论文部分内容阅读
【摘要】 ARP攻击是一种很专业化的网络攻击手段,可以造成网络的堵塞甚至崩溃,对局域网的安全造成了很大的威胁。本文通过作者经历的一起ARP攻击导致网络故障的处理,分析了ARP攻击原理,并提出了细分VLAN+端口设置+病毒防范的解决方案。
【关键词】局域网 ARP攻击 网络故障 网络安全
一、引言
近几年来各种各样的病毒层出不穷,特别是针对局域网的ARP病毒攻击,具有隐蔽性、随机性、突然性,在互联网上能下载到APR欺骗工具,可对网络进行拒绝服务攻击(DoS)、MAC伪装或中间人攻击,造成网络中断或数据被截取或篡改,对网络造成了严重威胁。
二、ARP攻击故障经历
作者身处一家三级乙等医院网络中心,医院的业务网络(内网)约为1000台客户端的规模,包括HIS、LIS、RIS、PACS等系统,担负着每天挂号、预约、收费、就诊、检验、检查、发药、入院、护理、医嘱、病史、出院等等几乎涉及全院医疗业务的计算机网络应用,所以医院的网络是一刻也不能中断的,网络安全是重中之重。在ARP攻击导致网络故障后,组织力量排除故障,并做好了后期防范工作。
2.1 故障现象
突然性的大面积故障,只有少量电脑可以工作
内网电脑程序异常缓慢或不响应
发生故障的为医院内网的电脑,其他如外网(internet)、政务网等则正常
2.2 故障排查
根据故障现象,组织对故障的排查工作。
主交换机检查:cisc06509物理特性包括电源、光端口模块指示灯全部正常;用笔记本联入主交换机console接口,发现登录异常缓慢;
数据库检查:在主服务器上打开SQL Server,运行SQL命令:sp_wh02 active,查询是否有进程堵住了其它任务而导致程序缓慢或没有响应,发现正常,排除数据库的问题;
根据上述情况,结合进一步掌握的故障现象:联在同一接入交换机上的PC并不是所有的都不能使用、能使用的程序反应异常缓慢、网络时断时续等,初步怀疑ARP攻击。
所谓ARP,是“Address Resolution Protocol”的英文缩写,意为地址解析协议,是一种将网络层32位的lP地址解析成数据链路层48位的MAC硬件地址的TCP/IP协议。局域网内的每台主机都有一个高速缓存区,用以存放IP地址和MAC地址的对应关系,称之为ARP列表。主机之间通信时,会互相发送与接收包含IP和MAC的ARP包,以确定对方的MAC地址并以此更新自己的ARP列表,然后双方根据MAC地址开始通信。ARP协议是建立在网络内各节点互相信任的基础上的,虽然高效却并不安全。一些黑客利用这个漏洞制造出病毒:用伪造的MAC地址发送给其他主机,致使该主机形成错误的lP与MAC地址对应关系,数据就传不到正确的地方;ARP协议允许用户在网络里大量发送ARP数据包,可以令网络中充斥着大量数据,占用带宽,降低网络速度及性能,直至崩溃无法正常工作。根据故障现象及ARP攻击的特点,排查工作往ARP攻击方面考虑。
现场排查:在故障PC上打开命令提示符,利用ping工具ping服务器的IP地址,发现ping不通,再ping网关IP,发现也pmg不通,而核心交换机并没有任何策略阻止ICMP报文;在可用PC上plng网关,发现ping值多在lOOOms以上,并且丢包严重;比较故障与可用PC的查询ARP表的命令arp-a返回结果,发现两者的网关物理地址不一样,故障PC的ARP列表内并非是核心交换机的MAC地址,而是被篡改成了某个其他的MAC地址。由此可判断,由于故障PC的ARP列表内学习到了错误的MAC地址,因此在做地址解析的时候重定向到错误的网关地址,从而导致无法访问到正确的网关,最终无法访问到服务器。
2.3 故障排除
运用排除法,用SQL命令确定数据库正常,缩小故障范围为网络问题,进而利用相关网络命令确定了故障原因——ARP攻击,进一步查看ARP表找出攻击源MAC,如何来确定攻击源位置从而排除故障呢?如果能在主交换机上查到故障源来自哪个端口,再根据端口查到接入交换机,确定到故障源联接在该交换机上的端口,把该端口shutdown就解决问题了。在常规状态下可使用show mac-address-table dynamiCadd命令在cisco6509上查该MAC的来源端口,但目前主交换机速度异常缓慢,命令几乎不可用,显然该方法行不通;查看平时所维护的内网设备信息表,科室、设备名、IP等都有,但未记录MAC地址,故不能第一时间根据MAC查到故障源。
在应急情况下,根据中心机房到各弱电间的光纤部署,采取逐一断主交换机上光纤链路的方法来判断故障源的大致位置。在断开门诊四楼弱电间时,网络恢复正常。经查,该区域是体检中心,联入十几台内网电脑。暂时不把该光纤接上去,让全院其他科室先恢复工作,而体检中心的电脑全部格式化重装系统后,再接入网络。
三、原因分析及防范措施
3.1 原因分析
直接原因:ARP病毒攻击,被攻击终端电脑的ARP列表中的网关地址被篡改,造成终端不能访问服务器;带毒终端持续不断地发出大量ARP报文,占据了交换机背板带宽,导致交换机性能下降,网络速度缓慢;
为何造成大面积故障?当时我院的网络结构尚未完善,所有终端电脑、网络打印机、服务器等设备全部位于同一个网段,当发生ARP攻击时,影响了整个网络;
为何会有ARP病毒?有些科室需要从内网导出数据并通过外网上报,如体检中心、检验科、肺科等,不可避免地在内外网电脑之间使用U盘等存储介质;另外,可能存在个别不自觉的员工在内网电脑上使用U盘甚至USB无线上网设备。
3.2 实施解决方案 在明确了原因以后,对医院网络进行整改。
首先对几种方案进行了考查和衡量:①静态绑定IP和MAC。ARP攻击的方式是改变主机动态的ARP缓存表。针对这种情况,可以手动设置静态的ARP表:在windows的命令提示符窗口输入命令arp-s网关IP网关MAC即可,但该绑定重启系统就会丢失,且需对每台主机进行设置,不适用我们主机数量庞大的网络;②交换机绑定。在局域网核心交换机上绑定主机的lP和MAC,同时将主机的MAC跟接入交换机的端口绑定,这种方法对付ARP欺骗效果较好。但在实际工作中,同样工作量大,且缺乏灵活性,如要增加新主机,或移动主机,必须重新设置,故不予采用;③ARP服务器。在局域网内专门配备一台服务器,管理所有主机的IP和MAC映射列表。服务器通过查询此列表来响应来自网络上的ARP请求,并且网络内主机只允许接收该服务器的响应。缺点是这台服务器不能出问题,否则整个网络就瘫痪了。风险较高,不能采用。
根据我们网络用户数量庞大、安全性要求高的实际情况,最终采取的防御措施是:
划分VLAN。
对网络进行合理划分,分成一个个小的广播域,这样,即使发生ARP攻击,也只局限于当前区域,而不至于造成大面积的网络故障,并且能快速查找故障源排除故障。根据楼层、科室、病区等的区别划分不同的VLAN,即门诊楼每层分开、每个病区分开、急诊单独分开、行政区单独分开,像放射科、检验科等有医疗设备联人内网比较特殊,分别给予单独的VLAN。VLAN的划分起到了如下作用:
①提高了网络安全性。一个VLAN内部的广播和单播流量均不会发送到其它VLAN中,这样利于减少网络设备资源消耗、控制信息流量、方便网络管理;有效控制广播风暴。所谓广播风暴,简单的讲,在广播数据充斥网络无法得到处理,其存在占用了大量网络带宽,导致正常业务不能运行,甚至会导致网络瘫痪。由于不同的VLAN有着各自独立的广播域,而广播只能在本地VLAN内进行,从而大大减少了广播对网络带宽的占用,提高了带宽传输效率,并可以有效地避免广播风暴的产生。
②提高了管理效率。由于VLAN的虚拟性,增加、删除、移动用户就变得更加简便快捷。用户可以随时随地通过VLAN在网络上进行操作。利用VLAN技术将医院的科室、病区等按不同地理位置或属性划分为一个个逻辑网段,在不改动网络物理连接的情况下即可将工作站在工作组或子网之间移动。
交换机端口报文抑制及绑定网关
设置接入交换机端口允许通过的最大广播报文流量、在交换机端口视图下,输人命令:hroadcast-suppression pps50,设置每秒钟广播报文上限为50个,当接口上的广播流量超过设定值,系统将丢弃超出广播流量限制的报文,从而使接口广播流量降低到限定的范围,保证网络业务的正常运行。该设定值可根据实际情况作调整。
绑定相对应vlan的网关。在端口视图下输入命令:arp filter source本VLAN网关地址,即在该端口上绑定r本VLAN网关,如有伪造网关的ARP报文经过,将被丢弃.。
病毒防范
网络版杀毒软件升级到最新版,并设置定时查杀毒;
拔除工作站的光驱、软驱等,USB口通过管理软件禁止U盘等存储介质接入,只允许键盘鼠标、打印机、刷卡器等设备接入;如确实工作需要,给予管理软件允许接入的专用U盘,由专人负责数据的导出上报,同时上报的外网电脑安装杀毒软件;
取消某些服务器共享文件夹的允许网络用户更改功能,如要更新数据只允许到机房实地操作或通过远程桌面等方式;
其他
文档资料的完善。在此次网络故障中,因为文档中缺少某些信息,当需要准确定位时,无法及时有效地抓住主要因素,从而延迟了排除故障的时间,导致处理问题效率低下。
重新整理的文档内容包括资产编码、科室、lP地址、MAC地址、信息点位号、交换机端口号等等,当有故障发生时,可以根据文档迅速地找到故障源,快速解决问题。在日常工作中,也可以方便地对网络及电脑进行管理。
四、结束语
本文通过对ARP攻击的经历及研究,提出了适用于医院防范ARP攻击的解决方案,加以实施后至今未发生过类似故障。实践证明,该方案能有效防止ARP病毒攻击。在实际工作中,除技术手段外,还需要管理手段,如培训操作人员的安全意识、利用管理制度等来保证信息安全。
【关键词】局域网 ARP攻击 网络故障 网络安全
一、引言
近几年来各种各样的病毒层出不穷,特别是针对局域网的ARP病毒攻击,具有隐蔽性、随机性、突然性,在互联网上能下载到APR欺骗工具,可对网络进行拒绝服务攻击(DoS)、MAC伪装或中间人攻击,造成网络中断或数据被截取或篡改,对网络造成了严重威胁。
二、ARP攻击故障经历
作者身处一家三级乙等医院网络中心,医院的业务网络(内网)约为1000台客户端的规模,包括HIS、LIS、RIS、PACS等系统,担负着每天挂号、预约、收费、就诊、检验、检查、发药、入院、护理、医嘱、病史、出院等等几乎涉及全院医疗业务的计算机网络应用,所以医院的网络是一刻也不能中断的,网络安全是重中之重。在ARP攻击导致网络故障后,组织力量排除故障,并做好了后期防范工作。
2.1 故障现象
突然性的大面积故障,只有少量电脑可以工作
内网电脑程序异常缓慢或不响应
发生故障的为医院内网的电脑,其他如外网(internet)、政务网等则正常
2.2 故障排查
根据故障现象,组织对故障的排查工作。
主交换机检查:cisc06509物理特性包括电源、光端口模块指示灯全部正常;用笔记本联入主交换机console接口,发现登录异常缓慢;
数据库检查:在主服务器上打开SQL Server,运行SQL命令:sp_wh02 active,查询是否有进程堵住了其它任务而导致程序缓慢或没有响应,发现正常,排除数据库的问题;
根据上述情况,结合进一步掌握的故障现象:联在同一接入交换机上的PC并不是所有的都不能使用、能使用的程序反应异常缓慢、网络时断时续等,初步怀疑ARP攻击。
所谓ARP,是“Address Resolution Protocol”的英文缩写,意为地址解析协议,是一种将网络层32位的lP地址解析成数据链路层48位的MAC硬件地址的TCP/IP协议。局域网内的每台主机都有一个高速缓存区,用以存放IP地址和MAC地址的对应关系,称之为ARP列表。主机之间通信时,会互相发送与接收包含IP和MAC的ARP包,以确定对方的MAC地址并以此更新自己的ARP列表,然后双方根据MAC地址开始通信。ARP协议是建立在网络内各节点互相信任的基础上的,虽然高效却并不安全。一些黑客利用这个漏洞制造出病毒:用伪造的MAC地址发送给其他主机,致使该主机形成错误的lP与MAC地址对应关系,数据就传不到正确的地方;ARP协议允许用户在网络里大量发送ARP数据包,可以令网络中充斥着大量数据,占用带宽,降低网络速度及性能,直至崩溃无法正常工作。根据故障现象及ARP攻击的特点,排查工作往ARP攻击方面考虑。
现场排查:在故障PC上打开命令提示符,利用ping工具ping服务器的IP地址,发现ping不通,再ping网关IP,发现也pmg不通,而核心交换机并没有任何策略阻止ICMP报文;在可用PC上plng网关,发现ping值多在lOOOms以上,并且丢包严重;比较故障与可用PC的查询ARP表的命令arp-a返回结果,发现两者的网关物理地址不一样,故障PC的ARP列表内并非是核心交换机的MAC地址,而是被篡改成了某个其他的MAC地址。由此可判断,由于故障PC的ARP列表内学习到了错误的MAC地址,因此在做地址解析的时候重定向到错误的网关地址,从而导致无法访问到正确的网关,最终无法访问到服务器。
2.3 故障排除
运用排除法,用SQL命令确定数据库正常,缩小故障范围为网络问题,进而利用相关网络命令确定了故障原因——ARP攻击,进一步查看ARP表找出攻击源MAC,如何来确定攻击源位置从而排除故障呢?如果能在主交换机上查到故障源来自哪个端口,再根据端口查到接入交换机,确定到故障源联接在该交换机上的端口,把该端口shutdown就解决问题了。在常规状态下可使用show mac-address-table dynamiCadd命令在cisco6509上查该MAC的来源端口,但目前主交换机速度异常缓慢,命令几乎不可用,显然该方法行不通;查看平时所维护的内网设备信息表,科室、设备名、IP等都有,但未记录MAC地址,故不能第一时间根据MAC查到故障源。
在应急情况下,根据中心机房到各弱电间的光纤部署,采取逐一断主交换机上光纤链路的方法来判断故障源的大致位置。在断开门诊四楼弱电间时,网络恢复正常。经查,该区域是体检中心,联入十几台内网电脑。暂时不把该光纤接上去,让全院其他科室先恢复工作,而体检中心的电脑全部格式化重装系统后,再接入网络。
三、原因分析及防范措施
3.1 原因分析
直接原因:ARP病毒攻击,被攻击终端电脑的ARP列表中的网关地址被篡改,造成终端不能访问服务器;带毒终端持续不断地发出大量ARP报文,占据了交换机背板带宽,导致交换机性能下降,网络速度缓慢;
为何造成大面积故障?当时我院的网络结构尚未完善,所有终端电脑、网络打印机、服务器等设备全部位于同一个网段,当发生ARP攻击时,影响了整个网络;
为何会有ARP病毒?有些科室需要从内网导出数据并通过外网上报,如体检中心、检验科、肺科等,不可避免地在内外网电脑之间使用U盘等存储介质;另外,可能存在个别不自觉的员工在内网电脑上使用U盘甚至USB无线上网设备。
3.2 实施解决方案 在明确了原因以后,对医院网络进行整改。
首先对几种方案进行了考查和衡量:①静态绑定IP和MAC。ARP攻击的方式是改变主机动态的ARP缓存表。针对这种情况,可以手动设置静态的ARP表:在windows的命令提示符窗口输入命令arp-s网关IP网关MAC即可,但该绑定重启系统就会丢失,且需对每台主机进行设置,不适用我们主机数量庞大的网络;②交换机绑定。在局域网核心交换机上绑定主机的lP和MAC,同时将主机的MAC跟接入交换机的端口绑定,这种方法对付ARP欺骗效果较好。但在实际工作中,同样工作量大,且缺乏灵活性,如要增加新主机,或移动主机,必须重新设置,故不予采用;③ARP服务器。在局域网内专门配备一台服务器,管理所有主机的IP和MAC映射列表。服务器通过查询此列表来响应来自网络上的ARP请求,并且网络内主机只允许接收该服务器的响应。缺点是这台服务器不能出问题,否则整个网络就瘫痪了。风险较高,不能采用。
根据我们网络用户数量庞大、安全性要求高的实际情况,最终采取的防御措施是:
划分VLAN。
对网络进行合理划分,分成一个个小的广播域,这样,即使发生ARP攻击,也只局限于当前区域,而不至于造成大面积的网络故障,并且能快速查找故障源排除故障。根据楼层、科室、病区等的区别划分不同的VLAN,即门诊楼每层分开、每个病区分开、急诊单独分开、行政区单独分开,像放射科、检验科等有医疗设备联人内网比较特殊,分别给予单独的VLAN。VLAN的划分起到了如下作用:
①提高了网络安全性。一个VLAN内部的广播和单播流量均不会发送到其它VLAN中,这样利于减少网络设备资源消耗、控制信息流量、方便网络管理;有效控制广播风暴。所谓广播风暴,简单的讲,在广播数据充斥网络无法得到处理,其存在占用了大量网络带宽,导致正常业务不能运行,甚至会导致网络瘫痪。由于不同的VLAN有着各自独立的广播域,而广播只能在本地VLAN内进行,从而大大减少了广播对网络带宽的占用,提高了带宽传输效率,并可以有效地避免广播风暴的产生。
②提高了管理效率。由于VLAN的虚拟性,增加、删除、移动用户就变得更加简便快捷。用户可以随时随地通过VLAN在网络上进行操作。利用VLAN技术将医院的科室、病区等按不同地理位置或属性划分为一个个逻辑网段,在不改动网络物理连接的情况下即可将工作站在工作组或子网之间移动。
交换机端口报文抑制及绑定网关
设置接入交换机端口允许通过的最大广播报文流量、在交换机端口视图下,输人命令:hroadcast-suppression pps50,设置每秒钟广播报文上限为50个,当接口上的广播流量超过设定值,系统将丢弃超出广播流量限制的报文,从而使接口广播流量降低到限定的范围,保证网络业务的正常运行。该设定值可根据实际情况作调整。
绑定相对应vlan的网关。在端口视图下输入命令:arp filter source本VLAN网关地址,即在该端口上绑定r本VLAN网关,如有伪造网关的ARP报文经过,将被丢弃.。
病毒防范
网络版杀毒软件升级到最新版,并设置定时查杀毒;
拔除工作站的光驱、软驱等,USB口通过管理软件禁止U盘等存储介质接入,只允许键盘鼠标、打印机、刷卡器等设备接入;如确实工作需要,给予管理软件允许接入的专用U盘,由专人负责数据的导出上报,同时上报的外网电脑安装杀毒软件;
取消某些服务器共享文件夹的允许网络用户更改功能,如要更新数据只允许到机房实地操作或通过远程桌面等方式;
其他
文档资料的完善。在此次网络故障中,因为文档中缺少某些信息,当需要准确定位时,无法及时有效地抓住主要因素,从而延迟了排除故障的时间,导致处理问题效率低下。
重新整理的文档内容包括资产编码、科室、lP地址、MAC地址、信息点位号、交换机端口号等等,当有故障发生时,可以根据文档迅速地找到故障源,快速解决问题。在日常工作中,也可以方便地对网络及电脑进行管理。
四、结束语
本文通过对ARP攻击的经历及研究,提出了适用于医院防范ARP攻击的解决方案,加以实施后至今未发生过类似故障。实践证明,该方案能有效防止ARP病毒攻击。在实际工作中,除技术手段外,还需要管理手段,如培训操作人员的安全意识、利用管理制度等来保证信息安全。