姒 雁 蔡易挺

（作者單位：四川廣播電視科研所 北京英夫美迪公司成都分公司）

某省級(jí)電臺(tái)網(wǎng)絡(luò)遭ARP攻擊故障案例診斷及分析

姒 雁 蔡易挺

（作者單位：四川廣播電視科研所 北京英夫美迪公司成都分公司）

ARP攻擊是導(dǎo)致局域網(wǎng)癱瘓的常見(jiàn)原因，本文就今年發(fā)生在國(guó)內(nèi)某省級(jí)廣播電臺(tái)制作播出網(wǎng)絡(luò)因遭受ARP攻擊出現(xiàn)網(wǎng)絡(luò)癱瘓的真實(shí)故障案例，介紹了故障分析、排查解決過(guò)程和故障原因，為廣播電臺(tái)的網(wǎng)絡(luò)安全建維護(hù)、如何快速判查網(wǎng)絡(luò)ARP攻擊故障提供了參考。

ARP攻擊；制播網(wǎng)絡(luò)；網(wǎng)絡(luò)安全

隨著廣播電臺(tái)全臺(tái)網(wǎng)的建設(shè)，廣播電臺(tái)的節(jié)目生產(chǎn)和播出已經(jīng)完全依賴與計(jì)算機(jī)網(wǎng)絡(luò)，因此網(wǎng)絡(luò)安全對(duì)于安全播出來(lái)講日趨重要。目前在廣播電臺(tái)制作播出局域網(wǎng)絡(luò)中，如果沒(méi)有采取嚴(yán)格的安全維護(hù)措施，“ARP攻擊”、 “ARP欺騙”、以及網(wǎng)絡(luò)中其它計(jì)算機(jī)的通信信息截獲等很容易發(fā)生，感染了ARP木馬的計(jì)算機(jī)，可以造成整個(gè)網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信故障，甚至造成整個(gè)網(wǎng)絡(luò)癱瘓。

ARP（Address Resolution Protocol，地址解析協(xié)議）作為TCP/IP協(xié)議棧的網(wǎng)絡(luò)層，是將目標(biāo)設(shè)備IP地址解析成對(duì)應(yīng)的MAC地址，通過(guò)目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，并進(jìn)行通信。所以，ARP是網(wǎng)絡(luò)協(xié)議中涉及網(wǎng)絡(luò)安全最重要的和最常見(jiàn)的協(xié)議之一，比如“ARP欺騙”可以實(shí)現(xiàn)的偽造IP地址和MAC地址；而“ARP攻擊”則在網(wǎng)絡(luò)中攻擊者迸發(fā)大量的ARP通信，持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包造成網(wǎng)絡(luò)通訊阻塞，并能夠更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目造成網(wǎng)絡(luò)中斷。

廣播電臺(tái)的計(jì)算機(jī)網(wǎng)絡(luò)即使采用了高可用性結(jié)構(gòu)，配置了主備服務(wù)器及路由，但是遇到“ARP攻擊”也會(huì)造成全網(wǎng)癱瘓的嚴(yán)重后果。

“ARP攻擊”對(duì)于局域網(wǎng)而言雖然容易發(fā)生而且后果很嚴(yán)重，但是，由于電臺(tái)制播網(wǎng)絡(luò)均是封閉的內(nèi)網(wǎng)，通常采取了較為嚴(yán)格的安全措施以防止病毒的感染，實(shí)際發(fā)生情況并不多見(jiàn)，由于不同于系統(tǒng)設(shè)備的“硬故障”那樣容易排查，“ARP攻擊”屬于網(wǎng)絡(luò)協(xié)議層的“軟故障”，工程技術(shù)人員在故障出現(xiàn)后很容易被誤導(dǎo)，造成故障排查時(shí)間較長(zhǎng)，處理較為困難。今年年中在國(guó)內(nèi)某省級(jí)廣播電臺(tái)就發(fā)生了一起，其制作播出網(wǎng)絡(luò)因?yàn)樵馐蹵RP攻擊出現(xiàn)網(wǎng)絡(luò)癱瘓。為了更好地闡述在網(wǎng)絡(luò)維護(hù)過(guò)程中，如何快速判查網(wǎng)絡(luò)ARP攻擊故障，我們把整個(gè)對(duì)故障分析和排查解決過(guò)程進(jìn)行了總結(jié)，提供給大家參考，以提高網(wǎng)絡(luò)安全性和網(wǎng)絡(luò)免疫力，從而滿足現(xiàn)代廣播電臺(tái)安全播出的要求。

1　故障描述

2015年8月，國(guó)內(nèi)某省級(jí)廣播電臺(tái)計(jì)算機(jī)音頻制作及播出網(wǎng)絡(luò)發(fā)生故障，內(nèi)網(wǎng)用戶訪問(wèn)制播網(wǎng)中得服務(wù)器的速度非常慢，甚至不能訪問(wèn)，主、備服務(wù)器群聚系統(tǒng)無(wú)法正常工作，導(dǎo)致整個(gè)電臺(tái)制播網(wǎng)絡(luò)不能使用，即使啟動(dòng)單獨(dú)的備份服務(wù)器工作也不正常，嚴(yán)重影響了電臺(tái)正常的節(jié)目生產(chǎn)制作，所幸的是由于播出工作站因有本地備份，采用斷網(wǎng)播出確保了故障期間重要廣播節(jié)目沒(méi)有停播。

故障發(fā)生后，播出系統(tǒng)在播放中出現(xiàn)中斷和網(wǎng)絡(luò)丟失等錯(cuò)誤信息，服務(wù)器的群集IP會(huì)丟失。

2　故障分析

故障出現(xiàn)后在排查開(kāi)始階段，初步判斷引起問(wèn)題的原因可能是服務(wù)器的群集軟件出現(xiàn)問(wèn)題，造成播出系統(tǒng)制作客戶端和播出客戶端無(wú)法正常運(yùn)行。并著手進(jìn)行群集軟件故障具體分析排查，發(fā)現(xiàn)Windows服務(wù)器和群集軟件的日志中很多報(bào)錯(cuò)信息，把日志信息仔細(xì)分析后，問(wèn)題基本縮小為群集的IP地址設(shè)置無(wú)法生效，客戶端訪問(wèn)失敗、播出掉線等問(wèn)題都是這個(gè)問(wèn)題引起的。通過(guò)前期分析，并受到安全播出時(shí)間的苛刻要求，力圖快速解決，于是多次修改配置，重新啟動(dòng)群集系統(tǒng)，同時(shí)按照該存儲(chǔ)群集系統(tǒng)廠家給出了幾個(gè)排查方向進(jìn)行操作處理，問(wèn)題均沒(méi)有得到解決。

在獲取網(wǎng)絡(luò)信息的時(shí)候，發(fā)現(xiàn)網(wǎng)絡(luò)已經(jīng)發(fā)生嚴(yán)重阻塞，通過(guò)ping的方式訪問(wèn)客戶機(jī)和服務(wù)器，速度非常慢，而且嚴(yán)重丟包，甚至不能訪問(wèn)，在主機(jī)房的客戶終端和播出站分別使用“arp -a”命令查看ARP緩存信息，結(jié)果發(fā)現(xiàn)很多IP終端使用了相同的MAC地址。

3　故障排查

首先在電臺(tái)網(wǎng)絡(luò)機(jī)房進(jìn)行網(wǎng)絡(luò)信息的獲取，將筆記本電腦連接到電臺(tái)的中心交換機(jī)上，做好端口鏡像配置操作，通過(guò)網(wǎng)絡(luò)分析系統(tǒng)捕獲約半分鐘的網(wǎng)絡(luò)通訊數(shù)據(jù)，并分析捕獲到的數(shù)據(jù)包。

如圖1，通過(guò)詳細(xì)分析圖1中的連接信息發(fā)現(xiàn)大多數(shù)連接的源地址都是192.168.5.119，即連接都是由IP為192.168.5.X中的主機(jī)終端發(fā)起的，在網(wǎng)絡(luò)分析軟件主界面左邊的節(jié)點(diǎn)瀏覽器中我們還發(fā)現(xiàn)，同時(shí)在線的IP主機(jī)達(dá)到了100多臺(tái)，而電臺(tái)節(jié)目制作播出內(nèi)網(wǎng)的音頻工作站電腦終端約為50多臺(tái)，因?yàn)榫W(wǎng)絡(luò)故障和夜間工作時(shí)間關(guān)系，此時(shí)同時(shí)在線的最多有20臺(tái)左右，很明顯網(wǎng)絡(luò)中有大量的偽造IP地址的主機(jī)終端，采用偽造的IP地址進(jìn)行攻擊或者進(jìn)行自動(dòng)掃描攻擊。

圖1　網(wǎng)絡(luò)中的TCP連接信息

點(diǎn)擊鼠標(biāo)右鍵選中源地址192.168.5.119的任意一個(gè)連接，在彈出的菜單中點(diǎn)擊“定位瀏覽器節(jié)點(diǎn)”和“端點(diǎn)1 IP”，節(jié)點(diǎn)瀏覽器會(huì)自動(dòng)定位到192.168.5.119主機(jī)，這樣，就可以通過(guò)選擇視圖圖表中“TCP連接子視圖項(xiàng)”進(jìn)行查看192.168.5.119主機(jī)的TCP連接情況，如圖2所示。

圖2　主機(jī)的TCP連接信息

我們知道，采用TCP通訊協(xié)議工作時(shí)，請(qǐng)求端發(fā)起連接需要通過(guò)三次“握手”，當(dāng)請(qǐng)求端向不存在的目的端發(fā)起了同步請(qǐng)求時(shí)，由于收不到目的端主機(jī)的確認(rèn)回復(fù)，就會(huì)一直處于請(qǐng)求同步狀態(tài)，直到超時(shí)斷開(kāi)。所以，當(dāng)我們?cè)诰W(wǎng)絡(luò)分析軟件界面中選擇連接視圖，查看圖2可以看到，主機(jī)192.168.5.119在大約5分鐘的時(shí)間內(nèi)發(fā)起了2800個(gè)“連接”，且其中有2793個(gè)“連接”都是初始化連接，也就是大多數(shù)都是客戶端請(qǐng)求同步的狀態(tài)，即TCP通訊中三次“握手”的第一步，這表示192.168.5.119主機(jī)肯定存在自動(dòng)掃描攻擊。據(jù)此，可以更加確定在電臺(tái)制播網(wǎng)絡(luò)中存在自動(dòng)掃描攻擊。

通過(guò)選擇數(shù)據(jù)包視圖查看192.168.5.119傳輸通訊的數(shù)據(jù)包信息，其數(shù)據(jù)包的協(xié)議都是CIFS，源地址都是192.168.5.119，數(shù)據(jù)包的大小都是66字節(jié)，而數(shù)據(jù)包的目標(biāo)地址則是隨機(jī)的，目標(biāo)端口都是445，且查看數(shù)據(jù)包的TCP標(biāo)志位，都是同步位置1，所有這些都說(shuō)明主機(jī)192.168.5.119正在主動(dòng)對(duì)網(wǎng)絡(luò)中的TCP 445端口進(jìn)行掃描攻擊，可以確定故障原因很可能就是192.168.5.119主機(jī)感染病毒程序。

最后我們查看該廣播電臺(tái)播出制作網(wǎng)得知該IP網(wǎng)段是192.168.0.X，出現(xiàn)192.168.2.X、92.168.4.X和192.168.5.X等這樣的IP地址肯定不是播出制作網(wǎng)段的計(jì)算機(jī)。所以基本能夠確定電臺(tái)計(jì)算機(jī)網(wǎng)絡(luò)故障是該播出網(wǎng)絡(luò)被接入了其它網(wǎng)絡(luò)，并被其它網(wǎng)絡(luò)中帶有ARP病毒的計(jì)算機(jī)攻擊了。

4　故障原因

在明確了網(wǎng)路受到ARP攻擊以后，電臺(tái)技術(shù)人員開(kāi)始對(duì)整個(gè)制播網(wǎng)絡(luò)系統(tǒng)進(jìn)行物理排查，通過(guò)排查后發(fā)現(xiàn)故障原因：廣告部在更換防火墻時(shí)操作失誤將不應(yīng)接入內(nèi)網(wǎng)的互聯(lián)網(wǎng)交換機(jī)接入內(nèi)網(wǎng)，導(dǎo)致可以連接外網(wǎng)的主機(jī)通過(guò)內(nèi)網(wǎng)對(duì)主服務(wù)器（server1和server2）和備服務(wù)器（bf）發(fā)起了ARP斷網(wǎng)攻擊，將有欺詐性質(zhì)的ARP數(shù)據(jù)包通過(guò)內(nèi)網(wǎng)發(fā)送給主備服務(wù)器，將多個(gè)與192.168.0.- 網(wǎng)段內(nèi)的IP地址所對(duì)應(yīng)的mac地址進(jìn)行了修改，修改為一個(gè)錯(cuò)誤的mac地址，導(dǎo)致備服務(wù)器（bf）與各頻率直播間的的播出電腦之間的網(wǎng)絡(luò)時(shí)常無(wú)法連通，也造成啟用備用服務(wù)器后播出軟件頻繁死機(jī)。由于主服務(wù)器（server1和server2）通過(guò)群集技術(shù)來(lái)訪問(wèn)磁盤陣列，而群集是通過(guò)產(chǎn)生虛擬IP來(lái)管理和訪問(wèn)磁盤陣列的，由于ARP斷網(wǎng)攻擊將虛擬IP的mac地址進(jìn)行了錯(cuò)誤的修改，導(dǎo)致主服務(wù)器（server1和server2）無(wú)法通過(guò)群集正常的訪問(wèn)磁盤陣列，從而也導(dǎo)致了采用主服務(wù)器（server1和server2）時(shí)播出軟件的死機(jī)和無(wú)法操作。經(jīng)調(diào)查發(fā)現(xiàn)192.168.5.- 網(wǎng)段的IP是屬于電臺(tái)西配樓廣告部的，因廣播廣告上單需要，西配樓廣告部有一個(gè)直接連入內(nèi)網(wǎng)的交換機(jī)，由于其操作人員的疏忽將與外網(wǎng)相連的交換機(jī)與電臺(tái)內(nèi)網(wǎng)的交換機(jī)錯(cuò)誤的級(jí)聯(lián)在一起，導(dǎo)致能夠訪問(wèn)外網(wǎng)的主機(jī)錯(cuò)誤的接入了內(nèi)網(wǎng)，也正是廣告部的這臺(tái)主機(jī)發(fā)起的ARP攻擊造成了這次嚴(yán)重事故。

5　結(jié)束語(yǔ)

經(jīng)過(guò)這個(gè)事件后，該廣播電臺(tái)根據(jù)《GB/T 22039信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)》基本要求，分別針對(duì)制播網(wǎng)、綜合業(yè)務(wù)網(wǎng)，從網(wǎng)絡(luò)安全（基礎(chǔ)網(wǎng)絡(luò)安全和邊界安全）、主機(jī)安全（終端系統(tǒng)安全、服務(wù)端系統(tǒng)安全）、應(yīng)用安全、數(shù)據(jù)安全幾個(gè)層面對(duì)臺(tái)里的計(jì)算機(jī)系統(tǒng)進(jìn)行了相應(yīng)的安全防護(hù)升級(jí)和整改，以杜絕相關(guān)事件的再次發(fā)生。