回到首頁
從網路中收集ARP要求與回應協助強化網路安全
-
"ARP要求與回應"是網路環境監控的輔助監測功能之一
資訊維運監控系統功能中的ARP統計記錄,主要是透過ARP協定,在IPV4的環境下
統計內網中特定網路設備的ARP Request和Reply數量,讓系統人員即時掌握網路中的ARP流動數量是否正常
監控"ARP要求與回應"的系統規格
偵測目的: 即時掌控內網中ARP流動數量即時讓系統人員,更能了解網路中的ARP流動量是否正常
依每一IP設備統計
*.每小時要求量統計
*.每小時回應量統計
*.每天總計量統計
監測目標: 任何內網中發出ARP要求與回應之IP
警報條件: 每小時統計量
即時資訊: 數據/警報發佈
資訊收集: 訊息,數據,警報發佈/解除時間點
緊急處置: 通報,執行預定程式
警報臨界值: 依應用定義警報值
ARP[Address Resolution Protocol],是負責將IP位址轉換成Mac位址的一種通訊協定
當某一台電腦要傳送資料到某個IP位址時,會先傳送ARP封包詢問網路上哪台電腦的MAC Addres對應到這個IP位址
當目的端的電腦接收到這個ARP封包之後便會回應給來源電腦進行資料傳送,需注意只能在區域網路內使用
用來解析網路裝置的MAC 位址,因廣域網路是點對點所以不能使用ARP
點選偵測狀態中的ARP統計記錄的文字連結已進入如下的主偵測頁面:
點選主偵測頁面中的偵測點,進入到以下依伺服器分類的ARP統計資料之頁面:
晝面上可以看到週一至週日以分日為統計的ARP明細記錄,長期報表,ARP-Request,ARP-Reply,MAC記錄檔等項目
而ARP統計記錄主要偵測目的為掌控內網中ARP流動數量,讓系統人員更能即時了解網路中的ARP流動量是否正常
監測目標為任何內網中發出ARP要求與回應之IP,依每一IP設備統計分為每小時要求量統計
每小時回應量統計與每天總計量統計.
運用ARP統計記錄即時掌握內網中的ARP流動量
如果當ARP的數量有明顯的異常,則可能為未經授權的連網設備被攜入區域網路中使用
或是系統正遭受ARP攻擊等可能的情況
維運偵測系統的其他項目中,可透過資料整合,跨越網段將IP與MAC等資料配對起來
此為單就ARP協定所無法完成的一種應用方式,在ARP統計記錄的主偵測頁面進入方式可以參考以下圖形說明:
點偵測點進入圖形監控大圖-依伺服主機分類的方式:
依伺服器統計的ARP資料,可以清楚看到週一至週日以分日統計的ARP明細記錄,長期報表
ARP-Request,ARP-Reply以及MAC記錄檔等項目
資料主機的主頁主要有依伺服器統計的ARP Request 和ARP Reply資料的文字連結:
依伺服器統計的ARP Request 和ARP Reply資料, 點選可看各別的ARP流量統計
點選進入到每日小時明細報表-ARP Request統計記錄:
ARP-Request統計記錄和ARP-Reply統計記錄,其中每個小時的流量有無異常變動是系統人員的觀察重點
利用一天與一週的統計圖表可一眼看出某一時段內流量變化
下圖為點選到每日小時明細報表-ARP Request統計記錄-依小時次數分析:
橫軸是小時, 縱軸是次數的ARP小時-次數統計表
維運系統之網路流量ARP功能的一週分析圖:
每週一至週日,橫軸是小時,縱軸是次數的ARP小時-次數統計表,例如可從本圖看出,週三這天192.168.5.105
這台伺服器在下午5點時應已關機
以下為網路流量-網路流量-ARP-長期報表-設定的範圍選擇頁面:
進入選擇網路流量-網路流量-ARP-長期報表底下的選項記錄:
網路流量-網路流量-ARP-長期報表可以選定一年的特定月份做ARP流量的長期趨勢觀察,並且選擇是依
伺服器統計的ARP Request 和ARP Reply資料, 點選可看各別的ARP流量統計
下圖為網路流量-網路流量-ARP-長期報表-ARP Request的統計畫面:
ARP-Request統計記錄和ARP-Reply統計記錄均有以下項目:
序號,一天,一週,測試,資訊,明細,主機,類別,網域名稱,國家,來源IP,總計
為每日小時明細報表-ARP Request統計記錄的長期記錄
當有警報發生時可查看ARP Request:
本功能有以下項目:
序號,時間,拹定,來源-IP,星期,時刻,取得值與訊息內容等項目,只要超過警報臨界值
(通常指超過ARP Request的最大值)就會發出警報訊息
ARP統計記錄功能操作之圖示為按照網路設備所在的網域,依小時,天,週為單位記錄內網中ARP的
Request和Reply流動數量,並配合圖示以即時掌握留量是否正常或突然增加
如何設定ARP統計記錄功能以達到偵測效果
要收集ARP協定已啟用統計記錄功能,需輸入設備位址,通信埠與網卡介面等資訊後,並且設定好警報資料
例如ARP-Request最高流量與ARP-Reply最高流量,設定好之後用並點選啟用即可進行偵測與收集的目的
請注意網內與網外的定義:
*.網內-設備IP可以提供MAC資訊則定為網內
*.網外-設備IP無法提供MAC資訊則定為網外
某些FLOW系統的設備(Switch)提供的MAC資訊為閘道IP之MAC,會造成誤判,故須比對過濾閘道IP之MAC(如:sflow)
建立網內閘道IP之MAC,在'環境設定->自定網內閘道IP內建立閘道之IP,系統會自動取得此IP之MAC
如: 192.168.1.254
底下為設定主頁面:
本功能設定項目,請詳見下方說明:
序號:顯示偵測目標之編號的欄位
啟用與暫停:選擇是否進行偵測的欄位
刪除與確認刪除:選擇是否刪除偵測目標的欄位
設備:顯示偵測目標之設備類別的欄位,如果是OS作業系統,例如是IBM AIX ,SPARC,LINUX,如其他設備
例如KVM,IP Camera,Switch,Route,UPS,VPN等圖示
設備位址:輸入目標之偵測設備IP位置的欄位
通信埠:輸入欲偵測設備的IP通信埠之輸入欄位
網卡介面:輸入欲偵測設備的網卡介面種類之欄位
說明:輸入註解與說明的欄位
ARP-Request最高量:輸入ARP-Request最高流量之偵測值的欄位,超出水位則發出告警
ARP-Reply最高量:輸入ARP-Reply最高流量之偵測值的欄位,超出水位則發出告警
明細長期:勾選欄位:如勾選,則會記錄長期之明細的勾選欄位
小時統計長期:勾選欄位,以每小時記錄的長期數據
歸屬主機:以伺服器角度為出發點,一台伺服器可能有數個IP,本頁面即為輸入標註哪個IP屬於哪台伺服器的頁面
群組名單:可點選已建立之群組或個別輸入名單
單位部門:警報通報之群組名單的單位,部門名稱之註記
別名:使用別名可以讓系統管理者很快的知道設備用途,設定好後儲存,設備名稱就會以別名的形式顯示
群組:發佈或解除警報時的通報名單是依群組,部門,特性定義為一群組名稱,分為警報發送的通報名單
或伺服器的分組群組名單
資訊:此項設備的詳細資訊,如:用途,位置,機櫃,設備照片...等
使用說明如下列圖文:
使用說明
網路流量之資訊分下三類
.網路流量-NetFlow
.網路流量-sFlow
.網路流量-ARP
收集資訊之內容
網路流量-NetFlow
.TCP
.UDP
.ICMP
.IGMP
網路流量-sFlow
.TCP
.UDP
.ICMP
.IGMP
.ARP
網路流量-ARP
.ARP-Request
.ARP-Reply
資訊統計與警報的定義
網路流量-NetFlow
.TCP與UDP
警報值:每小時總量(流量 用MB為單位)
警報發佈:依每目的IP+每天一次為限
警報明細資料:依每目的IP+每天+每一小時(時刻)為限
警報項目分網內與網外
1. 依每目的IP
2. 依每目的IP+通信埠
.ICMP與IGMP
警報值:每小時總量(次數)
警報發佈:依每目的IP+每天一次為限
警報明細資料:依每目的IP+每天+每一小時(時刻)為限
網路流量-sFlow
.TCP與UDP
警報值: 每小時總量(流量 用MB為單位)
警報發佈: 依每目的IP+每天一次為限
警報明細資料: 依每目的IP+每天+每一小時(時刻)為限
警報項目分網內與網外
1. 依每目的IP
2. 依每目的IP+通信埠
.ICMP與IGMP與ARP
警報值:每小時總量
警報值:每小時總量(次數)
警報發佈:依每目的IP+每天一次為限
警報明細資料:依每目的IP+每天+每一小時(時刻)為限
網路流量-ARP
.ARP-Request與ARP-Reply
警報值:每小時總量(次數)
警報發佈:依每目的IP+每天一次為限
警報明細資料:依每目的IP+每天+每一小時(時刻)為限
資料格式
清單明細
每小時總量
ARP,ICMP 使用'次數統計'
流量 使用'Packet:Bytes:次數' 三項資訊統計
總計
. 每天
. 每小時總量
流量單位
KB
MB
GB
TB
未標示為Bytes
網內與網外的定義
網內:設備IP可以提供MAC資訊則定為網內
網外:設備IP無法提供MAC資訊則定為網外
*某些FLOW系統的設備(Switch)提供的MAC資訊為閘道IP之MAC,會造成誤判故須比對過濾閘道IP之MAC,如:sflow
*建立網內閘道IP之MAC,在'環境設定->自定網內閘道IP,內建立閘道之IP,系統會自動取得此IP之MAC,
例如:192.168.1.254
流出與流進的定義
. 流出
以來源IP(Source IP)定義為"設備位址"者是 "流出"
從來源IP(Source IP)的方向看
. 流進
以目的IP(Destination IP)定義為"設備位址"者是 "流進"
從來源IP(Destination IP)的方向看
*** 不是從 Watchdog主機或Switch的角度看流出與流進之方向
*** 流出與流進的內容會因流出,流量分開統計而會重複計算
長期報表
明細記錄會即時寫入
小時統計之流量與次數統計則會在7天後才寫入
* 己刪除之目標IP將會保留30天,若此IP在30天之內重新建立將會使用舊資料還原
* 網路流量-ARP是由Watchdog本身的網卡,使用'tcpdump'專為ARP收集訊息,請不要指定主網卡,如: eth0
* 網路流量-ARP是依指定之網卡名稱為收集目標(如: eth1),若重複將無效
* 每天是指一星期之0 - 6天,'0'是星期日
* 每台依每天小時記錄的"明細記錄"檔案最高不超過1GB(約500萬筆資料),若超過將不會在記錄,但每小時統計會繼續
* 每台依月的長期記錄的"明細記錄"檔案最高不超過2GB(約一仟萬筆資料),若超過將不會在記錄
* 查詢"明細記錄"若超過約一萬筆資料,會出現確認執行之提示
* 依通信埠統計是要特別指定
* 僅有網外IP才納入百分比之"國家網域分佈圖",排名前10名,依IP數量,統計次數,Bytes數,封包數
分例不同的分析圖,依"統計次數"是在同一IP下的資料筆數之次數總合,因尾數小數點進位問題
(未滿1%用1%計算),固總計可能會超出100%,百分比計算是依條件下之全部資料總計,非前10名之總和
* 警報是依來源IP或目的IP的'小時總量'之流量或次數為計算值
* 警報發佈若是採用 '小時總量' 則超出此量時會立即發佈
* 取消警報之發佈並不會依偵測系統自動發佈(無取消警報)
* 警報標記,警報明細標記 警報有效時間預設24小時後自動刪除
* 警報發佈的限制
. 每天同一目標僅會發出一次警報
. 如果使用'天'為單位發佈,若有發生大量異常警報時不會發出太多訊息
* 警報明細記錄檔則會每小時超出警報值時記錄
* 若有設定為'不發警報之IP設備'時,其警報明細記錄檔會照常記錄
* 記錄查詢時之主機名稱的顏色
黑色:可由DNS取得此IP之主機名稱
紅色:在/Daip 內有建立此IP為危險性IP
紫色:在/Puip 內有建立此IP為通用拹定IP
* 記錄網內,網外的主機網域名稱的保存時間,未異動者30天後刪除, 3天內同IP不會再更新網域名稱
* 查詢網內,網外的主機網域名稱,必須先設定"環境設定"->"網域伺服"(DNS)
回到首頁
