Colasoft CapsaでARPアタックをトラブルシュートする

Colasoft Capsaは、ネットワークトラフィックのモニタリング、プロトコルの解析と診断に使用できる先進的なソフトウェアです。Colasoft Capsaは専門家としてLAN問題解決の手助けになります。

ARPは、簡単的かつ堅牢な、効率的なプロトコルであり、ますます多くのインタネット破壊者に利用されます。従って、インタネット環境にひどい影響を与えます。ARPアタックはネットワークに発生した際に、Capsaを通じて、迅速的かつ精確的にアタック元の位置をロケートすることで、正常かつ確実なネットワークオペレーションを確保できます。

Colasoft CapsaにはARPアタックをロケートできる四つの基礎なソリューションがあります。

診断タブにARP診断イベントを参照する

プロトコルタブにARPリクエストとレスポンスのパケットを参照する

パケットタブにARPパケットのオリジナル情報を参照する

物理エンドポイントタブにノード情報を参照する

診断タブにARPアタック情報が簡明的かつ直感的に表示されています。ARPアタックをロケートするには、診断タブの確認は最優先の選択です。イメージ画面は下記のとおりです。

図１：診断タブ

図１には、ネットワークに二つタイプのARPアタックイベントがあると表示されてます。それは、ARP スキャンと ARPリクエストストームです。アタック元の詳細情報は右側のパネルに表示されます。一方、CapsaはARPアタックの原因と相応のソリューションも提供します。

図２のように、ARPアタックのステータスはプロトコルタブに表示されます。ARP　RequestとARP Responseの値に注目してください。通常の場合、ARP　RequestとARP Responseの比率はほぼ1:1です。二つの値には大きな差があれば、ネットワークにARPアタックがある可能性があります。

図２：プロトコルタブ

図２に3762のARP Responseパケットはありますが、ARP Requestパケットは114しかありません。その二つの値を比較することにより、ARPアタックがネットワークに存在すると推測できます。

パケットタブにあるパケットデコード情報により、ARPパケットのオリジナル情報が判明できます。

ARPパケットをデコードイングすることにより、ARPパケットの送信元・送信先を見つけられ、ARPパケットの実体とファンクションを把握できます。

物理エンドポイントタブを通じてARPアタックを確認します。

（図３：物理エンドポイントタブ）

物理エンドポイントタブにMACアドレスとIPアドレスの関連性が確認できます。通常の場合、一つのMACアドレスに応じるIPアドレスは一つしかありません。もし一つのMACアドレスは複数のIPアドレスがあれば、下記の状況に該当する可能性があります。

1. MACアドレスを持つホストはゲートウェイです。
2. それらのIPアドレスは、手動でMACアドレスにバインドされています。
3. ARPアタックがあります。

従って、物理エンドポイントタブは、ARPアタックをロケートするヒントが提供できます。

また、マトリックスタブにホスト間の通信情報を確認することにより、迅速に異常状況を識別し、アタック元をロケートすることが可能になります。

図４：マトリックスタブ

ARPアタックは、最近最も人気のあるアタックの一つとして、ネットワークにひどい問題をもたらす可能性があります。どのようにARPアタックを早めに解決するかはネットワーク管理に関わっています。ネットワーク管理者はColasoft Capsaを使用して、ARPアタックの識別力とARPアタックに対する防衛力を大幅に高めることができますし、ネットワークの正常動作も確保できます。迅速的にARPアタックをロケートするだけではなく、Colasoft Capsaはネットワーク異常の解析、ノード障害のロケート、ネットワークセキュリティの増強、ネットワーク性能の確認・増強にも利用できます。