD/pfSenseなど)
• システムによっては他の場所にある可能性もあります。

ファイルの内容:
ファイルの中身は、通常、以下のような形式になっています（タブ区切り）。

# OUI        Vendor Name
00:00:0C    Cisco Systems, Inc
00:00:5E    IANA
00:1B:21    Dell Inc.
08:00:27    PCS Systemtechnik GmbH (Historically Oracle VirtualBox)
... (多数のエントリが続く)
        

最初の列がOUI（MACアドレスの先頭3バイト）、2番目の列が対応するベンダー名です。# で始まる行はコメントです。

新しいネットワーク機器は日々登場し、それに伴い新しいOUIも割り当てられています。そのため、ethercodes.dat ファイルを定期的に更新することが、正確なベンダー情報を得るためには不可欠です。📅

massagevendor は通常、直接実行するよりも、ethercodes.dat を更新するための補助スクリプト（例: update-ethercodes や update-ethercodes.sh）内部で呼び出されます。しかし、その動作を理解するために、基本的な使い方を見てみましょう。

多くの場合、massagevendor は標準入力からベンダーリストを受け取り、標準出力に整形後のデータを出力します。

# IEEEから最新のOUIリスト(oui.txt)をダウンロード
wget http://standards-oui.ieee.org/oui/oui.txt

# massagevendor を使って oui.txt を Arpwatch 形式に変換し、ethercodes.dat.new に保存
massagevendor < oui.txt > ethercodes.dat.new

# (オプション) 生成されたファイルを確認
head ethercodes.dat.new

# (オプション) 新しいファイルを適切な場所に移動・リネーム
# ※ パスは環境に合わせて変更してください
# ※ 事前に既存ファイルのバックアップを推奨します
sudo mv ethercodes.dat.new /usr/share/arpwatch/ethercodes.dat
        

注意点:

• massagevendor コマンド自体へのパスが通っていない場合は、フルパスで指定する必要があります (例: /usr/sbin/massagevendor や /usr/local/arpwatch/massagevendor.py など)。
• 入力となるOUIリストの形式は、IEEEの公開している oui.txt 形式を基本としますが、massagevendor の実装によっては多少の違いがあるかもしれません。
• Kali Linuxのツール情報などを見ると、massagevendor -h を実行しようとして sed のエラーが表示される例が見られますが、これは massagevendor が内部で sed などの他のコマンドを呼び出していること、そして massagevendor 自体が直接のヘルプオプションを持たない（または想定された使い方ではない）ことを示唆しています。基本的には標準入力からデータを受け取る形式で動作します。
• 近年のArpwatch（バージョン3.x系）では、Pythonスクリプト版の massagevendor.py が主流になりつつあります。この場合、Pythonの実行環境が必要になります。

内部処理の概要

massagevendor が行う主な処理は以下の通りです。

1. 入力されたベンダーリスト（例: oui.txt）を一行ずつ読み込む。
2. OUIとベンダー名が含まれる行を特定する。oui.txt の場合、”(hex)” という文字列を含む行が該当します。
3. 行からOUI（例: `00-00-0C`）とベンダー名（例: `XEROX CORPORATION`）を抽出する。
4. OUIの形式をArpwatchが認識できる形式（例: `00:00:0C`）に変換する。ハイフンをコロンに置換し、大文字に変換するなど。
5. 抽出・整形したOUIとベンダー名を、タブ区切りで標準出力に出力する。
6. 不要な行（空行、コメント行、OUI情報を含まない行など）は無視する。

この一連の処理により、人間が読みやすい形式のマスターリストが、プログラムで処理しやすい ethercodes.dat の形式に変換されます。

前述の通り、ethercodes.dat は定期的に更新することが推奨されます。幸い、多くのArpwatchパッケージには、この更新作業を自動化または簡略化するためのスクリプトが含まれています。

update-ethercodes スクリプトの利用

比較的新しいバージョンのArpwatch (特にDebian系やFreeBSD/pfSenseなど) では、update-ethercodes という名前のスクリプトが提供されていることが多いです。このスクリプトは、通常以下の処理を行います。

1. IEEEのウェブサイトなどから最新のOUIリスト (oui.txt や oui.csv など) をダウンロードする。
2. ダウンロードしたリストを massagevendor (または内部ロジック) を使って ethercodes.dat 形式に変換する。
3. 生成された新しい ethercodes.dat ファイルを適切な場所に配置する（既存のファイルを上書きまたはリネーム）。

このスクリプトを実行するだけで、ethercodes.dat を最新の状態に保つことができます。

# スクリプトの場所は環境によって異なります
# 例: FreeBSD/pfSense の場合
sudo /usr/local/arpwatch/update-ethercodes

# 例: Debian/Ubuntu の場合 (パスは異なる可能性があります)
# sudo /usr/sbin/arpwatch-update-ethercodes (仮のパス)
# または、パッケージに含まれる更新メカニズムを確認してください。

# スクリプトが存在しないか、うまく動作しない場合は、
# 前述の massagevendor を直接使う方法を試すこともできます。
        

Cronによる自動更新

update-ethercodes スクリプトが存在する場合、これをcronジョブとして登録することで、定期的に自動更新させることが可能です。例えば、毎日深夜に実行する場合、crontab -e で以下のような行を追加します（パスは環境に合わせてください）。

# 毎日午前3時に update-ethercodes を実行 (ランダムな遅延を追加する例)
# sleep `jot -r 1 0 600` は FreeBSD/pfSense で見られる例で、0〜600秒のランダムな待機を入れ、
# サーバーへのアクセス集中を避けるための工夫です。Linuxでは `sleep $((RANDOM % 600))` などが使えます。
0 3 * * * root sleep $((RANDOM % 600)) ; /usr/local/arpwatch/update-ethercodes > /dev/null 2>&1
        

pfSenseのようなシステムでは、Web UIの設定でベンダーリストの自動更新を有効にするオプションが用意されている場合がありますが、一部のバージョンではこの自動更新が正しく機能しないという報告もあります (2024年12月時点のフォーラム情報など)。その場合は、手動でcronジョブを設定するのが確実な回避策となります。

手動更新スクリプトの作成

update-ethercodes スクリプトが提供されていない場合や、カスタマイズしたい場合は、自分で簡単なシェルスクリプトを作成することもできます。基本的な流れは massagevendor の使い方で示した通りです。

#!/bin/bash

# 最新のOUIリストをダウンロード
# curl や wget を使用
OUI_URL="http://standards-oui.ieee.org/oui/oui.txt"
TMP_OUI_FILE="/tmp/oui.txt.$$"
TMP_ETHERCODES_FILE="/tmp/ethercodes.dat.$$"
# Arpwatchのethercodes.dat のパス (環境に合わせて変更)
ETHERCODES_PATH="/usr/share/arpwatch/ethercodes.dat"

echo "Downloading latest OUI list from ${OUI_URL}..."
curl -s -o "${TMP_OUI_FILE}" "${OUI_URL}"
if [ $? -ne 0 ]; then
  echo "Error: Failed to download OUI list."
  exit 1
fi

echo "Generating new ethercodes.dat..."
# massagevendor のパス (環境に合わせて変更)
# シェルスクリプト版の場合: /usr/sbin/massagevendor
# Python版の場合: python3 /usr/local/arpwatch/massagevendor.py など
/usr/sbin/massagevendor < "${TMP_OUI_FILE}" > "${TMP_ETHERCODES_FILE}"
if [ $? -ne 0 ]; then
  echo "Error: massagevendor failed."
  rm -f "${TMP_OUI_FILE}"
  exit 1
fi

echo "Updating ${ETHERCODES_PATH}..."
# 既存ファイルのバックアップ (任意)
if [ -f "${ETHERCODES_PATH}" ]; then
  cp -p "${ETHERCODES_PATH}" "${ETHERCODES_PATH}.bak"
fi

# 新しいファイルで上書き (sudoが必要な場合あり)
mv "${TMP_ETHERCODES_FILE}" "${ETHERCODES_PATH}"
if [ $? -ne 0 ]; then
  echo "Error: Failed to move generated file to ${ETHERCODES_PATH}. Check permissions."
  rm -f "${TMP_OUI_FILE}"
  rm -f "${TMP_ETHERCODES_FILE}"
  exit 1
fi

# 一時ファイルを削除
rm -f "${TMP_OUI_FILE}"

echo "ethercodes.dat updated successfully! ✨"
exit 0
        

このスクリプトを保存し (例: update_ethercodes_custom.sh)、実行権限を与え (chmod +x update_ethercodes_custom.sh)、必要に応じて sudo をつけて実行します。

massagevendor や ethercodes.dat の更新に関連して、いくつか注意すべき点や問題が発生する可能性があります。

• ベンダー名が “unknown” になる: 最も一般的な問題です。ethercodes.dat ファイルが存在しない、古い、またはArpwatchがアクセスできない場合に発生します。update-ethercodes を実行するか、手動で更新・配置し、ファイルのパーミッションを確認してください。2015年頃や2020年頃にも、ファイルが古いことで同様の問題が報告されていました。
• update-ethercodes が失敗する:
  • ネットワーク接続の問題でIEEEサイトからOUIリストをダウンロードできない。
  • massagevendor コマンドが見つからない、または実行権限がない。
  • Python版の massagevendor.py の場合、Pythonインタプリタが見つからない、または必要なライブラリが不足している。（ただし、通常は標準ライブラリのみを使用します）
  • 書き込み先のディレクトリへの権限がない (/usr/share/arpwatch/ など)。sudo をつけて実行してみてください。
  • スクリプト内で使用されているコマンド（curl, wget, sed, awk など）がインストールされていない。
  スクリプトが出力するエラーメッセージを確認し、原因を特定してください。
• pfSenseなどでの自動更新の問題: 前述の通り、pfSenseのWeb UIにある「Update vendors」チェックボックスが期待通りに機能しない場合があります。この場合、cronジョブを手動で設定するのが有効な対策です。
• OUIリストのフォーマット変更: 可能性は低いですが、IEEEが公開するOUIリストのフォーマットが大幅に変更された場合、既存の massagevendor スクリプトが正しく解析できなくなる可能性があります。その場合は、massagevendor スクリプト自体の修正が必要になるかもしれません。
• Arpwatchのバージョン互換性: 古いArpwatch (2.x系) と新しいArpwatch (3.x系) では、massagevendor の実装（シェルスクリプトかPythonか）や依存関係が異なる場合があります。システムにインストールされているArpwatchのバージョンを確認してください。