快速定位安全威胁源头
2015-12-03
定位地址冲突源头
在单位内网环境中,每台终端计算机往往都会使用静态IP地址,不同计算机使用的IP地址不相同,理论上不会出现地址冲突现象,但事实上IP地址冲突现象在内网环境频繁发生,给内网的稳定运行带来了不小的威胁。
造成这种威胁的原因主要是不少终端用户对网络配置操作不熟悉,不了解IP地址、默认网关、网络掩码等参数怎么设置,有的用户不按规定使用网络参数,或者是终端用户在重装系统时不懂得使用以前的配置,而是胡乱选择IP地址。当然,也有可能是恶意用户人为制造IP地址冲突威胁,来干扰局域网的稳定运行。这种冲突威胁不但容易频繁发生,而且还有一定的隐蔽性,不容易被及时定位,只有在发生冲突的终端计算机同时在线时才能显露出问题。
要想快速定位地址冲突源头,必须在发生地址冲突现象时,立即关闭合法的终端计算机,否则非法计算机在不能上网的情况下关闭系统时,会给定位操作带来麻烦。之后,使用ping命令测试非法计算机的在线状态,如果发生冲突的计算机IP地址为10.176.0.6,那么可以在DOS命令行窗口,输入字符串命令“ping 10.176.0.6 -t”,当 返 回 如图1所示的结果信息时,就意味着非法计算机处于在线状态。之后,在命令行提示符下,输入字符串命令“nbtstat -a 10.176.0.6”,从返回的结果信息中,可以获取非法计算机的主机名称、网卡物理地址以及该计算机所处的工作组名称。根据这些结果信息,再对照原始的组网资料,网络管理员就能有效定位到非法计算机究竟位于什么位置了。
图1 返回结果信息
当然,对于一些已经改变了主机名称、工作组名称等信息的恶意IP盗用现象,上述方法就无法快速定位到地址冲突源头了。这时,我们不妨以其人之道还治其人之身,使用“IP地址攻击器”这个黑客攻击工具,对非法计算机进行主动攻击,让其不能正常上网,这样非法用户到时会主动上门请求帮助,我们也没有必要漫无目的地去定位冲突源头了。
开启“IP地址攻击器”的运行状态,在“攻击测试”位置处输入发生冲突的IP地址,假设这里输入“10.176.0.6”,点击“开始”按钮就能向目标计算机发动攻击。很快,非法计算机就会发生明显的数据丢包现象,表现出来的故障与常见的受攻击计算机一样,例如虽然QQ可以上线,但是发送信息和接受信息都无法成功,上网访问时只有发送数据包,没有接受数据包。
定位ARP攻击源头
ARP病毒攻击局域网的现象经常发生,虽然这类病毒不能自我复制,也不会主动传播,但是它在发作运行的时候,常常会向整个网络发送虚假ARP数据包,造成终端计算机系统不能找到真正网关,从而严重威胁局域网的稳定运行。所以,怎样快速有效定位ARP病毒源头,同时将毒源从网络中隔离开来,就成了网管人员的当务之急。定位ARP攻击源头的方法有很多,可是不少方法都要通过专业工具才能完成,现在我们灵活通过交换机内置的管理命令,来快速定位局域网中的ARP病毒源头。
例如,某局域网终端计算机接二连三地发生无法上网故障,有时是一台终端不能上网,有时是某个VLAN中所有终端都无法上网。碰到单台终端不能上网时,简单地修改上网地址或重新启动系统,就能临时解决网络故障;当特定VLAN中所有终端计算机都不能上网时,网络管理员通过重启对应VLAN接入交换机,也能快速恢复网络状态。可是,要不了多长时间,同样的故障现象又会卷土重来。经过初步分析判断,网管员认为上述故障与ARP病毒引起的现象十分相似,看来局域网存在ARP病毒攻击现象。
由于ARP病毒只能在同一个虚拟工作子网中传播扩散,网管员认为ARP病毒源头肯定位于故障终端所在的VLAN中。为此,网管员在故障终端系统打开运行对话框,输入“cmd”命令并回车,切换到MS-DOS工作窗口,执行“arp-a”命令,从返回的结果信息中发现网关设备MAC地址变成了“0000-5e00-1d02”,但真实的网关MAC地址并不是该地址,这说明故障终端真的有ARP病毒存在。
面对包含了几十台上网终端的特定VLAN,怎样快速定位到ARP病毒源头的位置呢?网管员查看了该局域网的组网结构图,看到每个VLAN的接入交换机都支持网络管理功能,同时还支持日志记忆功能,通过它们可以追踪、记忆对网络的访问记录。于是,网管员立即借助超级终端程序,远程登录进入特定VLAN的接入交换机后台系统,使用“system”命令,将交换机切换到全局配置状态,输入“display logbuf”字符串命令,查看交换机后台系统日志内容时,发现有“%May 9 11:12:36 2014 YCXZ_W_P8512 ARP/4/DUPIFIP:Slot=4;Duplicate address 10.192.105.13 on VLAN12, sourced by 01ed-3c76-d0e1”这条记录内容,很明显ARP病毒位于VLAN12工作子网中,ARP病毒源头来自网卡MAC地址为01ed-3c76-d0e1的终端计算机系统,那么这台终端计算机系统究竟位于哪个办公室呢?
考虑到连接到每个交换端口的网络线缆上都有标签信息,提示用户哪个交换端口连接到了哪个办公室,所以网管员认为现在只要找出网卡MAC地址为01ed-3c76-d0e1的终端计算机系统,究竟连接在哪个交换端口,之后再根据交换机线缆标签上的说明信息,就能定位到ARP病毒源头位于哪个办公室了。
网管员立即在接入层交换机后台系统,使用“display mac”字符串命令,查看了所有连接在该交换机上的MAC地址记录信息,从返回的结果信息来看,对应01ed-3c76-d0e1地址的端口,位于当前接入层交换机的第八个以太端口(e0/8)。立即赶到对应接入层交换机现场,网管员迅速检查了第八个交换端口上的标签信息,看到ARP病毒源头位于单位大楼316房间的终端计算机系统中。至此,ARP病毒就被准确定位到具体的终端计算机中了。
为了预防ARP病毒继续威胁单位局域网其他终端系统的网络访问,网管员决定先将这台已经染上了ARP病毒的终端计算机从单位局域网中隔离开来。隔离操作很简单,只要在指定接入层交换机后台系统,逐一输入“system”、“interface e0/8”命令,切换到第八个以太交换端口视图模式(如图2所示),同时在该模式下输入“shutdown”字符串命令,强行关闭第八个以太端口工作状态,这样ARP病毒就无法在对应VLAN中继续扩散、传播了。
定位普通病毒源头
局域网中某台终端系统感染了病毒,每天不定期地对同网段内的其他计算机进行攻击,攻击范围相当之大,多台计算机系统中的防火墙拦截了该中毒计算机的病毒攻击包,数据包的IP地址来自192.168.1.16。
对于这种安全威胁事件,虽然可以借助DNS服务器将特定IP地址解析为真实的计算机名称,从而快速找到感染病毒的计算机,但是在计算机名称随机生成的情况下,通过计算机名称定位普通病毒源头的办法就无效了。实际上,在局域网域工作环境下,我们可以利用系统默认共享功能,找到染毒用户。
图2 以太交换端口视图模式
大家知道,在域工作环境下,网管人员拥有很高的操作权限,能够通过系统管理员帐号访问域中所有终端系统的共享资源,这也包括访问默认的共享资源。例如,网管员只要依次单击“开始”、“运行”命令,弹出系统运行对话框,输入字符串命令“\192.168.1.16$”,单击回车键后就能成功访问染毒系统的系统分区隐藏共享。接着打开系统分区的“Documents and Settings”文件夹窗口,在这里可以查找到登录这台终端计算机的域用户账号,再登录域控制器检验该用户账号,就能轻松地识别出感染病毒的用户。
当然,这种定位普通病毒源头的方法也有不足之处,因为现在很多终端用户基于安全考虑,往往手工关闭了终端系统的隐藏共享功能,因此使用上述方法查看隐藏共享内容时,可能会遇到失败故障。为了避免这种现象发生,我们可以通过域组策略来强制启用隐藏共享功能。在进行该操作时,可以先以系统管理员权限登录域控制器所在主机系统,启动记事本程序,手工创建好名称为“aaa.bat”的批处理文件,在该文件编辑窗口中输入“net share C$=C:”这段命令代码。
接着打开系统控制面板窗口,双 击“Active Directory用户和计算机”图标,选中并双击需要设置组策略的OU,将鼠标定位到组策略编辑窗口左侧的“本地计算机策略”、“用 户 配 置”、“Windows设置”、“脚本(登录/注销)”节点上,双击指定节点下的“登录”选项,按下其后界面中的“编辑”按钮,弹出编辑对话框,输入“aaa.bat”批处理文件的详细路径,确认后保存设置操作。再在系统运行对话框中输入“gpupdate”字符串命令,让上述组策略配置立即生效,这样域管理员就能通过隐藏共享功能定位普通病毒源头了。