와이어샤크에서 ARP Request 탐지 기능을 소개한다. 패킷 분석시 ARP 트래픽이 아래 그림과 같이
정해진 수치 이상으로 증가할 경우, 경고해 주는 기능이다. 설정은 Edit->Preferences 에서
프로토콜에 ARP/RARP 를 선택하면 아래 같은 설정을 볼 수 있다.
Detect ARP request storms 를 선택하고 적용하면 탐지해 준다. 예를 들어, 위 예에서는
10,000밀리세컨드 기간동안 30 개의 ARP request 가 탐지되면 알려주는 것이다. 기능 자체적으로는
간단한 기술이다. 자, 아래 화면을 보면 Packet storm detected 라고 탐지된 것을 볼 수 있다.
필터를 적용할 수도 있는데, "arp.packet-storm-detected" 이다.
ARP 트래픽이 많이 발생하는 사이트에서는 사용해 볼 수 있는 기능이다. 유용한 기능인지는
여러분들이 판단해야 할 것이다 :-)
댓글 없음:
댓글 쓰기