NBAD局域网威胁探测器实际应用案例分析

　　一、案例概述

　　客户为北京海淀区某小学，该校教师用电脑12台，学生用电脑30台;接入交换机为C2H124-48，通过光纤连至区教育中心机房。学校无专职网管，由区教育中心网管定期巡检，各终端PC安装有正版瑞星杀毒软件。

　　二、存在问题

　　近段时间众多教师反应网络通信时通时断，初步怀疑病毒泛滥;但杀毒后问题却依然存在;经区教育中心网管人员研判，该校网络存在ARP欺骗/攻击威胁，但一直未能追溯到攻击源。其次，因为学生好奇心，常有学生私自修改IP地址，造成学校网络IP地址冲突现象时有发生。

　　三、原因分析

　　1、 ARP威胁

　　ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议ARP获得的。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

　　常见的ARP威胁有ARP攻击与ARP欺骗。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是伪造假网关，让被它欺骗的PC与假网关进行通讯，而不是通过正常的路径上网。在用户看来，现象就是上不了网，“网络掉线了”。

　　2、 DHCP相关问题

　　DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)的缩写，是基于C/S模式的，它提供了一种动态指定IP地址和配置参数的机制。DHCP服务器自动为客户机指定IP地址，定义了一种可以使IP地址使用一段有限时间的机制，在客户期限到了的时候可以重新分配这个IP地址;并且为用户提供所有IP配置参数，保证客户IP参数的正确性，减小了客户使用IP通信的复杂性。因此，DHCP机制在局域网络中被广泛应用。

　　常见的DHCP问题大致有两种，一种是客户肆意修改IP地址，造成与网络中现有IP地址的冲突，在重要设备或服务器所产生的影响尤其严重：大家知道，为了便于用户与服务器的通信，一般情况下重要设备或服务器都配置有静态IP，但客户因修改IP地址而造成的冲突，会直接导致重要设备或服务器的通讯中断，影响网络的服务质量。第二种是DHCP干扰，用户可能会私自架设Router来实现IP资源的共享或网络的扩展，但这些Router往往会干扰到网络中的正常DHCP服务，使用户不能从正确的DHCP服务器上获取地址，从而造成网络用户不能正常上网现象，而网络管理人员也会常常招致用户责难——实际原因是外来的DHCP干扰了正常的DHCP服务，网络用户从这些外来DHCP服务器处拿到了错误的IP配置信息。

　　3、 DNS挟持

　　DNS 是域名系统 (Domain Name System) 的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。DNS 命名用于 Internet 等 TCP/IP 网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。因为，你在上网时输入的网址，是通过域名解析系解析找到相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。域名服务器(Domain Name Server)。在Internet上域名与IP地址之间是一一对应的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。

　　DNS劫持是网络安全界常见的一个名词，意思是通过某些手段取得某一服务提供商的DNS解析控制权，进而修改相应的域名记录值，使用该服务提供商DNS的用户在访问该域名时，并不会通过轮循的机制查询到域名真实的IP，而是会访问服务提供商DNS里面的记录值。

　　常见的DNS挟持手段有两种，一种是对ISP域名服务器的挟持;一种是对客户端的DNS挟持。对于ISP如电信、网通的DNS服务器被挟持，我们用户一般无能为力，只能通过ISP来解决，但威胁不大。而对于客户端DNS被挟持，则比较有威胁性，直接关系到用户重要资料的泄密，而普通用户一般很难察觉到自己的互联网工作不正常。

　　四、解决方法

　　通过以上分析，我们基本上了解了这些威胁的工作原理，从而可以找出相应的解决方法：

　　1、 ARP威胁侦测与防范。

　　因学校无专业水准的网管人员，追溯ARP源头的确有些难度;而且，对ARP威胁的反应时间也影响着网络的服务质量。因此，只要达到侦测、告警、自动处理的一套完整的处理危机机制，就可轻松应对ARP问题。

　　2、 DHCP的强制管理。

　　强化对用户IP的管理，是解决问题的关键。如果网络能自动侦测出来用户获取IP信息的方式——是从合法的DHCP服务器上获得?还是从外来的DHCP服务器获得?或者是用户自行手工设定的IP信息?那我们就可以解决由DHCP机制而产生的问题。

　　3、 确保DNS的正确性

　　通常网络用户客户端的IP及DNS信息都是由DHCP server动态分发，解决此问题很简单——只要能检测到客户端浏览器是否遭受挟持?解析使用的DNS是否为合法的DNS?

　　五、产品功能介绍

　　NBADsensor是正邦公司研发的局域网MAC/IP管理暨ARP威胁探测器，为一个多功能整合型的网络资源暨威胁管理的解决方案产品，以探针的方式学习或探测或管理内网VLAN内部广播异常的封包，它不同于市面上一般部署在网关上的安全产品，可广泛探测网络内部各角落(VLAN)的异常网络行为，以期及早侦测或发现那些未知特征的病毒或黑客攻击。

　　NBADsensor – 内建ASIC芯片含有16Gbps封包复制、转送、检测、分流的能力，以支持所提供8个10/100/1000M以太网络接口，借以线速的效能执行网络流量封包学习及检测的功能。

　　MAC/IP 存取安全管理

　　·MAC/IP 存取安全管理 - 自动学习VLAN内MAC、IP，及收集使用者计算机名称，供管理者快速建立网络使用者数据库，并可自动侦测MAC/IP地址的新增、移动及冲突事件功能，并可将相关系统信息储存于数据库管理系统。

　　·实施绑定 – MAC、IP绑定的网络存取安全策略，以防止使用者私自篡改IP地址，发生IP冲突的问题。避免个人计算机与重要设备、服务器的网络IP地址冲突，以保障重要设备或服务器的服务。

　　·数据管理 – 系统除支持单条数据的维护外，还提供整个数据库的汇入、汇出、清除管理功能。系统也支持SNMP Private MIB提供网管软件或其它类似NBADmanager管理软件的存取接口。

　　DHCP IP地址管理

　　·DHCP容错服务器 – 内建DHCP服务器功能，提供授权与非授权两种型态的DHCP服务，并支持两台设备互为备援机制的功能。

　　·MAC/IP绑定派送 – DHCP服务器除支持标准DHCP IP租赁服务，可定义IP Range for multi VLANs，并整合授权的MAC/IP数据库，提供MAC/IP绑定派送功能，在确定节点为合法的计算机设备后，由DHCP派发特定的IP。

　　·派发记录与例外管理 –提供DHCP派发历史记录查询及导出功能。本系统也可由管理者自定IP派发策略，可区分为固定IP用户及或由系统自行派发等，可例外管理部份的私设固定IP。

　　·客户端DHCP管理 – (1)私设DHCP服务器阻断 - LAN环境内私自架设不合法DHCP Server会被NBADsensor阻隔无效;(2)DHCP强制 - 可限制端点只能使用DHCP方式取得IP，任何私自设定IP地址的终端设备，无论所设定IP地址是否为合法，皆禁止其使用网络。

　　异常侦测管理

　　·IP Scan 扫描侦测 –设定IP Scan阀值，可侦测用户执行 IP scan时，IP Scan值是否累计，超过时可根据Lock Action进行动作(Lock by MAC，send event log，send notify page)。

　　·ARP异常侦测 – 侦测器提供局域网内ARP欺骗攻击侦测功能包括：ARP 扫描侦测 – 可侦测LAN内部ARP扫描行为;ARP异常侦测 - 则是侦测LAN内部哪些用户送一些不合法封包;ARP攻击侦测 - 主要目的是侦测出哪些用户遭受攻击。

　　·DNS钓鱼欺骗侦测 –可侦测用户浏览器DNS是否遭受劫持而可能被植入木马程序。

　　·广播风暴侦测 – 可侦测局域内网VLAN是否有超过异常广播发生，并通知管理者。

　　远程防卫 End-point Defense - NBADsensor 可以检测Rogue MAC/IP address(非法/入侵地址)或通过NBADanalyzer来分析Worm、DoS攻击，这时NBADsensor 会立即启动端点防卫(End-point defense)功能模块，来抑制阻止这些非法入侵。端点防卫(End-point defense) 并非封锁特定的交换机端口，而是直接抑制入侵者(非法使用)的PC或Note Book对网络的使用，因此即使入侵者使用的Note Book具备移动的特性，仍然逃不过End-point defense的封锁，而且也不需改变任何网络架构或作复杂的设定。

　　六、使用效果

　　我们将NBADswitch接入学校内网后，不仅可以自动学习到内网IP/MAC数据库，根据策略实施“绑定”，对于非法伪冒IP/MAC进行Deny动作，以保证用户遵守正常上网秩序。开启ARP威胁侦测与告警功能后，网管员PC立即收到Win-Popup方式的通知，告知某用户产生了哪种类型的威胁，并且根据预设动作将可疑用户联线进行阻断，以防止其对网络继续产生威胁。对于用户私自修改IP行为，利用Sensor可以自动矫正，阻断私设IP的用户，并以WinPopUp的方式通知被阻断用户及网管员。对于DNS挟持这种新型威胁，通过Sensor的主动检测，判别用户浏览器DNS是否遭受劫持，从而解决因DNS威胁所带来的安全隐患。

　　通过对网络威胁探测器NBADsensor的使用，不仅成功追溯到攻击源，并且产生了一套自动处理机制：自动侦测、自动告警、自动阻断，有效的解决了学校网络所产生的问题。

　　七、案例总结

　　ARP威胁常见于内网环境，严重干扰其他用户的正常使用，常为用户感染ARP病毒或好事者恶意所为;对ARP威胁的判断比较容易，但要精准找出攻击源则需要较强的专业知识。因此，NBADsensor应运而生，不仅可以检测到ARP威胁，精准的找出源头，还可以自动化锁定异常用户，切断其联线，防止对网络的威胁进一步扩大;可以第一时间通知网管人员，便网管人员随时了解网络发生状态。而对于DNS被挟持、IP地址冲突、外部DHCP干扰等常见问题，利用NBADsensor都可轻松解决;而这些功能对于网络管理者来说，都是非常重要的。