姒 雁 蔡易挺

（作者單位：四川廣播電視科研所 北京英夫美迪公司成都分公司）

某省級電臺網(wǎng)絡(luò)遭ARP攻擊故障案例診斷及分析

姒 雁 蔡易挺

（作者單位：四川廣播電視科研所 北京英夫美迪公司成都分公司）

ARP攻擊是導(dǎo)致局域網(wǎng)癱瘓的常見原因，本文就今年發(fā)生在國內(nèi)某省級廣播電臺制作播出網(wǎng)絡(luò)因遭受ARP攻擊出現(xiàn)網(wǎng)絡(luò)癱瘓的真實故障案例，介紹了故障分析、排查解決過程和故障原因，為廣播電臺的網(wǎng)絡(luò)安全建維護(hù)、如何快速判查網(wǎng)絡(luò)ARP攻擊故障提供了參考。

ARP攻擊；制播網(wǎng)絡(luò)；網(wǎng)絡(luò)安全

隨著廣播電臺全臺網(wǎng)的建設(shè)，廣播電臺的節(jié)目生產(chǎn)和播出已經(jīng)完全依賴與計算機網(wǎng)絡(luò)，因此網(wǎng)絡(luò)安全對于安全播出來講日趨重要。目前在廣播電臺制作播出局域網(wǎng)絡(luò)中，如果沒有采取嚴(yán)格的安全維護(hù)措施，“ARP攻擊”、 “ARP欺騙”、以及網(wǎng)絡(luò)中其它計算機的通信信息截獲等很容易發(fā)生，感染了ARP木馬的計算機，可以造成整個網(wǎng)絡(luò)內(nèi)其它計算機的通信故障，甚至造成整個網(wǎng)絡(luò)癱瘓。

ARP（Address Resolution Protocol，地址解析協(xié)議）作為TCP/IP協(xié)議棧的網(wǎng)絡(luò)層，是將目標(biāo)設(shè)備IP地址解析成對應(yīng)的MAC地址，通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，并進(jìn)行通信。所以，ARP是網(wǎng)絡(luò)協(xié)議中涉及網(wǎng)絡(luò)安全最重要的和最常見的協(xié)議之一，比如“ARP欺騙”可以實現(xiàn)的偽造IP地址和MAC地址；而“ARP攻擊”則在網(wǎng)絡(luò)中攻擊者迸發(fā)大量的ARP通信，持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包造成網(wǎng)絡(luò)通訊阻塞，并能夠更改目標(biāo)主機ARP緩存中的IP-MAC條目造成網(wǎng)絡(luò)中斷。

廣播電臺的計算機網(wǎng)絡(luò)即使采用了高可用性結(jié)構(gòu)，配置了主備服務(wù)器及路由，但是遇到“ARP攻擊”也會造成全網(wǎng)癱瘓的嚴(yán)重后果。

“ARP攻擊”對于局域網(wǎng)而言雖然容易發(fā)生而且后果很嚴(yán)重，但是，由于電臺制播網(wǎng)絡(luò)均是封閉的內(nèi)網(wǎng)，通常采取了較為嚴(yán)格的安全措施以防止病毒的感染，實際發(fā)生情況并不多見，由于不同于系統(tǒng)設(shè)備的“硬故障”那樣容易排查，“ARP攻擊”屬于網(wǎng)絡(luò)協(xié)議層的“軟故障”，工程技術(shù)人員在故障出現(xiàn)后很容易被誤導(dǎo)，造成故障排查時間較長，處理較為困難。今年年中在國內(nèi)某省級廣播電臺就發(fā)生了一起，其制作播出網(wǎng)絡(luò)因為遭受ARP攻擊出現(xiàn)網(wǎng)絡(luò)癱瘓。為了更好地闡述在網(wǎng)絡(luò)維護(hù)過程中，如何快速判查網(wǎng)絡(luò)ARP攻擊故障，我們把整個對故障分析和排查解決過程進(jìn)行了總結(jié)，提供給大家參考，以提高網(wǎng)絡(luò)安全性和網(wǎng)絡(luò)免疫力，從而滿足現(xiàn)代廣播電臺安全播出的要求。

1　故障描述

2015年8月，國內(nèi)某省級廣播電臺計算機音頻制作及播出網(wǎng)絡(luò)發(fā)生故障，內(nèi)網(wǎng)用戶訪問制播網(wǎng)中得服務(wù)器的速度非常慢，甚至不能訪問，主、備服務(wù)器群聚系統(tǒng)無法正常工作，導(dǎo)致整個電臺制播網(wǎng)絡(luò)不能使用，即使啟動單獨的備份服務(wù)器工作也不正常，嚴(yán)重影響了電臺正常的節(jié)目生產(chǎn)制作，所幸的是由于播出工作站因有本地備份，采用斷網(wǎng)播出確保了故障期間重要廣播節(jié)目沒有停播。

故障發(fā)生后，播出系統(tǒng)在播放中出現(xiàn)中斷和網(wǎng)絡(luò)丟失等錯誤信息，服務(wù)器的群集IP會丟失。

2　故障分析

故障出現(xiàn)后在排查開始階段，初步判斷引起問題的原因可能是服務(wù)器的群集軟件出現(xiàn)問題，造成播出系統(tǒng)制作客戶端和播出客戶端無法正常運行。并著手進(jìn)行群集軟件故障具體分析排查，發(fā)現(xiàn)Windows服務(wù)器和群集軟件的日志中很多報錯信息，把日志信息仔細(xì)分析后，問題基本縮小為群集的IP地址設(shè)置無法生效，客戶端訪問失敗、播出掉線等問題都是這個問題引起的。通過前期分析，并受到安全播出時間的苛刻要求，力圖快速解決，于是多次修改配置，重新啟動群集系統(tǒng)，同時按照該存儲群集系統(tǒng)廠家給出了幾個排查方向進(jìn)行操作處理，問題均沒有得到解決。

在獲取網(wǎng)絡(luò)信息的時候，發(fā)現(xiàn)網(wǎng)絡(luò)已經(jīng)發(fā)生嚴(yán)重阻塞，通過ping的方式訪問客戶機和服務(wù)器，速度非常慢，而且嚴(yán)重丟包，甚至不能訪問，在主機房的客戶終端和播出站分別使用“arp -a”命令查看ARP緩存信息，結(jié)果發(fā)現(xiàn)很多IP終端使用了相同的MAC地址。

3　故障排查

首先在電臺網(wǎng)絡(luò)機房進(jìn)行網(wǎng)絡(luò)信息的獲取，將筆記本電腦連接到電臺的中心交換機上，做好端口鏡像配置操作，通過網(wǎng)絡(luò)分析系統(tǒng)捕獲約半分鐘的網(wǎng)絡(luò)通訊數(shù)據(jù)，并分析捕獲到的數(shù)據(jù)包。

如圖1，通過詳細(xì)分析圖1中的連接信息發(fā)現(xiàn)大多數(shù)連接的源地址都是192.168.5.119，即連接都是由IP為192.168.5.X中的主機終端發(fā)起的，在網(wǎng)絡(luò)分析軟件主界面左邊的節(jié)點瀏覽器中我們還發(fā)現(xiàn)，同時在線的IP主機達(dá)到了100多臺，而電臺節(jié)目制作播出內(nèi)網(wǎng)的音頻工作站電腦終端約為50多臺，因為網(wǎng)絡(luò)故障和夜間工作時間關(guān)系，此時同時在線的最多有20臺左右，很明顯網(wǎng)絡(luò)中有大量的偽造IP地址的主機終端，采用偽造的IP地址進(jìn)行攻擊或者進(jìn)行自動掃描攻擊。

圖1　網(wǎng)絡(luò)中的TCP連接信息

點擊鼠標(biāo)右鍵選中源地址192.168.5.119的任意一個連接，在彈出的菜單中點擊“定位瀏覽器節(jié)點”和“端點1 IP”，節(jié)點瀏覽器會自動定位到192.168.5.119主機，這樣，就可以通過選擇視圖圖表中“TCP連接子視圖項”進(jìn)行查看192.168.5.119主機的TCP連接情況，如圖2所示。

圖2　主機的TCP連接信息

我們知道，采用TCP通訊協(xié)議工作時，請求端發(fā)起連接需要通過三次“握手”，當(dāng)請求端向不存在的目的端發(fā)起了同步請求時，由于收不到目的端主機的確認(rèn)回復(fù)，就會一直處于請求同步狀態(tài)，直到超時斷開。所以，當(dāng)我們在網(wǎng)絡(luò)分析軟件界面中選擇連接視圖，查看圖2可以看到，主機192.168.5.119在大約5分鐘的時間內(nèi)發(fā)起了2800個“連接”，且其中有2793個“連接”都是初始化連接，也就是大多數(shù)都是客戶端請求同步的狀態(tài)，即TCP通訊中三次“握手”的第一步，這表示192.168.5.119主機肯定存在自動掃描攻擊。據(jù)此，可以更加確定在電臺制播網(wǎng)絡(luò)中存在自動掃描攻擊。

通過選擇數(shù)據(jù)包視圖查看192.168.5.119傳輸通訊的數(shù)據(jù)包信息，其數(shù)據(jù)包的協(xié)議都是CIFS，源地址都是192.168.5.119，數(shù)據(jù)包的大小都是66字節(jié)，而數(shù)據(jù)包的目標(biāo)地址則是隨機的，目標(biāo)端口都是445，且查看數(shù)據(jù)包的TCP標(biāo)志位，都是同步位置1，所有這些都說明主機192.168.5.119正在主動對網(wǎng)絡(luò)中的TCP 445端口進(jìn)行掃描攻擊，可以確定故障原因很可能就是192.168.5.119主機感染病毒程序。

最后我們查看該廣播電臺播出制作網(wǎng)得知該IP網(wǎng)段是192.168.0.X，出現(xiàn)192.168.2.X、92.168.4.X和192.168.5.X等這樣的IP地址肯定不是播出制作網(wǎng)段的計算機。所以基本能夠確定電臺計算機網(wǎng)絡(luò)故障是該播出網(wǎng)絡(luò)被接入了其它網(wǎng)絡(luò)，并被其它網(wǎng)絡(luò)中帶有ARP病毒的計算機攻擊了。

4　故障原因

在明確了網(wǎng)路受到ARP攻擊以后，電臺技術(shù)人員開始對整個制播網(wǎng)絡(luò)系統(tǒng)進(jìn)行物理排查，通過排查后發(fā)現(xiàn)故障原因：廣告部在更換防火墻時操作失誤將不應(yīng)接入內(nèi)網(wǎng)的互聯(lián)網(wǎng)交換機接入內(nèi)網(wǎng)，導(dǎo)致可以連接外網(wǎng)的主機通過內(nèi)網(wǎng)對主服務(wù)器（server1和server2）和備服務(wù)器（bf）發(fā)起了ARP斷網(wǎng)攻擊，將有欺詐性質(zhì)的ARP數(shù)據(jù)包通過內(nèi)網(wǎng)發(fā)送給主備服務(wù)器，將多個與192.168.0.- 網(wǎng)段內(nèi)的IP地址所對應(yīng)的mac地址進(jìn)行了修改，修改為一個錯誤的mac地址，導(dǎo)致備服務(wù)器（bf）與各頻率直播間的的播出電腦之間的網(wǎng)絡(luò)時常無法連通，也造成啟用備用服務(wù)器后播出軟件頻繁死機。由于主服務(wù)器（server1和server2）通過群集技術(shù)來訪問磁盤陣列，而群集是通過產(chǎn)生虛擬IP來管理和訪問磁盤陣列的，由于ARP斷網(wǎng)攻擊將虛擬IP的mac地址進(jìn)行了錯誤的修改，導(dǎo)致主服務(wù)器（server1和server2）無法通過群集正常的訪問磁盤陣列，從而也導(dǎo)致了采用主服務(wù)器（server1和server2）時播出軟件的死機和無法操作。經(jīng)調(diào)查發(fā)現(xiàn)192.168.5.- 網(wǎng)段的IP是屬于電臺西配樓廣告部的，因廣播廣告上單需要，西配樓廣告部有一個直接連入內(nèi)網(wǎng)的交換機，由于其操作人員的疏忽將與外網(wǎng)相連的交換機與電臺內(nèi)網(wǎng)的交換機錯誤的級聯(lián)在一起，導(dǎo)致能夠訪問外網(wǎng)的主機錯誤的接入了內(nèi)網(wǎng)，也正是廣告部的這臺主機發(fā)起的ARP攻擊造成了這次嚴(yán)重事故。

5　結(jié)束語

經(jīng)過這個事件后，該廣播電臺根據(jù)《GB/T 22039信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)》基本要求，分別針對制播網(wǎng)、綜合業(yè)務(wù)網(wǎng)，從網(wǎng)絡(luò)安全（基礎(chǔ)網(wǎng)絡(luò)安全和邊界安全）、主機安全（終端系統(tǒng)安全、服務(wù)端系統(tǒng)安全）、應(yīng)用安全、數(shù)據(jù)安全幾個層面對臺里的計算機系統(tǒng)進(jìn)行了相應(yīng)的安全防護(hù)升級和整改，以杜絕相關(guān)事件的再次發(fā)生。