任儉

【摘要】 ARP攻擊是一種很專業(yè)化的網(wǎng)絡(luò)攻擊手段，可以造成網(wǎng)絡(luò)的堵塞甚至崩潰，對(duì)局域網(wǎng)的安全造成了很大的威脅。本文通過作者經(jīng)歷的一起ARP攻擊導(dǎo)致網(wǎng)絡(luò)故障的處理，分析了ARP攻擊原理，并提出了細(xì)分VLAN+端口設(shè)置+病毒防范的解決方案。

【關(guān)鍵詞】局域網(wǎng) ARP攻擊 網(wǎng)絡(luò)故障 網(wǎng)絡(luò)安全

一、引言

近幾年來各種各樣的病毒層出不窮，特別是針對(duì)局域網(wǎng)的ARP病毒攻擊，具有隱蔽性、隨機(jī)性、突然性，在互聯(lián)網(wǎng)上能下載到APR欺騙工具，可對(duì)網(wǎng)絡(luò)進(jìn)行拒絕服務(wù)攻擊（DoS）、MAC偽裝或中間人攻擊，造成網(wǎng)絡(luò)中斷或數(shù)據(jù)被截取或篡改，對(duì)網(wǎng)絡(luò)造成了嚴(yán)重威脅。

二、ARP攻擊故障經(jīng)歷

作者身處一家三級(jí)乙等醫(yī)院網(wǎng)絡(luò)中心，醫(yī)院的業(yè)務(wù)網(wǎng)絡(luò)（內(nèi)網(wǎng)）約為1000臺(tái)客戶端的規(guī)模，包括HIS、LIS、RIS、PACS等系統(tǒng)，擔(dān)負(fù)著每天掛號(hào)、預(yù)約、收費(fèi)、就診、檢驗(yàn)、檢查、發(fā)藥、入院、護(hù)理、醫(yī)囑、病史、出院等等幾乎涉及全院醫(yī)療業(yè)務(wù)的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用，所以醫(yī)院的網(wǎng)絡(luò)是一刻也不能中斷的，網(wǎng)絡(luò)安全是重中之重。在ARP攻擊導(dǎo)致網(wǎng)絡(luò)故障后，組織力量排除故障，并做好了后期防范工作。

2.1 故障現(xiàn)象

突然性的大面積故障，只有少量電腦可以工作

內(nèi)網(wǎng)電腦程序異常緩慢或不響應(yīng)

發(fā)生故障的為醫(yī)院內(nèi)網(wǎng)的電腦，其他如外網(wǎng)（internet）、政務(wù)網(wǎng)等則正常

2.2 故障排查

根據(jù)故障現(xiàn)象，組織對(duì)故障的排查工作。

主交換機(jī)檢查：cisc06509物理特性包括電源、光端口模塊指示燈全部正常；用筆記本聯(lián)入主交換機(jī)console接口，發(fā)現(xiàn)登錄異常緩慢；

數(shù)據(jù)庫(kù)檢查：在主服務(wù)器上打開SQL Server，運(yùn)行SQL命令：sp_wh02 active，查詢是否有進(jìn)程堵住了其它任務(wù)而導(dǎo)致程序緩慢或沒有響應(yīng)，發(fā)現(xiàn)正常，排除數(shù)據(jù)庫(kù)的問題；

根據(jù)上述情況，結(jié)合進(jìn)一步掌握的故障現(xiàn)象：聯(lián)在同一接入交換機(jī)上的PC并不是所有的都不能使用、能使用的程序反應(yīng)異常緩慢、網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)等，初步懷疑ARP攻擊。

所謂ARP，是“Address Resolution Protocol”的英文縮寫，意為地址解析協(xié)議，是一種將網(wǎng)絡(luò)層32位的lP地址解析成數(shù)據(jù)鏈路層48位的MAC硬件地址的TCP/IP協(xié)議。局域網(wǎng)內(nèi)的每臺(tái)主機(jī)都有一個(gè)高速緩存區(qū)，用以存放IP地址和MAC地址的對(duì)應(yīng)關(guān)系，稱之為ARP列表。主機(jī)之間通信時(shí)，會(huì)互相發(fā)送與接收包含IP和MAC的ARP包，以確定對(duì)方的MAC地址并以此更新自己的ARP列表，然后雙方根據(jù)MAC地址開始通信。ARP協(xié)議是建立在網(wǎng)絡(luò)內(nèi)各節(jié)點(diǎn)互相信任的基礎(chǔ)上的，雖然高效卻并不安全。一些黑客利用這個(gè)漏洞制造出病毒：用偽造的MAC地址發(fā)送給其他主機(jī)，致使該主機(jī)形成錯(cuò)誤的lP與MAC地址對(duì)應(yīng)關(guān)系，數(shù)據(jù)就傳不到正確的地方；ARP協(xié)議允許用戶在網(wǎng)絡(luò)里大量發(fā)送ARP數(shù)據(jù)包，可以令網(wǎng)絡(luò)中充斥著大量數(shù)據(jù)，占用帶寬，降低網(wǎng)絡(luò)速度及性能，直至崩潰無(wú)法正常工作。根據(jù)故障現(xiàn)象及ARP攻擊的特點(diǎn)，排查工作往ARP攻擊方面考慮。

現(xiàn)場(chǎng)排查：在故障PC上打開命令提示符，利用ping工具ping服務(wù)器的IP地址，發(fā)現(xiàn)ping不通，再ping網(wǎng)關(guān)IP，發(fā)現(xiàn)也pmg不通，而核心交換機(jī)并沒有任何策略阻止ICMP報(bào)文；在可用PC上plng網(wǎng)關(guān)，發(fā)現(xiàn)ping值多在lOOOms以上，并且丟包嚴(yán)重；比較故障與可用PC的查詢ARP表的命令arp-a返回結(jié)果，發(fā)現(xiàn)兩者的網(wǎng)關(guān)物理地址不一樣，故障PC的ARP列表內(nèi)并非是核心交換機(jī)的MAC地址，而是被篡改成了某個(gè)其他的MAC地址。由此可判斷，由于故障PC的ARP列表內(nèi)學(xué)習(xí)到了錯(cuò)誤的MAC地址，因此在做地址解析的時(shí)候重定向到錯(cuò)誤的網(wǎng)關(guān)地址，從而導(dǎo)致無(wú)法訪問到正確的網(wǎng)關(guān)，最終無(wú)法訪問到服務(wù)器。

2.3 故障排除

運(yùn)用排除法，用SQL命令確定數(shù)據(jù)庫(kù)正常，縮小故障范圍為網(wǎng)絡(luò)問題，進(jìn)而利用相關(guān)網(wǎng)絡(luò)命令確定了故障原因——ARP攻擊，進(jìn)一步查看ARP表找出攻擊源MAC，如何來確定攻擊源位置從而排除故障呢？如果能在主交換機(jī)上查到故障源來自哪個(gè)端口，再根據(jù)端口查到接入交換機(jī)，確定到故障源聯(lián)接在該交換機(jī)上的端口，把該端口shutdown就解決問題了。在常規(guī)狀態(tài)下可使用show mac-address-table dynamiCadd命令在cisco6509上查該MAC的來源端口，但目前主交換機(jī)速度異常緩慢，命令幾乎不可用，顯然該方法行不通；查看平時(shí)所維護(hù)的內(nèi)網(wǎng)設(shè)備信息表，科室、設(shè)備名、IP等都有，但未記錄MAC地址，故不能第一時(shí)間根據(jù)MAC查到故障源。

在應(yīng)急情況下，根據(jù)中心機(jī)房到各弱電間的光纖部署，采取逐一斷主交換機(jī)上光纖鏈路的方法來判斷故障源的大致位置。在斷開門診四樓弱電間時(shí)，網(wǎng)絡(luò)恢復(fù)正常。經(jīng)查，該區(qū)域是體檢中心，聯(lián)入十幾臺(tái)內(nèi)網(wǎng)電腦。暫時(shí)不把該光纖接上去，讓全院其他科室先恢復(fù)工作，而體檢中心的電腦全部格式化重裝系統(tǒng)后，再接入網(wǎng)絡(luò)。

三、原因分析及防范措施

3.1 原因分析

直接原因：ARP病毒攻擊，被攻擊終端電腦的ARP列表中的網(wǎng)關(guān)地址被篡改，造成終端不能訪問服務(wù)器；帶毒終端持續(xù)不斷地發(fā)出大量ARP報(bào)文，占據(jù)了交換機(jī)背板帶寬，導(dǎo)致交換機(jī)性能下降，網(wǎng)絡(luò)速度緩慢；

為何造成大面積故障？當(dāng)時(shí)我院的網(wǎng)絡(luò)結(jié)構(gòu)尚未完善，所有終端電腦、網(wǎng)絡(luò)打印機(jī)、服務(wù)器等設(shè)備全部位于同一個(gè)網(wǎng)段，當(dāng)發(fā)生ARP攻擊時(shí)，影響了整個(gè)網(wǎng)絡(luò)；

為何會(huì)有ARP病毒？有些科室需要從內(nèi)網(wǎng)導(dǎo)出數(shù)據(jù)并通過外網(wǎng)上報(bào)，如體檢中心、檢驗(yàn)科、肺科等，不可避免地在內(nèi)外網(wǎng)電腦之間使用U盤等存儲(chǔ)介質(zhì)；另外，可能存在個(gè)別不自覺的員工在內(nèi)網(wǎng)電腦上使用U盤甚至USB無(wú)線上網(wǎng)設(shè)備。

3.2 實(shí)施解決方案

在明確了原因以后，對(duì)醫(yī)院網(wǎng)絡(luò)進(jìn)行整改。

首先對(duì)幾種方案進(jìn)行了考查和衡量：①靜態(tài)綁定IP和MAC。ARP攻擊的方式是改變主機(jī)動(dòng)態(tài)的ARP緩存表。針對(duì)這種情況，可以手動(dòng)設(shè)置靜態(tài)的ARP表：在windows的命令提示符窗口輸入命令arp-s網(wǎng)關(guān)IP網(wǎng)關(guān)MAC即可，但該綁定重啟系統(tǒng)就會(huì)丟失，且需對(duì)每臺(tái)主機(jī)進(jìn)行設(shè)置，不適用我們主機(jī)數(shù)量龐大的網(wǎng)絡(luò)；②交換機(jī)綁定。在局域網(wǎng)核心交換機(jī)上綁定主機(jī)的lP和MAC，同時(shí)將主機(jī)的MAC跟接入交換機(jī)的端口綁定，這種方法對(duì)付ARP欺騙效果較好。但在實(shí)際工作中，同樣工作量大，且缺乏靈活性，如要增加新主機(jī)，或移動(dòng)主機(jī)，必須重新設(shè)置，故不予采用；③ARP服務(wù)器。在局域網(wǎng)內(nèi)專門配備一臺(tái)服務(wù)器，管理所有主機(jī)的IP和MAC映射列表。服務(wù)器通過查詢此列表來響應(yīng)來自網(wǎng)絡(luò)上的ARP請(qǐng)求，并且網(wǎng)絡(luò)內(nèi)主機(jī)只允許接收該服務(wù)器的響應(yīng)。缺點(diǎn)是這臺(tái)服務(wù)器不能出問題，否則整個(gè)網(wǎng)絡(luò)就癱瘓了。風(fēng)險(xiǎn)較高，不能采用。

根據(jù)我們網(wǎng)絡(luò)用戶數(shù)量龐大、安全性要求高的實(shí)際情況，最終采取的防御措施是：

劃分VLAN。

對(duì)網(wǎng)絡(luò)進(jìn)行合理劃分，分成一個(gè)個(gè)小的廣播域，這樣，即使發(fā)生ARP攻擊，也只局限于當(dāng)前區(qū)域，而不至于造成大面積的網(wǎng)絡(luò)故障，并且能快速查找故障源排除故障。根據(jù)樓層、科室、病區(qū)等的區(qū)別劃分不同的VLAN，即門診樓每層分開、每個(gè)病區(qū)分開、急診單獨(dú)分開、行政區(qū)單獨(dú)分開，像放射科、檢驗(yàn)科等有醫(yī)療設(shè)備聯(lián)人內(nèi)網(wǎng)比較特殊，分別給予單獨(dú)的VLAN。VLAN的劃分起到了如下作用：

①提高了網(wǎng)絡(luò)安全性。一個(gè)VLAN內(nèi)部的廣播和單播流量均不會(huì)發(fā)送到其它VLAN中，這樣利于減少網(wǎng)絡(luò)設(shè)備資源消耗、控制信息流量、方便網(wǎng)絡(luò)管理；有效控制廣播風(fēng)暴。所謂廣播風(fēng)暴，簡(jiǎn)單的講，在廣播數(shù)據(jù)充斥網(wǎng)絡(luò)無(wú)法得到處理，其存在占用了大量網(wǎng)絡(luò)帶寬，導(dǎo)致正常業(yè)務(wù)不能運(yùn)行，甚至?xí)?dǎo)致網(wǎng)絡(luò)癱瘓。由于不同的VLAN有著各自獨(dú)立的廣播域，而廣播只能在本地VLAN內(nèi)進(jìn)行，從而大大減少了廣播對(duì)網(wǎng)絡(luò)帶寬的占用，提高了帶寬傳輸效率，并可以有效地避免廣播風(fēng)暴的產(chǎn)生。

②提高了管理效率。由于VLAN的虛擬性，增加、刪除、移動(dòng)用戶就變得更加簡(jiǎn)便快捷。用戶可以隨時(shí)隨地通過VLAN在網(wǎng)絡(luò)上進(jìn)行操作。利用VLAN技術(shù)將醫(yī)院的科室、病區(qū)等按不同地理位置或?qū)傩詣澐譃橐粋€(gè)個(gè)邏輯網(wǎng)段，在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下即可將工作站在工作組或子網(wǎng)之間移動(dòng)。

交換機(jī)端口報(bào)文抑制及綁定網(wǎng)關(guān)

設(shè)置接入交換機(jī)端口允許通過的最大廣播報(bào)文流量、在交換機(jī)端口視圖下，輸人命令：hroadcast-suppression pps50，設(shè)置每秒鐘廣播報(bào)文上限為50個(gè)，當(dāng)接口上的廣播流量超過設(shè)定值，系統(tǒng)將丟棄超出廣播流量限制的報(bào)文，從而使接口廣播流量降低到限定的范圍，保證網(wǎng)絡(luò)業(yè)務(wù)的正常運(yùn)行。該設(shè)定值可根據(jù)實(shí)際情況作調(diào)整。

綁定相對(duì)應(yīng)vlan的網(wǎng)關(guān)。在端口視圖下輸入命令：arp filter source本VLAN網(wǎng)關(guān)地址，即在該端口上綁定r本VLAN網(wǎng)關(guān)，如有偽造網(wǎng)關(guān)的ARP報(bào)文經(jīng)過，將被丟棄.。

病毒防范

網(wǎng)絡(luò)版殺毒軟件升級(jí)到最新版，并設(shè)置定時(shí)查殺毒；

拔除工作站的光驅(qū)、軟驅(qū)等，USB口通過管理軟件禁止U盤等存儲(chǔ)介質(zhì)接入，只允許鍵盤鼠標(biāo)、打印機(jī)、刷卡器等設(shè)備接入；如確實(shí)工作需要，給予管理軟件允許接入的專用U盤，由專人負(fù)責(zé)數(shù)據(jù)的導(dǎo)出上報(bào)，同時(shí)上報(bào)的外網(wǎng)電腦安裝殺毒軟件；

取消某些服務(wù)器共享文件夾的允許網(wǎng)絡(luò)用戶更改功能，如要更新數(shù)據(jù)只允許到機(jī)房實(shí)地操作或通過遠(yuǎn)程桌面等方式；

其他

文檔資料的完善。在此次網(wǎng)絡(luò)故障中，因?yàn)槲臋n中缺少某些信息，當(dāng)需要準(zhǔn)確定位時(shí)，無(wú)法及時(shí)有效地抓住主要因素，從而延遲了排除故障的時(shí)間，導(dǎo)致處理問題效率低下。

重新整理的文檔內(nèi)容包括資產(chǎn)編碼、科室、lP地址、MAC地址、信息點(diǎn)位號(hào)、交換機(jī)端口號(hào)等等，當(dāng)有故障發(fā)生時(shí)，可以根據(jù)文檔迅速地找到故障源，快速解決問題。在日常工作中，也可以方便地對(duì)網(wǎng)絡(luò)及電腦進(jìn)行管理。

四、結(jié)束語(yǔ)

本文通過對(duì)ARP攻擊的經(jīng)歷及研究，提出了適用于醫(yī)院防范ARP攻擊的解決方案，加以實(shí)施后至今未發(fā)生過類似故障。實(shí)踐證明，該方案能有效防止ARP病毒攻擊。在實(shí)際工作中，除技術(shù)手段外，還需要管理手段，如培訓(xùn)操作人員的安全意識(shí)、利用管理制度等來保證信息安全。