科来网络回溯分析系统-回溯追踪ARP扫描攻击

上面介绍了科来网络回溯分析系统,有些回溯产品的用户在反馈说科来的回溯产品很强大,但在查找、定位起来感觉有些困难。其实科来网络回溯分析系统已经充分考虑了这些问题,并提供了相应的解决办法。由于之前大家都习惯了使用科来便携式分析系统的分析模式,感觉通过诊断和安全分析方案即可很方便的对网络问题进行发现并定位,其实回溯的产品更加准确、方便、实用。
下面我来说一下上周一个客户遇到的问题。该用户在网络中部署了科来网络回溯分析系统,监控的内容包括:DMZ区应用服务器、分支机构VPN流量、内网的上网流量。
该用户在一些设备上报出了Arp攻击的错误信息,最终去没有找到相关的异常设备。
其实目前对ARP的问题存在两个问题:
1、           故障产生,并且有大量机器能显示报错,但是没有保存下有效数据,进行定位分析及取证
2、           数据太多,无法快速查找、定位,并且进行追溯性分析。