網路流量-ARP主要功能
ARP(Address Resolution Protocol)是地址解析協定,
用於將一個網絡層(例如 IP)的地址解析成一個資料鏈路層(例如 Ethernet)的地址。
是允許資料從一台主機傳送到另一台主機的關鍵步驟。
過程包括兩個主要步驟:ARP 要求(Request)和 ARP 回應(Reply)。
➢ARP 要求(Request):
當一台主機需要向另一台主機發送數據,但只知道目標主機的 IP 地址,不知道目標主機的 MAC 地址時,
就會發送一個 ARP 要求。這個要求包含了發送主機的 IP 和 MAC 地址,以及目標主機的 IP 地址。
這個要求會被廣播到所有連接到同一網路的主機。
➢ARP 回應(Reply):
當一台主機收到 ARP 要求,並且該要求的目標 IP 地址與自己的 IP 地址匹配時,
就會發送一個 ARP 回應,這個回應包含了該主機的 IP 地址和 MAC 地址,該回應會被發送到發送 ARP 要求的主機。
透過這個過程,主機可以解析出目標主機的 MAC 地址,然後將數據正確地傳送到目標主機。
當一台主機(在本例中為 WATCHDOG 主機)需要向另一台主機發送數據時,
會進行 ARP 要求與回應的過程。
WATCHDOG 會負責收集網路中的 ARP 資訊。
且WATCHDOG 有專門的程式來處理這些收集的 ARP 資料。
客戶端並不需要特別的設定或收集 ARP 資訊。
ARP的應用
由於 ARP 要求與回應的過程會涉及網路的數據傳輸,
因此,如果網路中的 ARP 【要求 - Request】或【回應 - Reply】過多,可能會導致網路阻塞。
這時可以透過分析 ARP 的要求與回應,來找出造成網路阻塞的原因。
例如,我們可以查看是哪一台或哪些主機在大量發送 ARP 要求藉此判斷並解決造成網路阻塞的問題。
監控ARP要求與回應的系統規格
➢ 偵測目的:即時監控內網中ARP流量,使系統人員能即時了解ARP流動量是否正常。
➥每小時要求量統計
➥每小時回應量統計
➥每日總計量統計
➢ 監測目標:監測內網中發出ARP要求與回應之IP設備。
➢ 警報條件:基於每小時統計量,及時發現異常。
➢ 即時資訊:提供實時數據與警報發佈。
➢ 資訊收集:紀錄訊息、數據以及警報的發佈與解除時間。
➢ 緊急處置:發生異常時通報並執行預定程式。
➢ 警報臨界值:依據應用需求定義警報值。
欲想查看【網路流量 - ARP】在WATCHDOG上的實務設定,
請透過【網路流量 - ARP】連結深探相關詳細資訊。
