扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
一、案例概述
客户为北京海淀区某小学,该校教师用电脑12台,学生用电脑30台;接入交换机为C2H124-48,通过光纤连至区教育中心机房。学校无专职网管,由区教育中心网管定期巡检,各终端PC安装有正版瑞星杀毒软件。
二、存在问题
近段时间众多教师反应网络通信时通时断,初步怀疑病毒泛滥;但杀毒后问题却依然存在;经区教育中心网管人员研判,该校网络存在ARP欺骗/攻击威胁,但一直未能追溯到攻击源。其次,因为学生好奇心,常有学生私自修改IP地址,造成学校网络IP地址冲突现象时有发生。
三、原因分析
1、 ARP威胁
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议ARP获得的。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
常见的ARP威胁有ARP攻击与ARP欺骗。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是伪造假网关,让被它欺骗的PC与假网关进行通讯,而不是通过正常的路径上网。在用户看来,现象就是上不了网,“网络掉线了”。
2、 DHCP相关问题
DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)的缩写,是基于C/S模式的,它提供了一种动态指定IP地址和配置参数的机制。DHCP服务器自动为客户机指定IP地址,定义了一种可以使IP地址使用一段有限时间的机制,在客户期限到了的时候可以重新分配这个IP地址;并且为用户提供所有IP配置参数,保证客户IP参数的正确性,减小了客户使用IP通信的复杂性。因此,DHCP机制在局域网络中被广泛应用。
常见的DHCP问题大致有两种,一种是客户肆意修改IP地址,造成与网络中现有IP地址的冲突,在重要设备或服务器所产生的影响尤其严重:大家知道,为了便于用户与服务器的通信,一般情况下重要设备或服务器都配置有静态IP,但客户因修改IP地址而造成的冲突,会直接导致重要设备或服务器的通讯中断,影响网络的服务质量。第二种是DHCP干扰,用户可能会私自架设Router来实现IP资源的共享或网络的扩展,但这些Router往往会干扰到网络中的正常DHCP服务,使用户不能从正确的DHCP服务器上获取地址,从而造成网络用户不能正常上网现象,而网络管理人员也会常常招致用户责难——实际原因是外来的DHCP干扰了正常的DHCP服务,网络用户从这些外来DHCP服务器处拿到了错误的IP配置信息。
3、 DNS挟持
DNS 是域名系统 (Domain Name System) 的缩写,该系统用于命名组织到域层次结构中的计算机和网络服务。DNS 命名用于 Internet 等 TCP/IP 网络中,通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时,DNS 服务可以将此名称解析为与之相关的其他信息,如 IP 地址。因为,你在上网时输入的网址,是通过域名解析系解析找到相对应的IP地址,这样才能上网。其实,域名的最终指向是IP。域名服务器(Domain Name Server)。在Internet上域名与IP地址之间是一一对应的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。
DNS劫持是网络安全界常见的一个名词,意思是通过某些手段取得某一服务提供商的DNS解析控制权,进而修改相应的域名记录值,使用该服务提供商DNS的用户在访问该域名时,并不会通过轮循的机制查询到域名真实的IP,而是会访问服务提供商DNS里面的记录值。
常见的DNS挟持手段有两种,一种是对ISP域名服务器的挟持;一种是对客户端的DNS挟持。对于ISP如电信、网通的DNS服务器被挟持,我们用户一般无能为力,只能通过ISP来解决,但威胁不大。而对于客户端DNS被挟持,则比较有威胁性,直接关系到用户重要资料的泄密,而普通用户一般很难察觉到自己的互联网工作不正常。
四、解决方法
通过以上分析,我们基本上了解了这些威胁的工作原理,从而可以找出相应的解决方法:
1、 ARP威胁侦测与防范。
因学校无专业水准的网管人员,追溯ARP源头的确有些难度;而且,对ARP威胁的反应时间也影响着网络的服务质量。因此,只要达到侦测、告警、自动处理的一套完整的处理危机机制,就可轻松应对ARP问题。
2、 DHCP的强制管理。
强化对用户IP的管理,是解决问题的关键。如果网络能自动侦测出来用户获取IP信息的方式——是从合法的DHCP服务器上获得?还是从外来的DHCP服务器获得?或者是用户自行手工设定的IP信息?那我们就可以解决由DHCP机制而产生的问题。
3、 确保DNS的正确性
通常网络用户客户端的IP及DNS信息都是由DHCP server动态分发,解决此问题很简单——只要能检测到客户端浏览器是否遭受挟持?解析使用的DNS是否为合法的DNS?
五、产品功能介绍
NBADsensor是正邦公司研发的局域网MAC/IP管理暨ARP威胁探测器,为一个多功能整合型的网络资源暨威胁管理的解决方案产品,以探针的方式学习或探测或管理内网VLAN内部广播异常的封包,它不同于市面上一般部署在网关上的安全产品,可广泛探测网络内部各角落(VLAN)的异常网络行为,以期及早侦测或发现那些未知特征的病毒或黑客攻击。
NBADsensor – 内建ASIC芯片含有16Gbps封包复制、转送、检测、分流的能力,以支持所提供8个10/100/1000M以太网络接口,借以线速的效能执行网络流量封包学习及检测的功能。
MAC/IP 存取安全管理
·MAC/IP 存取安全管理 - 自动学习VLAN内MAC、IP,及收集使用者计算机名称,供管理者快速建立网络使用者数据库,并可自动侦测MAC/IP地址的新增、移动及冲突事件功能,并可将相关系统信息储存于数据库管理系统。
·实施绑定 – MAC、IP绑定的网络存取安全策略,以防止使用者私自篡改IP地址,发生IP冲突的问题。避免个人计算机与重要设备、服务器的网络IP地址冲突,以保障重要设备或服务器的服务。
·数据管理 – 系统除支持单条数据的维护外,还提供整个数据库的汇入、汇出、清除管理功能。系统也支持SNMP Private MIB提供网管软件或其它类似NBADmanager管理软件的存取接口。
DHCP IP地址管理
·DHCP容错服务器 – 内建DHCP服务器功能,提供授权与非授权两种型态的DHCP服务,并支持两台设备互为备援机制的功能。
·MAC/IP绑定派送 – DHCP服务器除支持标准DHCP IP租赁服务,可定义IP Range for multi VLANs,并整合授权的MAC/IP数据库,提供MAC/IP绑定派送功能,在确定节点为合法的计算机设备后,由DHCP派发特定的IP。
·派发记录与例外管理 –提供DHCP派发历史记录查询及导出功能。本系统也可由管理者自定IP派发策略,可区分为固定IP用户及或由系统自行派发等,可例外管理部份的私设固定IP。
·客户端DHCP管理 – (1)私设DHCP服务器阻断 - LAN环境内私自架设不合法DHCP Server会被NBADsensor阻隔无效;(2)DHCP强制 - 可限制端点只能使用DHCP方式取得IP,任何私自设定IP地址的终端设备,无论所设定IP地址是否为合法,皆禁止其使用网络。
异常侦测管理
·IP Scan 扫描侦测 –设定IP Scan阀值,可侦测用户执行 IP scan时,IP Scan值是否累计,超过时可根据Lock Action进行动作(Lock by MAC,send event log,send notify page)。
·ARP异常侦测 – 侦测器提供局域网内ARP欺骗攻击侦测功能包括:ARP 扫描侦测 – 可侦测LAN内部ARP扫描行为;ARP异常侦测 - 则是侦测LAN内部哪些用户送一些不合法封包;ARP攻击侦测 - 主要目的是侦测出哪些用户遭受攻击。
·DNS钓鱼欺骗侦测 –可侦测用户浏览器DNS是否遭受劫持而可能被植入木马程序。
·广播风暴侦测 – 可侦测局域内网VLAN是否有超过异常广播发生,并通知管理者。
远程防卫 End-point Defense - NBADsensor 可以检测Rogue MAC/IP address(非法/入侵地址)或通过NBADanalyzer来分析Worm、DoS攻击,这时NBADsensor 会立即启动端点防卫(End-point defense)功能模块,来抑制阻止这些非法入侵。端点防卫(End-point defense) 并非封锁特定的交换机端口,而是直接抑制入侵者(非法使用)的PC或Note Book对网络的使用,因此即使入侵者使用的Note Book具备移动的特性,仍然逃不过End-point defense的封锁,而且也不需改变任何网络架构或作复杂的设定。
六、使用效果
我们将NBADswitch接入学校内网后,不仅可以自动学习到内网IP/MAC数据库,根据策略实施“绑定”,对于非法伪冒IP/MAC进行Deny动作,以保证用户遵守正常上网秩序。开启ARP威胁侦测与告警功能后,网管员PC立即收到Win-Popup方式的通知,告知某用户产生了哪种类型的威胁,并且根据预设动作将可疑用户联线进行阻断,以防止其对网络继续产生威胁。对于用户私自修改IP行为,利用Sensor可以自动矫正,阻断私设IP的用户,并以WinPopUp的方式通知被阻断用户及网管员。对于DNS挟持这种新型威胁,通过Sensor的主动检测,判别用户浏览器DNS是否遭受劫持,从而解决因DNS威胁所带来的安全隐患。
通过对网络威胁探测器NBADsensor的使用,不仅成功追溯到攻击源,并且产生了一套自动处理机制:自动侦测、自动告警、自动阻断,有效的解决了学校网络所产生的问题。
七、案例总结
ARP威胁常见于内网环境,严重干扰其他用户的正常使用,常为用户感染ARP病毒或好事者恶意所为;对ARP威胁的判断比较容易,但要精准找出攻击源则需要较强的专业知识。因此,NBADsensor应运而生,不仅可以检测到ARP威胁,精准的找出源头,还可以自动化锁定异常用户,切断其联线,防止对网络的威胁进一步扩大;可以第一时间通知网管人员,便网管人员随时了解网络发生状态。而对于DNS被挟持、IP地址冲突、外部DHCP干扰等常见问题,利用NBADsensor都可轻松解决;而这些功能对于网络管理者来说,都是非常重要的。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。