引言:單位局域網(wǎng)出現(xiàn)異常,經(jīng)排查,竟然是人為竊取數(shù)據(jù)引起的?,F(xiàn)在就將該故障現(xiàn)象的排查過程還原出來,希望大家能夠從中受到啟發(fā)。
單位局域網(wǎng)組網(wǎng)層次清晰,終端設(shè)備通過網(wǎng)線接入到樓層交換機上,樓層交換機使用多模光纖連接到核心交換機上,并通過防火墻與Internet網(wǎng)絡(luò)進行連接。為了網(wǎng)絡(luò)安全以及管理方便,管理員劃分了虛擬工作子網(wǎng),每個子網(wǎng)包含的終端數(shù)量在30~40臺之間。最近,為了完成某項任務(wù),部門間的協(xié)同辦公十分頻繁,我們在局域網(wǎng)中部署專門的服務(wù)器,用于數(shù)據(jù)的共享與傳輸,該服務(wù)器直接連接到核心交換機上。
近日,單位局域網(wǎng)運行不正常,不同終端間的協(xié)同辦公操作不能正常進行,文件傳輸速度非常緩慢,登錄局域網(wǎng)服務(wù)器時,遠程連接頻繁提示超時連接或直接斷線。依據(jù)上述現(xiàn)象,網(wǎng)管員懷疑局域網(wǎng)中有異常流量,因為檢查網(wǎng)絡(luò)設(shè)備信號燈狀態(tài)時,發(fā)現(xiàn)它們一直狂閃不停。
單擊“開始→運行”命令,輸入“cmd”命令,切換到DOS命令行窗口,執(zhí)行命令“arp -a”,從返回的結(jié)果看(如圖 1),網(wǎng)絡(luò)中不存在ARP攻擊。執(zhí)行命令“ping 10.176.34.1 -n 100”,向虛擬工作子網(wǎng)的網(wǎng)關(guān)發(fā)送100個Ping數(shù)據(jù)包,網(wǎng)關(guān)地址能夠被正常Ping通,但數(shù)據(jù)丟包現(xiàn)象嚴(yán)重,丟包率達到了65%,數(shù)據(jù)丟包現(xiàn)象持續(xù)時間也比較長。
為了找到數(shù)據(jù)丟包原因,筆者決定借助“Sniffer”工具進行抓包分析。在核心交換機鏡像端口上,對不同子網(wǎng)進行十多分鐘的抓包分析,在儀表標(biāo)簽頁面中,看到帶寬利用率達到了95%,這顯然是不正常的。以單位上網(wǎng)用戶數(shù)量和平時的網(wǎng)絡(luò)應(yīng)用來看,帶寬占用率應(yīng)該不超過30%。我們認(rèn)為,正是異常網(wǎng)絡(luò)流量引起了網(wǎng)絡(luò)丟包。
進入“Sniffer”工具的矩陣標(biāo)簽頁面時,看到網(wǎng)卡物理地址為“23-56-E8-95-2A-76”的終端計算機,消耗的出口帶寬占所有流量的60%左右,看來這臺計算機有問題。將“Sniffer”程序切換到主機列表標(biāo)簽頁面繼續(xù)檢查,看不到大量數(shù)據(jù)包存在,排除了廣播風(fēng)暴對數(shù)據(jù)丟包的影響。
圖1 DOS命令行界面
找到網(wǎng)卡地址為“23-56-E8-95-2A-76”的終端,發(fā)現(xiàn)該終端接收到的數(shù)據(jù)包才800多個,而發(fā)送出去的數(shù)據(jù)包在很短時間內(nèi)就有了十幾萬個。該計算機在偷偷向外發(fā)送什么數(shù)據(jù)呢?我們在其所連的交換端口上,對它的數(shù)據(jù)接收狀態(tài)單獨抓包分析。通過解碼數(shù)據(jù)包后,看到這臺終端正使用“UDP”網(wǎng)絡(luò)協(xié)議,向Internet網(wǎng)絡(luò)中的一個IP地址為“61.155.150.78”計算機不斷發(fā)送數(shù)據(jù)。查找這個IP地址的地理位置時,發(fā)現(xiàn)這是本地區(qū)的一個IP地址。進一步檢查,“61.155.150.78”計算機還與我單位局域網(wǎng)中的服務(wù)器建立了頻繁連接。
為了先將局域網(wǎng)恢復(fù)正常,我們臨時將“23-56-E8-95-2A-76”終端的網(wǎng)線拔下來,用“ping 10.176.34.1-n 100”向網(wǎng)關(guān)發(fā)送Ping測試包,數(shù)據(jù)丟包現(xiàn)象消失,繼續(xù)進行網(wǎng)頁訪問測試時,整個網(wǎng)絡(luò)也已經(jīng)恢復(fù)了正常。
為什么這臺終端頻繁向外發(fā)送數(shù)據(jù)呢?筆者將這臺終端的網(wǎng)線重新插上,使用專業(yè)工具對其掃描,看到該計算機已被植入了木馬程序,以遠程控制方式,強制將本地數(shù)據(jù)拷貝到外網(wǎng)某計算機中。另外,以管理員權(quán)限登錄服務(wù)器,查看當(dāng)前會話連接狀態(tài)時,發(fā)現(xiàn)有陌生用戶正在與之通信,正是“61.155.150.78”計算機從服務(wù)器中不停下載數(shù)據(jù)。看來有人正在將單位局域網(wǎng)中的重要數(shù)據(jù)偷偷轉(zhuǎn)移到這臺外網(wǎng)計算機上。使用相同的安全工具,掃描服務(wù)器時,也發(fā)現(xiàn)到了與之前一樣的木馬程序,顯然是內(nèi)部人員通過木馬程序從網(wǎng)絡(luò)竊取數(shù)據(jù)。
有了這次教訓(xùn)后,單位網(wǎng)管員意識到平時加強網(wǎng)絡(luò)管理的重要性,之后采取嚴(yán)控內(nèi)部員工上網(wǎng)、精細劃分子網(wǎng)、及時調(diào)整服務(wù)器登錄密碼、定期掃描病毒木馬程序、加強異常流量監(jiān)控等一系列措施,確保局域網(wǎng)健康穩(wěn)定運行。