首 页
新闻中心
渠道之家
产品大全
商家大全
商学院
Copyright (C) 1999-2008 Chinabyte.com, All Rights Reserved 版权所有 天极网络
渝ICP证B2-20030003号 商务联系、网站内容、合作建议:010-82657868
NBAD局域网威胁探测器应用案例普教篇
一、案例概述
客户为北京海淀区某小学,该校教师用电脑12台,学生用电脑30台;接入交换机为C2H124-48,通过光纤连至区教育中心机房。学校无专职网管,由区教育中心网管定期巡检,各终端PC安装有正版瑞星杀毒软件。
二、存在问题
近段时间众多教师反应网络通信时通时断,初步怀疑病毒泛滥;但杀毒后问题却依然存在;经区教育中心网管人员研判,该校网络存在ARP欺骗/攻击威胁,但一直未能追溯到攻击源。其次,因为学生好奇心,常有学生私自修改IP地址,造成学校网络IP地址冲突现象时有发生。
三、原因分析
1、 ARP威胁
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议ARP获得的。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
常见的ARP威胁有ARP攻击与ARP欺骗。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是伪造假网关,让被它欺骗的PC与假网关进行通讯,而不是通过正常的路径上网。在用户看来,现象就是上不了网,“网络掉线了”。
2、 DHCP相关问题
DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)的缩写,是基于C/S模式的,它提供了一种动态指定IP地址和配置参数的机制。DHCP服务器自动为客户机指定IP地址,定义了一种可以使IP地址使用一段有限时间的机制,在客户期限到了的时候可以重新分配这个IP地址;并且为用户提供所有IP配置参数,保证客户IP参数的正确性,减小了客户使用IP通信的复杂性。因此,DHCP机制在局域网络中被广泛应用。
常见的DHCP问题大致有两种,一种是客户肆意修改IP地址,造成与网络中现有IP地址的冲突,在重要设备或服务器所产生的影响尤其严重:大家知道,为了便于用户与服务器的通信,一般情况下重要设备或服务器都配置有静态IP,但客户因修改IP地址而造成的冲突,会直接导致重要设备或服务器的通讯中断,影响网络的服务质量。第二种是DHCP干扰,用户可能会私自架设Router来实现IP资源的共享或网络的扩展,但这些Router往往会干扰到网络中的正常DHCP服务,使用户不能从正确的DHCP服务器上获取地址,从而造成网络用户不能正常上网现象,而网络管理人员也会常常招致用户责难——实际原因是外来的DHCP干扰了正常的DHCP服务,网络用户从这些外来DHCP服务器处拿到了错误的IP配置信息。
3、 DNS挟持
DNS 是域名系统 (Domain Name System) 的缩写,该系统用于命名组织到域层次结构中的计算机和网络服务。DNS 命名用于 Internet 等 TCP/IP 网络中,通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时,DNS 服务可以将此名称解析为与之相关的其他信息,如 IP 地址。因为,你在上网时输入的网址,是通过域名解析系解析找到相对应的IP地址,这样才能上网。其实,域名的最终指向是IP。域名服务器(Domain Name Server)。在Internet上域名与IP地址之间是一一对应的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。
DNS劫持是网络安全界常见的一个名词,意思是通过某些手段取得某一服务提供商的DNS解析控制权,进而修改相应的域名记录值,使用该服务提供商DNS的用户在访问该域名时,并不会通过轮循的机制查询到域名真实的IP,而是会访问服务提供商DNS里面的记录值。
常见的DNS挟持手段有两种,一种是对ISP域名服务器的挟持;一种是对客户端的DNS挟持。对于ISP如电信、网通的DNS服务器被挟持,我们用户一般无能为力,只能通过ISP来解决,但威胁不大。而对于客户端DNS被挟持,则比较有威胁性,直接关系到用户重要资料的泄密,而普通用户一般很难察觉到自己的互联网工作不正常。
