ARP là một trong những cuộc tấn công phổ biến nhất trong những ngày gần đây, nó có thể gây ra vấn đề nghiêm trọng cho hệ thống của chúng ta. Làm thế nào để nhanh chóng khắc phục sự cố các cuộc tấn công ARP là những gì cần phải quan tâm trong vấn đề quản lý mạng. Colasoft Capsa sẽ nâng cao đáng kể năng lực quản trị để xác định các cuộc tấn công ARP và bảo vệ hệ thống mạng thoát khỏi các cuộc tấn công ARP, để đảm bảo hệ thống hoạt động bình thường.
Với Colasoft Capsa, chúng ta có thể xác định nguồn gốc của cuộc tấn công nhanh chóng và chính xác khi có bất kỳ cuộc tấn công ARP xảy ra với hệ thống mạng của chúng ta.
Chúng ta có bốn giải pháp cơ bản để xác định vị trí tấn công ARP với Colasoft Capsa:
Giải pháp 1: tại tab Diagnosis là nơi để xác định vị trí tấn công ARP trực tiếp
và hiệu quả nhất. Giao diện của nó được hiển thị như hình bên dưới:
Trong hình trên chỉ ra rằng có hai trường hợp tấn công ARP.
Giải pháp 2: các trạng thái của gói tin ARP được hiển thị trong tab Protocol. Ở
đây chúng ta phải chú ý đặc biệt với giá trị của ARP Request và ARP Response, tỷ lệ giữa hai giá trị này yêu cầu khoảng 1:1 . Nếu có sự khác biệt quá lớn giữa hai giá trị, có thể có cuộc tấn công ARP trong hệ thống mạng.
Giải pháp 3: giải mã thông tin trong tab Packet, có thể nói cho chúng ta biết
những thông tin ban đầu của gói tin ARP. Với cách giải mã các gói tin ARP, chúng ta có thể tìm ra nguồn gốc và điểm đến của các gói ARP.
Giải pháp 4: Xác định các cuộc tấn công ARP trong tab Physical Endpoint
Trong tab Physical Endpoint chúng ta có thể thấy sự tương quan của địa chỉ MAC và địa chỉ IP. Nói chung, một địa chỉ MAC thì chỉ có một địa chỉ IP tương ứng với nó. Nếu một địa chỉ MAC có nhiều địa chỉ IP cho nó, điều kiện có thể là:
- Các host có địa chỉ MAC là gateway
- Những địa chỉ IP này được liên kết với các địa chỉ MAC một cách thủ công. - Có thể là tấn công ARP
Do đó tab Physical Endpoint cũng có thể cho chúng ta một gợi ý để xác định vị trí tấn công ARP.