定位地址沖突源頭

在單位內(nèi)網(wǎng)環(huán)境中，每臺終端計(jì)算機(jī)往往都會使用靜態(tài)IP地址，不同計(jì)算機(jī)使用的IP地址不相同，理論上不會出現(xiàn)地址沖突現(xiàn)象，但事實(shí)上IP地址沖突現(xiàn)象在內(nèi)網(wǎng)環(huán)境頻繁發(fā)生，給內(nèi)網(wǎng)的穩(wěn)定運(yùn)行帶來了不小的威脅。

造成這種威脅的原因主要是不少終端用戶對網(wǎng)絡(luò)配置操作不熟悉，不了解IP地址、默認(rèn)網(wǎng)關(guān)、網(wǎng)絡(luò)掩碼等參數(shù)怎么設(shè)置，有的用戶不按規(guī)定使用網(wǎng)絡(luò)參數(shù)，或者是終端用戶在重裝系統(tǒng)時(shí)不懂得使用以前的配置，而是胡亂選擇IP地址。當(dāng)然，也有可能是惡意用戶人為制造IP地址沖突威脅，來干擾局域網(wǎng)的穩(wěn)定運(yùn)行。這種沖突威脅不但容易頻繁發(fā)生，而且還有一定的隱蔽性，不容易被及時(shí)定位，只有在發(fā)生沖突的終端計(jì)算機(jī)同時(shí)在線時(shí)才能顯露出問題。

要想快速定位地址沖突源頭，必須在發(fā)生地址沖突現(xiàn)象時(shí)，立即關(guān)閉合法的終端計(jì)算機(jī)，否則非法計(jì)算機(jī)在不能上網(wǎng)的情況下關(guān)閉系統(tǒng)時(shí)，會給定位操作帶來麻煩。之后，使用ping命令測試非法計(jì)算機(jī)的在線狀態(tài)，如果發(fā)生沖突的計(jì)算機(jī)IP地址為10.176.0.6，那么可以在DOS命令行窗口，輸入字符串命令“ping 10.176.0.6 -t”，當(dāng) 返 回 如圖1所示的結(jié)果信息時(shí)，就意味著非法計(jì)算機(jī)處于在線狀態(tài)。之后，在命令行提示符下，輸入字符串命令“nbtstat -a 10.176.0.6”，從返回的結(jié)果信息中，可以獲取非法計(jì)算機(jī)的主機(jī)名稱、網(wǎng)卡物理地址以及該計(jì)算機(jī)所處的工作組名稱。根據(jù)這些結(jié)果信息，再對照原始的組網(wǎng)資料，網(wǎng)絡(luò)管理員就能有效定位到非法計(jì)算機(jī)究竟位于什么位置了。

圖1 返回結(jié)果信息

當(dāng)然，對于一些已經(jīng)改變了主機(jī)名稱、工作組名稱等信息的惡意IP盜用現(xiàn)象，上述方法就無法快速定位到地址沖突源頭了。這時(shí)，我們不妨以其人之道還治其人之身，使用“IP地址攻擊器”這個黑客攻擊工具，對非法計(jì)算機(jī)進(jìn)行主動攻擊，讓其不能正常上網(wǎng)，這樣非法用戶到時(shí)會主動上門請求幫助，我們也沒有必要漫無目的地去定位沖突源頭了。

開啟“IP地址攻擊器”的運(yùn)行狀態(tài)，在“攻擊測試”位置處輸入發(fā)生沖突的IP地址，假設(shè)這里輸入“10.176.0.6”，點(diǎn)擊“開始”按鈕就能向目標(biāo)計(jì)算機(jī)發(fā)動攻擊。很快，非法計(jì)算機(jī)就會發(fā)生明顯的數(shù)據(jù)丟包現(xiàn)象，表現(xiàn)出來的故障與常見的受攻擊計(jì)算機(jī)一樣，例如雖然QQ可以上線，但是發(fā)送信息和接受信息都無法成功，上網(wǎng)訪問時(shí)只有發(fā)送數(shù)據(jù)包，沒有接受數(shù)據(jù)包。

定位ARP攻擊源頭

ARP病毒攻擊局域網(wǎng)的現(xiàn)象經(jīng)常發(fā)生，雖然這類病毒不能自我復(fù)制，也不會主動傳播，但是它在發(fā)作運(yùn)行的時(shí)候，常常會向整個網(wǎng)絡(luò)發(fā)送虛假ARP數(shù)據(jù)包，造成終端計(jì)算機(jī)系統(tǒng)不能找到真正網(wǎng)關(guān)，從而嚴(yán)重威脅局域網(wǎng)的穩(wěn)定運(yùn)行。所以，怎樣快速有效定位ARP病毒源頭，同時(shí)將毒源從網(wǎng)絡(luò)中隔離開來，就成了網(wǎng)管人員的當(dāng)務(wù)之急。定位ARP攻擊源頭的方法有很多，可是不少方法都要通過專業(yè)工具才能完成，現(xiàn)在我們靈活通過交換機(jī)內(nèi)置的管理命令，來快速定位局域網(wǎng)中的ARP病毒源頭。

例如，某局域網(wǎng)終端計(jì)算機(jī)接二連三地發(fā)生無法上網(wǎng)故障，有時(shí)是一臺終端不能上網(wǎng)，有時(shí)是某個VLAN中所有終端都無法上網(wǎng)。碰到單臺終端不能上網(wǎng)時(shí)，簡單地修改上網(wǎng)地址或重新啟動系統(tǒng)，就能臨時(shí)解決網(wǎng)絡(luò)故障；當(dāng)特定VLAN中所有終端計(jì)算機(jī)都不能上網(wǎng)時(shí)，網(wǎng)絡(luò)管理員通過重啟對應(yīng)VLAN接入交換機(jī)，也能快速恢復(fù)網(wǎng)絡(luò)狀態(tài)?？墒?，要不了多長時(shí)間，同樣的故障現(xiàn)象又會卷土重來。經(jīng)過初步分析判斷，網(wǎng)管員認(rèn)為上述故障與ARP病毒引起的現(xiàn)象十分相似，看來局域網(wǎng)存在ARP病毒攻擊現(xiàn)象。

由于ARP病毒只能在同一個虛擬工作子網(wǎng)中傳播擴(kuò)散，網(wǎng)管員認(rèn)為ARP病毒源頭肯定位于故障終端所在的VLAN中。為此，網(wǎng)管員在故障終端系統(tǒng)打開運(yùn)行對話框，輸入“cmd”命令并回車，切換到MS-DOS工作窗口，執(zhí)行“arp-a”命令，從返回的結(jié)果信息中發(fā)現(xiàn)網(wǎng)關(guān)設(shè)備MAC地址變成了“0000-5e00-1d02”，但真實(shí)的網(wǎng)關(guān)MAC地址并不是該地址，這說明故障終端真的有ARP病毒存在。

面對包含了幾十臺上網(wǎng)終端的特定VLAN，怎樣快速定位到ARP病毒源頭的位置呢？網(wǎng)管員查看了該局域網(wǎng)的組網(wǎng)結(jié)構(gòu)圖，看到每個VLAN的接入交換機(jī)都支持網(wǎng)絡(luò)管理功能，同時(shí)還支持日志記憶功能，通過它們可以追蹤、記憶對網(wǎng)絡(luò)的訪問記錄。于是，網(wǎng)管員立即借助超級終端程序，遠(yuǎn)程登錄進(jìn)入特定VLAN的接入交換機(jī)后臺系統(tǒng)，使用“system”命令，將交換機(jī)切換到全局配置狀態(tài)，輸入“display logbuf”字符串命令，查看交換機(jī)后臺系統(tǒng)日志內(nèi)容時(shí)，發(fā)現(xiàn)有“%May 9 11:12:36 2014 YCXZ_W_P8512 ARP/4/DUPIFIP:Slot=4;Duplicate address 10.192.105.13 on VLAN12, sourced by 01ed-3c76-d0e1”這條記錄內(nèi)容，很明顯ARP病毒位于VLAN12工作子網(wǎng)中，ARP病毒源頭來自網(wǎng)卡MAC地址為01ed-3c76-d0e1的終端計(jì)算機(jī)系統(tǒng)，那么這臺終端計(jì)算機(jī)系統(tǒng)究竟位于哪個辦公室呢？

考慮到連接到每個交換端口的網(wǎng)絡(luò)線纜上都有標(biāo)簽信息，提示用戶哪個交換端口連接到了哪個辦公室，所以網(wǎng)管員認(rèn)為現(xiàn)在只要找出網(wǎng)卡MAC地址為01ed-3c76-d0e1的終端計(jì)算機(jī)系統(tǒng)，究竟連接在哪個交換端口，之后再根據(jù)交換機(jī)線纜標(biāo)簽上的說明信息，就能定位到ARP病毒源頭位于哪個辦公室了。

網(wǎng)管員立即在接入層交換機(jī)后臺系統(tǒng)，使用“display mac”字符串命令，查看了所有連接在該交換機(jī)上的MAC地址記錄信息，從返回的結(jié)果信息來看，對應(yīng)01ed-3c76-d0e1地址的端口，位于當(dāng)前接入層交換機(jī)的第八個以太端口（e0/8）。立即趕到對應(yīng)接入層交換機(jī)現(xiàn)場，網(wǎng)管員迅速檢查了第八個交換端口上的標(biāo)簽信息，看到ARP病毒源頭位于單位大樓316房間的終端計(jì)算機(jī)系統(tǒng)中。至此，ARP病毒就被準(zhǔn)確定位到具體的終端計(jì)算機(jī)中了。

為了預(yù)防ARP病毒繼續(xù)威脅單位局域網(wǎng)其他終端系統(tǒng)的網(wǎng)絡(luò)訪問，網(wǎng)管員決定先將這臺已經(jīng)染上了ARP病毒的終端計(jì)算機(jī)從單位局域網(wǎng)中隔離開來。隔離操作很簡單，只要在指定接入層交換機(jī)后臺系統(tǒng)，逐一輸入“system”、“interface e0/8”命令，切換到第八個以太交換端口視圖模式（如圖2所示），同時(shí)在該模式下輸入“shutdown”字符串命令，強(qiáng)行關(guān)閉第八個以太端口工作狀態(tài)，這樣ARP病毒就無法在對應(yīng)VLAN中繼續(xù)擴(kuò)散、傳播了。

定位普通病毒源頭

局域網(wǎng)中某臺終端系統(tǒng)感染了病毒，每天不定期地對同網(wǎng)段內(nèi)的其他計(jì)算機(jī)進(jìn)行攻擊，攻擊范圍相當(dāng)之大，多臺計(jì)算機(jī)系統(tǒng)中的防火墻攔截了該中毒計(jì)算機(jī)的病毒攻擊包，數(shù)據(jù)包的IP地址來自192.168.1.16。

對于這種安全威脅事件，雖然可以借助DNS服務(wù)器將特定IP地址解析為真實(shí)的計(jì)算機(jī)名稱，從而快速找到感染病毒的計(jì)算機(jī)，但是在計(jì)算機(jī)名稱隨機(jī)生成的情況下，通過計(jì)算機(jī)名稱定位普通病毒源頭的辦法就無效了。實(shí)際上，在局域網(wǎng)域工作環(huán)境下，我們可以利用系統(tǒng)默認(rèn)共享功能，找到染毒用戶。

圖2 以太交換端口視圖模式

大家知道，在域工作環(huán)境下，網(wǎng)管人員擁有很高的操作權(quán)限，能夠通過系統(tǒng)管理員帳號訪問域中所有終端系統(tǒng)的共享資源，這也包括訪問默認(rèn)的共享資源。例如，網(wǎng)管員只要依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入字符串命令“\192.168.1.16$”，單擊回車鍵后就能成功訪問染毒系統(tǒng)的系統(tǒng)分區(qū)隱藏共享。接著打開系統(tǒng)分區(qū)的“Documents and Settings”文件夾窗口，在這里可以查找到登錄這臺終端計(jì)算機(jī)的域用戶賬號，再登錄域控制器檢驗(yàn)該用戶賬號，就能輕松地識別出感染病毒的用戶。

當(dāng)然，這種定位普通病毒源頭的方法也有不足之處，因?yàn)楝F(xiàn)在很多終端用戶基于安全考慮，往往手工關(guān)閉了終端系統(tǒng)的隱藏共享功能，因此使用上述方法查看隱藏共享內(nèi)容時(shí)，可能會遇到失敗故障。為了避免這種現(xiàn)象發(fā)生，我們可以通過域組策略來強(qiáng)制啟用隱藏共享功能。在進(jìn)行該操作時(shí)，可以先以系統(tǒng)管理員權(quán)限登錄域控制器所在主機(jī)系統(tǒng)，啟動記事本程序，手工創(chuàng)建好名稱為“aaa.bat”的批處理文件，在該文件編輯窗口中輸入“net share C$=C：”這段命令代碼。

接著打開系統(tǒng)控制面板窗口，雙 擊“Active Directory用戶和計(jì)算機(jī)”圖標(biāo)，選中并雙擊需要設(shè)置組策略的OU，將鼠標(biāo)定位到組策略編輯窗口左側(cè)的“本地計(jì)算機(jī)策略”、“用 戶 配 置”、“Windows設(shè)置”、“腳本（登錄/注銷）”節(jié)點(diǎn)上，雙擊指定節(jié)點(diǎn)下的“登錄”選項(xiàng)，按下其后界面中的“編輯”按鈕，彈出編輯對話框，輸入“aaa.bat”批處理文件的詳細(xì)路徑，確認(rèn)后保存設(shè)置操作。再在系統(tǒng)運(yùn)行對話框中輸入“gpupdate”字符串命令，讓上述組策略配置立即生效，這樣域管理員就能通過隱藏共享功能定位普通病毒源頭了。