回溯追踪ARP扫描攻击
----------科来网络回溯分析系统
1. 科来网络回溯分析系统产品概述
科来网络回溯分析系统是能够长期记录网络通讯数据,并提供基于时间的数据挖掘分析系统。它拥有独特的网络管理能力,实现了数据的海量存储及快速的历史数据回溯分析功能,使网络分析突破时间的限制,在数据挖掘、追踪定位以及安全取证等方面更精确、高效,从而帮助用户解决当今最困难的网络问题。
科来网络回溯分析系统由分析服务器、分析控制台和分析管理控制中心组成,实现了从庞大的本地网到跨地域跨分支的广域网的方便、快捷的数据采集、分析和解码,快速完成网络故障诊断、网络应用分析、性能分析以及协议分析等功能。
科来网络回溯分析系统(部署图示)
2. ARP扫描攻击追踪性分析
上面介绍了科来网络回溯分析系统,有些回溯产品的用户在反馈说科来的回溯产品很强大,但在查、定位起来感觉有些困难。其实科来网络回溯分析系统已经充分考虑了这些问题,并提供了相应的解决办法。由于之前大家都习惯了使用科来便携式分析系统的分析模式,感觉通过诊断和安全分析方案即可很方便的对网络问题进行发现并定位,其实回溯的产品更加准确、方便、实用。
下面我来说一下上周一个客户遇到的问题。该用户在网络中部署了科来网络回溯分析系统,监控的内容包括:DMZ区应用服务器、分支机构VPN流量、内网的上网流量。
该用户在一些设备上报出了Arp攻击的错误信息,最终去没有到相关的异常设备。
其实目前对ARP的问题存在两个问题:
1、故障产生,并且有大量机器能显示报错,但是没有保存下有效数据,
进行定位分析及取证
2、数据太多,无法快速查、定位,并且进行追溯性分析。
现在就来介绍一些如何通过科来网络回溯分析系统进行ARP故障的诊断、定位。
1、选择分析的时间,回溯数据至故障时间段。
2、选择窗口的显示单位,由于我们尽量多的去查ARP,在这里我们
选择10天窗口。
3、选择数据的呈现方式。
虽然科来能提供多种呈现方式,在这里我们选择根据物理地址进行显示。
显示物理地址个数可以按照100、500、1000等多种,我们选择显示全部。
4、快速检索及下载并分析数据包
下载并分析数据包
通过科来网络回溯分析系统特有的快速检索功能,快速定位出发送MAC组播、广播的主机,并且进行快速排名,进行安全分析。
5、自动调用科来专家分析系统,进行数据包级别分析
受到arp攻击对选择的数据调用科来专家分析系统,下载并分析数据包。
6、通过诊断分析,定位ARP扫描攻击
至于科来专家分析系统的诊断,不再多说,大家都懂的~ 7、进一步证明扫描攻击
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论