处理网络ARP欺骗故障中的一些经验
8月3日下午17时到9日上午11时,上游局计算机网络由于受到arp欺骗攻击,导致整个网络不稳定、时断时续。在上游局水情室全体网络技术人员的努力下,查找了大量的资料、采用了大量技术手段,最终排除了故障。有鉴于上游局网络遭到的损害,同时也为了提醒兄弟单位注意,我们将此次网络故障处理的过程和方法进行的一定的总结,供大家参考。
8月3日下午,上游局出现计算机网络故障,症状表现为访问互联网时断时续,ping网关和网通网关时断时续。发现问题后, 水情室网络技术人员立即采取了sniffer软件嗅探抓包分析、网络流量分析和网络实时监控等手段,对网络故障进行排查。经过一段时间的监控与观察,我们发现网络故障表现如下:每隔20分钟左右,网络中断一次,持续时间大概在3~5秒,每隔4~5小时左右,网络有一次3~5分钟的中断。为定位故障点我们首先采用了逐个节点设备测试方法,先测试了不通过防火墙直接访问互联网,再通过分流的方式通过防火墙访问互联网,测试结果为正常,从而排除了电信运营商线路和防火墙故障。随后,故障范围被定位在了中心设备CISCO3550三层交换机上,由于上游局中心交换机包括了“水情子网”、“局办公子网”、“水质室子网”和“家属区子网”等众多网络,需要在这些网络中进行逐个断网测试,在进行了详细的测试后,进一步将范围缩小,最终将故障定位在了“办公子网”。在确定了网段后,我们立即采用sniffer软件对“办公子网”嗅探抓包分析、网络流量分析和网络实时监控等手段,对网络故障进行排查。因为在每次断网前都有一次异常流量发生,每次流量的使用超过120%,开始判断为网络风暴,或者病毒攻击造成网络流量过大,从而导致中心交换机处理信息超负荷后无响应,于是作了storm-control、flow-control、flooding-control、port security和port protected等保护交换机和端口的一些配置,虽然将流量控制在了80%左右,但断网的情况依然存在,查看了交换机的CPU和内存使用率,CPU为7%左右,内存使用率为11%,看来主要问题不仅仅是网络负载过大。
由于8月5日和8月6日是周末,办公区无人上网,网络正常。到了8月7日(周一),网络故障再次出现。上游局网络管理人员从多种途径查找资料,结合先前的分析,初步认为此次网络故障和ARP有很大的关系。在分析了sniffer软件抓包的情况后,我们发现MAC地址为00E04C405E61的计算机发送的广播报远远超出了正常范围。在察看了交换机arp列表后,我们又发现该MAC地址对应了多个IP(arp列表中计算机IP地址与MAC地址必须是一一对应的),导致一些本应正常访问的包(如访问互联网网站等),被错误的送往到该MAC地址的计算机上(这就是arp欺骗的原理,通过它,黑客可以盗取其他人的信息,通常存在于一些游戏外挂中和不明软件中)。因为MAC地址为00E04C405E61的计算机模拟的IP地址是非法IP地址,它不会对用户请求的数据包进行正常的反馈和响应,即导致了断网的现象。在确定了该MAC地址后,通过清理arp列表的手段得到了其真实的IP地址“10.6.16.182”,通过sniffer软件对该IP进行抓包分析后,获得了拥有该IP地址的计算机名,其名称是:“CQ-taotao”!最后根据上游局人名对照查找,发现该机器是科研室的一台计算机,将其断网后网络恢复正常,恢复时间8月9日上午11时。
Arp欺骗是现阶段较常见和危害较大的网络攻击方式,对它的防范目前没有很好的解决方案。从我们的经验来看,要防范此种攻击,最好的办法就是所有计算机用户及时升级病毒库并杀毒,不浏览不明网站,不下载和安装不明软件。其次,在网络方面也可以进行一些处理:
1.在三层交换机上进入特权模式:
(config)#arp ip_address mac-address arpa
要将本网段所有IP全部做绑定,由于我们的局域网规模较大,所以工作量特别大;
2.在其上对网关地址做静态绑定(工作量也很大) ;
3.采用Dynamic ARP Inspection技术
在三层交换机上进行设置:
(config)#ip arp inspection vlan number
(config)#ip arp inspection log-buffer entries 1024
(config)#ip arp inspection log-buffer logs 1024 interval 10
进入交换机端口模式
(config-if)#ip arp inspection trust
Cisco3550交换机端口流量限制
进入特权模式
(config)#mls qos //首先开启qos
(config)#class-map [match-all|match-any] %yourclassname% //建立一个class
(config-cmap)#match access-group 110 //进行匹配,可以是协议或访问列表等.
(config)#policy-map %yourpolicyname% //定义策略映像
(config-pmap)#class %yourclassname% //指定流量类型
(config-if)#service-policy input % yourpolicyname % //最后在端口应用
清除arp列表
#clear arp-cache
启用网络风暴控制
(config-if)# storm-control broadcast level 70 //控制广播为70%(100%为不控制)
(config-if)# storm-control multicast level 70 //控制网络组播为70%
(config-if)# storm-control unicast level 70 //控制单播为70%
