一、事件描述
2015年2月2日星期一下午,单位部分用户的网络出现间歇性断网现象,每次断网时间不到2分钟,然后自动恢复。一开始间隔半天才出现一次,后来间隔时间缩短到1小时。
二、处置过程
针对这样的情况,我们首先想到的是汇聚交换机或者网络边界设备是不是有接触不良等物理故障,其次再考虑网络上发生了攻击的可能。在检查了网络设备后,确认设备无物理故障,于是按照网络攻击的方向进行查找。
在登陆防火墙和入侵防御设备的管理界面后未发现有明显的攻击痕迹,需要对攻击行为进行深入分析。当天将故障情况报至天融信防火墙原厂及南京鼎盟技术有限公司并请求技术协助。工程师到场后,进行了初步检查,设置了一个排查攻击发生点的策略。当夜,在服务器区选择一台服务器安装了网络状态监视器软件对外网和防火墙的连通性进行持续监测,直至第二天未发现服务器区对外的服务有中断,对防火墙的联通也未发生中断,故可判断故障点在用户区。第二天继续在用户区部署了网络状态监视器,如图1。
.png)
图1
第三天早上,查看日志,发现防火墙和核心交换机都发现了丢包,具体日志部分记录如下:
2015-02-03 18:23:54: ——开始记录服务器:防火墙[192.168.252.1]——
2015-02-03 18:24:06: 防火墙:网络正常
2015-02-04 05:17:27: 防火墙:网络发现丢包
2015-02-04 06:33:06: 防火墙:网络发现丢包
2015-02-04 08:53:55: 防火墙:网络正常
汇聚核心交换机的记录为:
2015-02-03 18:23:54: ——开始记录服务器:核心6802[192.168.252.2]——
2015-02-03 18:24:06: 核心6802:网络正常
2015-02-04 06:46:44: 核心6802:网络发现丢包
2015-02-04 08:18:33: 核心6802:网络发现丢包
2015-02-04 08:53:55: 核心6802:网络正常
南京鼎盟及天融信两位工程师根据监控日记,在仔细检查了防火墙的运行情况后,发现防火墙上存在1800多个内部的错误包,根据分析,该错误是由地址冲突造成。工程师设法在用户断网的间歇,利用移动手机提供的无线4G网络从外面登陆防火墙进行抓包分析,确认错误报文包来自用户的汇聚交换机。登陆交换机进行ARP情况查看,结果如下:
BH6802_office_center(config)# show arp
IP MACAge TypeVLAN-ID VPN-NAME Interface
192.168.7.2 0015.58DB.AACB static 70 1/11
192.168.7.3 0015.58DB.AA79 static 70 1/11
192.168.7.4 001A.A09E.4C04 static 70 1/11
192.168.7.5 0001.6C8B.49A6 static 70 1/11
192.168.7.6 0001.6C5A.AE21 static 70 1/11
192.168.7.7 7446.A0BE.151F static 70 1/11
192.168.7.8 7446.A0C1.0DB8 static 70 1/11
192.168.252.1 0010.F330.CEE5 1162 s dynamic 10 1/11
192.168.5.4 F4EC.3834.DA8B 1150 s dynamic 40 1/11
192.168.2.3 14CF.9231.C194 1174 s dynamic 30 1/11
192.168.2.37 F4EC.3834.C9E3 1183 s dynamic 30 1/11
192.168.4.2 F4EC.383E.9DAF 1185 s dynamic 50 1/11
192.168.1.61 2C44.FD0B.63B2 1194 s dynamic 20 1/11
(备注:由于ARP信息表较大,只摘取了部分代表性信息,加下划线是为了方便阅读,下同。)
发现原本提供给隔壁大楼使用的交换机第11个端口上出现了原本应该走其他端口的大量IP地址和MAC地址。例如,防火墙接的是交换机的第24个端口,它的IP和MAC地址出现在了11端口上,原本24端口上也有IP和MAC地址的信息,从而造成冲突断网。这种情况的发生,应该是有人劫持并伪造了交换机上的IP和MAC信息。工程师在交换机上对防火墙的IP地址和MAC地址进行了绑定,确保端口信息不被劫持,大部分用户网络开始稳定,暂时不出现断网现象。绑定后再看交换机的ARP,信息如下:
BH6802_office_center(config)# show arp
IP MACAge TypeVLAN-ID VPN-NAME Interface
192.168.7.2 0015.58DB.AACB static 70 1/11
192.168.7.3 0015.58DB.AA79 static 70 1/11
192.168.7.4 001A.A09E.4C04 static 70 1/11
192.168.7.5 0001.6C8B.49A6 static 70 1/11
192.168.7.6 0001.6C5A.AE21 static 70 1/11
192.168.7.7 7446.A0BE.151F static 70 1/11
192.168.7.8 7446.A0C1.0DB8 static 70 1/11
192.168.252.1 0010.F330.CEE5 static 1000 1/24
但是在对少数的用户进行的回访中,发现仍有部分计算机无法上网,都是报地址冲突,在登陆交换机检查后发现第11端口依然存在大量的伪装IP和MAC地址。
BH6802_office_center(config)# show arp
IP MACAge TypeVLAN-ID VPN-NAME Interface
192.168.7.2 0015.58DB.AACB static 70 1/11
192.168.7.3 0015.58DB.AA79 static 70 1/11
192.168.7.4 001A.A09E.4C04 static 70 1/11
192.168.7.5 0001.6C8B.49A6 static 70 1/11
192.168.7.6 0001.6C5A.AE21 static 70 1/11
192.168.7.7 7446.A0BE.151F static 70 1/11
192.168.7.8 7446.A0C1.0DB8 static 70 1/11
192.168.252.1 0010.F330.CEE5 static 1000 1/24
192.168.5.4 F4EC.3834.DA8B 1150 s dynamic 40 1/11
192.168.2.3 14CF.9231.C194 1174 s dynamic 30 1/11
192.168.2.37 F4EC.3834.C9E3 1183 s dynamic 30 1/11
192.168.4.2 F4EC.383E.9DAF 1185 s dynamic 50 1/11
192.168.1.61 2C44.FD0B.63B2 1194 s dynamic 20 1/11
192.168.6.14 940C.6D17.1651 1148 s dynamic 60 1/11
192.168.2.17 F4EC.3834.E7E1 1160 s dynamic 30 1/11
192.168.5.211 F4EC.383D.A47F 1168 s dynamic 40 1/11
正是这些地址信息造成的冲突,在对交换机的11端口做了shutdown处置后,用户网络正常。再看交换机的ARP信息如下:
BH6802_office_center(config)# show arp
IP MACAge TypeVLAN-ID VPN-NAME Interface
192.168.252.1 0010.F330.CEE5 static 1000 1/24
192.168.5.4 F4EC.3834.DA8B 1150 s dynamic 40 1/5
192.168.2.3 14CF.9231.C194 1174 s dynamic 30 1/3
192.168.4.2 F4EC.383E.9DAF 1185 s dynamic 50 1/9
192.168.1.61 2C44.FD0B.63B2 1194 s dynamic 20 1/23
192.168.6.14 940C.6D17.1651 1148 s dynamic 60 1/7
各用户计算机的ARP信息全部正常,后面将对11端口的连接用户进行安全检查。
三、结论与总结
根据这次排除问题的过程及取得的相关证据,可以断定是用我们网络的隔壁大楼的用户的计算机在对我网络中心的汇聚交换机进行攻击,并且劫持了我馆的用户IP和MAC地址,至于原因需要进一步的排查。该劫持事件非常严重,劫持用户的IP和MAC,就可以窃取从正常IP地址发出的任何报文信息,危害非常大,严重影响用户的网络安全,甚至可以窃取用户的各类账户信息和密码,造成重大的损失,必须及时处置。
为防止此类情况再次发生,我建议:一是尽量将重要网络设备在核心交换机上进行IP地址和MAC地址的绑定工作,有可能的话,将用户的IP和MAC地址也进行绑定,可以有效防止类似情况再次发生,同时也能防止用户私自乱配IP地址的情况。二是此次事件的发生应该不是蓄意所为,但是相关的用户要及时升级杀毒软件,定期杀毒,养成良好的上网习惯。
