提高防护技能维护网络信息 网络攻击处置实例
网络安全 上一版 下一版

《江苏科技报·教育周刊》(双周刊,国内统一刊号CN32-0019),是江苏省唯一以社会立场透析当代中国教育的报纸。秉承“科技推动教育,教育改变人生”的理念,《江苏科技报·教育周刊》一直注意保持与教育前沿工作的密切联系,定位于教育宏观研究,兼顾微观探讨,注重教育文化生态的构建与引导,时刻关注鲜活的教育实态,着眼于教育文化的深层构建,努力赋予教育以深厚的文化内涵,致力打造中国最好的教育媒体。

国内统一刊号:CN32—0019
编辑部地址:江苏省南京市鼓楼区中山路55号新华大厦48楼

第291期 总第5067期 2015年06月23日 星期二
返回首页
作者 内容  上一期  当前第291期  下一期
网络攻击处置实例
来源:江苏省教育管理信息中心 作者:殷峭峰 发布日期:2015-06-25 11:05:45

    一、事件描述
    2015年2月2日星期一下午,单位部分用户的网络出现间歇性断网现象,每次断网时间不到2分钟,然后自动恢复。一开始间隔半天才出现一次,后来间隔时间缩短到1小时。
    二、处置过程
    针对这样的情况,我们首先想到的是汇聚交换机或者网络边界设备是不是有接触不良等物理故障,其次再考虑网络上发生了攻击的可能。在检查了网络设备后,确认设备无物理故障,于是按照网络攻击的方向进行查找。
    在登陆防火墙和入侵防御设备的管理界面后未发现有明显的攻击痕迹,需要对攻击行为进行深入分析。当天将故障情况报至天融信防火墙原厂及南京鼎盟技术有限公司并请求技术协助。工程师到场后,进行了初步检查,设置了一个排查攻击发生点的策略。当夜,在服务器区选择一台服务器安装了网络状态监视器软件对外网和防火墙的连通性进行持续监测,直至第二天未发现服务器区对外的服务有中断,对防火墙的联通也未发生中断,故可判断故障点在用户区。第二天继续在用户区部署了网络状态监视器,如图1。

                               图1
    第三天早上,查看日志,发现防火墙和核心交换机都发现了丢包,具体日志部分记录如下:
    2015-02-03 18:23:54: ——开始记录服务器:防火墙[192.168.252.1]——
    2015-02-03 18:24:06: 防火墙:网络正常
    2015-02-04 05:17:27: 防火墙:网络发现丢包
    2015-02-04 06:33:06: 防火墙:网络发现丢包
    2015-02-04 08:53:55: 防火墙:网络正常
    汇聚核心交换机的记录为:
    2015-02-03 18:23:54: ——开始记录服务器:核心6802[192.168.252.2]——
    2015-02-03 18:24:06: 核心6802:网络正常
    2015-02-04 06:46:44: 核心6802:网络发现丢包
    2015-02-04 08:18:33: 核心6802:网络发现丢包
    2015-02-04 08:53:55: 核心6802:网络正常
    南京鼎盟及天融信两位工程师根据监控日记,在仔细检查了防火墙的运行情况后,发现防火墙上存在1800多个内部的错误包,根据分析,该错误是由地址冲突造成。工程师设法在用户断网的间歇,利用移动手机提供的无线4G网络从外面登陆防火墙进行抓包分析,确认错误报文包来自用户的汇聚交换机。登陆交换机进行ARP情况查看,结果如下:
    BH6802_office_center(config)# show arp
    IP MACAge TypeVLAN-ID VPN-NAME Interface
    192.168.7.2 0015.58DB.AACB static 70 1/11
    192.168.7.3 0015.58DB.AA79 static 70 1/11
    192.168.7.4 001A.A09E.4C04 static 70 1/11
    192.168.7.5 0001.6C8B.49A6 static 70 1/11
    192.168.7.6 0001.6C5A.AE21 static 70 1/11
    192.168.7.7 7446.A0BE.151F static 70 1/11
    192.168.7.8 7446.A0C1.0DB8 static 70 1/11
    192.168.252.1 0010.F330.CEE5 1162 s dynamic 10 1/11
    192.168.5.4 F4EC.3834.DA8B 1150 s dynamic 40 1/11
    192.168.2.3 14CF.9231.C194 1174 s dynamic 30 1/11
    192.168.2.37 F4EC.3834.C9E3 1183 s dynamic 30 1/11
    192.168.4.2 F4EC.383E.9DAF 1185 s dynamic 50 1/11
    192.168.1.61 2C44.FD0B.63B2 1194 s dynamic 20 1/11
    (备注:由于ARP信息表较大,只摘取了部分代表性信息,加下划线是为了方便阅读,下同。)
    发现原本提供给隔壁大楼使用的交换机第11个端口上出现了原本应该走其他端口的大量IP地址和MAC地址。例如,防火墙接的是交换机的第24个端口,它的IP和MAC地址出现在了11端口上,原本24端口上也有IP和MAC地址的信息,从而造成冲突断网。这种情况的发生,应该是有人劫持并伪造了交换机上的IP和MAC信息。工程师在交换机上对防火墙的IP地址和MAC地址进行了绑定,确保端口信息不被劫持,大部分用户网络开始稳定,暂时不出现断网现象。绑定后再看交换机的ARP,信息如下:
    BH6802_office_center(config)# show arp
    IP MACAge TypeVLAN-ID VPN-NAME Interface
    192.168.7.2 0015.58DB.AACB static 70 1/11
    192.168.7.3 0015.58DB.AA79 static 70 1/11
    192.168.7.4 001A.A09E.4C04 static 70 1/11
    192.168.7.5 0001.6C8B.49A6 static 70 1/11
    192.168.7.6 0001.6C5A.AE21 static 70 1/11
    192.168.7.7 7446.A0BE.151F static 70 1/11
    192.168.7.8 7446.A0C1.0DB8 static 70 1/11
    192.168.252.1 0010.F330.CEE5 static 1000 1/24
    但是在对少数的用户进行的回访中,发现仍有部分计算机无法上网,都是报地址冲突,在登陆交换机检查后发现第11端口依然存在大量的伪装IP和MAC地址。
    BH6802_office_center(config)# show arp
    IP MACAge TypeVLAN-ID VPN-NAME Interface
    192.168.7.2 0015.58DB.AACB static 70 1/11
    192.168.7.3 0015.58DB.AA79 static 70 1/11
    192.168.7.4 001A.A09E.4C04 static 70 1/11
    192.168.7.5 0001.6C8B.49A6 static 70 1/11
    192.168.7.6 0001.6C5A.AE21 static 70 1/11
    192.168.7.7 7446.A0BE.151F static 70 1/11
    192.168.7.8 7446.A0C1.0DB8 static 70 1/11
    192.168.252.1 0010.F330.CEE5 static 1000 1/24
    192.168.5.4 F4EC.3834.DA8B 1150 s dynamic 40 1/11
    192.168.2.3 14CF.9231.C194 1174 s dynamic 30 1/11
    192.168.2.37 F4EC.3834.C9E3 1183 s dynamic 30 1/11
    192.168.4.2 F4EC.383E.9DAF 1185 s dynamic 50 1/11
    192.168.1.61 2C44.FD0B.63B2 1194 s dynamic 20 1/11
    192.168.6.14 940C.6D17.1651 1148 s dynamic 60 1/11
    192.168.2.17 F4EC.3834.E7E1 1160 s dynamic 30 1/11
    192.168.5.211 F4EC.383D.A47F 1168 s dynamic 40 1/11
    正是这些地址信息造成的冲突,在对交换机的11端口做了shutdown处置后,用户网络正常。再看交换机的ARP信息如下:
    BH6802_office_center(config)# show arp
    IP MACAge TypeVLAN-ID VPN-NAME Interface
    192.168.252.1 0010.F330.CEE5 static 1000 1/24
    192.168.5.4 F4EC.3834.DA8B 1150 s dynamic 40 1/5
    192.168.2.3 14CF.9231.C194 1174 s dynamic 30 1/3
    192.168.4.2 F4EC.383E.9DAF 1185 s dynamic 50 1/9
    192.168.1.61 2C44.FD0B.63B2 1194 s dynamic 20 1/23
    192.168.6.14 940C.6D17.1651 1148 s dynamic 60 1/7
    各用户计算机的ARP信息全部正常,后面将对11端口的连接用户进行安全检查。
    三、结论与总结
    根据这次排除问题的过程及取得的相关证据,可以断定是用我们网络的隔壁大楼的用户的计算机在对我网络中心的汇聚交换机进行攻击,并且劫持了我馆的用户IP和MAC地址,至于原因需要进一步的排查。该劫持事件非常严重,劫持用户的IP和MAC,就可以窃取从正常IP地址发出的任何报文信息,危害非常大,严重影响用户的网络安全,甚至可以窃取用户的各类账户信息和密码,造成重大的损失,必须及时处置。
    为防止此类情况再次发生,我建议:一是尽量将重要网络设备在核心交换机上进行IP地址和MAC地址的绑定工作,有可能的话,将用户的IP和MAC地址也进行绑定,可以有效防止类似情况再次发生,同时也能防止用户私自乱配IP地址的情况。二是此次事件的发生应该不是蓄意所为,但是相关的用户要及时升级杀毒软件,定期杀毒,养成良好的上网习惯。

发表评论
评论标题:
评论内容:
(500字符)
验证码: 看不清楚,请点击我
    
本网站所有内容属《江苏科技报·教育周刊》所有,未经许可不得转载
编辑部地址:江苏省南京市鼓楼区中山路55号新华大厦48楼
ICP备案编号:ICP备案编号:苏ICP备05076602号