NBAD局域网威胁探测器应用案例普教篇

　　一、案例概述

　　客户为北京海淀区某小学，该校教师用电脑12台，学生用电脑30台;接入交换机为C2H124-48，通过光纤连至区教育中心机房。学校无专职网管，由区教育中心网管定期巡检，各终端PC安装有正版瑞星杀毒软件。

　　二、存在问题

　　近段时间众多教师反应网络通信时通时断，初步怀疑病毒泛滥;但杀毒后问题却依然存在;经区教育中心网管人员研判，该校网络存在ARP欺骗/攻击威胁，但一直未能追溯到攻击源。其次，因为学生好奇心，常有学生私自修改IP地址，造成学校网络IP地址冲突现象时有发生。

　　三、原因分析

　　1、 ARP威胁

　　ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议ARP获得的。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

　　常见的ARP威胁有ARP攻击与ARP欺骗。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是伪造假网关，让被它欺骗的PC与假网关进行通讯，而不是通过正常的路径上网。在用户看来，现象就是上不了网，“网络掉线了”。

　　2、 DHCP相关问题

　　DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)的缩写，是基于C/S模式的，它提供了一种动态指定IP地址和配置参数的机制。DHCP服务器自动为客户机指定IP地址，定义了一种可以使IP地址使用一段有限时间的机制，在客户期限到了的时候可以重新分配这个IP地址;并且为用户提供所有IP配置参数，保证客户IP参数的正确性，减小了客户使用IP通信的复杂性。因此，DHCP机制在局域网络中被广泛应用。

　　常见的DHCP问题大致有两种，一种是客户肆意修改IP地址，造成与网络中现有IP地址的冲突，在重要设备或服务器所产生的影响尤其严重：大家知道，为了便于用户与服务器的通信，一般情况下重要设备或服务器都配置有静态IP，但客户因修改IP地址而造成的冲突，会直接导致重要设备或服务器的通讯中断，影响网络的服务质量。第二种是DHCP干扰，用户可能会私自架设Router来实现IP资源的共享或网络的扩展，但这些Router往往会干扰到网络中的正常DHCP服务，使用户不能从正确的DHCP服务器上获取地址，从而造成网络用户不能正常上网现象，而网络管理人员也会常常招致用户责难——实际原因是外来的DHCP干扰了正常的DHCP服务，网络用户从这些外来DHCP服务器处拿到了错误的IP配置信息。

　　3、 DNS挟持

　　DNS 是域名系统 (Domain Name System) 的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。DNS 命名用于 Internet 等 TCP/IP 网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。因为，你在上网时输入的网址，是通过域名解析系解析找到相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。域名服务器(Domain Name Server)。在Internet上域名与IP地址之间是一一对应的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。

　　DNS劫持是网络安全界常见的一个名词，意思是通过某些手段取得某一服务提供商的DNS解析控制权，进而修改相应的域名记录值，使用该服务提供商DNS的用户在访问该域名时，并不会通过轮循的机制查询到域名真实的IP，而是会访问服务提供商DNS里面的记录值。

　　常见的DNS挟持手段有两种，一种是对ISP域名服务器的挟持;一种是对客户端的DNS挟持。对于ISP如电信、网通的DNS服务器被挟持，我们用户一般无能为力，只能通过ISP来解决，但威胁不大。而对于客户端DNS被挟持，则比较有威胁性，直接关系到用户重要资料的泄密，而普通用户一般很难察觉到自己的互联网工作不正常。