网管故事四:单位内部局域网剿杀ARP攻击和ARP欺骗记
小刘是一家出口贸易公司的网管,平日里主要负责公司的内部网络维护,并最兼做一些电脑修理的工作。不过,由于小刘大学时代并不是学的计算机专业,所以相关的计算机知识不是很多。本来小刘是做行政工作的,但是由于公司没有专门的网络管理工作,小刘就被经理安排负责起了公司的网络管理工作。
如果只是单纯地帮助单位内部的人员重装操作系统、更换电脑硬件、安装一些应用软件工作,相对还是较为简单的,所以刚一开始,小刘对自己新的工作内容还是比较满意。相对于之前繁杂的行政工作,网络管理工作内容就相对简单了,同时,小刘也可以借机学习一些网络管理方面的知识。
可是,天有不测风云。最近一段时间,小刘座位上的固定电话响的次数明显多了,并且向小刘求救的问题也越越来越相同:网络掉线。这种问题很严重了,导致大家的工作受阻了,对公司影响不小。领导甚至也开始过问小刘,并责令小刘在尽可能段的时间找出根源,并杜绝此类问题的再次发生。
小刘不敢怠慢,马上着手解决问题。先是将公司的线路、交换机的状况,发现链路连接没有问题;借助于公司的硬件监控系统,发现交换机、路由器、防火墙的运行状况也十分正常,排除了物理设备上的问题,小刘突然想到了当前流行的ARP攻击和ARP欺骗。小刘缺乏相关的知识,就赶忙从网上找相关资料了。经过查阅相关资料,小刘了解到:ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。
看到这里,小刘吓出了一身冷汗。赶紧接着在网上找相关的解决方案。小刘做了一下归纳,有效抵御ARP攻击,防止ARP欺骗的方法主要有以下两种:一、基于DOS命令的方式,小刘了解到,如果局域网只是偶尔才遭遇ARP病毒攻击,那么只需要点击:开始——运行——CMD,然后输入ARP-D,清空ARP表,重新获取一下正确的ARP缓存表就可以了。但是ARP-D命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击;二、通过在路由器、交换机或者防火墙上做IP和MAC地址绑定。但是小刘所在单位只是普通的路由器加交换机,没有提供IP和MAC地址绑定功能,同时,小刘也了解到,单纯依靠路由器或者交换机或者防火墙等做单方面的IP和MAC地址绑定功能,也不能从根源上防御ARP攻击,何况ARP病毒攻击的是局域网电脑的ARP缓存表所存储的网关的MAC地址,也就是将网关的MAC地址强制更改为局域网ARP病毒源主机的MAC地址,更有甚者将网关IP地址对应的MAC地址更改为一个不存在的MAC地址,以此来冒充局域网的电脑的上网网关。所以,还必须对局域网内部电脑的ARP缓存表进行保护,防止遭遇ARP病毒的篡改。
小刘进一步查询相关资料,同时也在各大论坛上发布求助信息,看看业内资深人士的意见和建议。小刘了解到,当前一些单位纷纷在电脑上安装ARP防火墙,来保护局域网的电脑的ARP缓存表。但是要给局域网电脑的都安装ARP防火墙将是一个比较繁重的工作,同时,小刘也注意到:ARP防火墙也是不断向网关(如路由器)发送ARP缓存维持报文,这样,如果局域网的电脑都安装ARP防火墙,所有的这些ARP防火墙都向局域网的网关发送ARP缓存信息,那么可能引发局域网的ARP广播风暴,反而干扰局域网电脑的上网;同时,路由器如果长时间收到ARP缓存包,将使得路由器由于不断识别、解析ARP报文而面临着较大的负担,这样会降低路由器的性能,影响网络通讯的质量。
思索再三,小刘最终没有在局域网的电脑上安装ARP防火墙。小刘继续从网上找相关的解决方案。小刘听说业内某些网络管理软件具有ARP防御功能,小刘在网上就找了几款软件,测试下来效果都并不理想。有一天,小刘一个在软件公司做开发的大学同学告诉小刘,现在局域网内有一款流行的网络管理软件叫做聚生网管,据说有ARP攻击防御功能,小刘赶紧从网上下载了聚生网管系统的试用版,在聚生网管的“安全管理”里面,确实有一个“ARP专项攻击防御功能”。并且下面还有“自动向局域网发送ARP攻击免疫信息”以及“发现ARP攻击时自动加大免疫力度”,同时,还有“发现ARP攻击时自动记录攻击源主机”的功能。这些功能让小刘眼前一亮,小刘在自己的电脑上安装了聚生网管系统,并且开启了这几个功能,发现网络稳定性有了很大的提升,再也没有出现网络掉线和堵塞的现象;同时,由于聚生网管系统可以发现ARP病毒源主机,从而可以让小刘迅速找到ARP欺骗源主机,从而极大地提升了对危险主机的定位和修复能力。
经过一个星期的试用,小刘发现这款聚生网管系统还可以禁止局域网P2P下载、限制聊天软件、限制各个主机的带宽流量、禁止炒股和屏蔽网络游戏等功能,从而也配合了小刘队局域网常规上网行为的管理。小刘后来说服公司领导采购了正式版的聚生网管系统,现在公司的网络管理有了很大的提升。
现在,小刘已经重新找到了之前“轻松网管“的工作状态。“做网管,可以让你精疲力竭,也可以让你悠然自得,关键看你的选择了”,小刘最后说。