外網(wǎng)總是時(shí)斷時(shí)不斷?
1、檢查網(wǎng)絡(luò)設(shè)備、網(wǎng)線是否有損壞,排除了硬件設(shè)備故障。
2、檢查內(nèi)網(wǎng)是否經(jīng)常有人大量下載或者使用P2P終結(jié)者等攻擊軟件。通過(guò)觀察和走訪發(fā)現(xiàn)也不是這個(gè)原因造成的,公司同事對(duì)電腦技術(shù)懂的很少,并且公司有明確規(guī)定,上班時(shí)間不允許看視頻和下載東西。
3、檢查內(nèi)網(wǎng)是否存在網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)攻擊。使用sniffer抓包分析網(wǎng)絡(luò)流量,發(fā)現(xiàn)內(nèi)網(wǎng)充斥大量的異常數(shù)據(jù),并且有ARP攻擊、DDOS攻擊。至此可以確定本次網(wǎng)絡(luò)問(wèn)題是由于內(nèi)網(wǎng)攻擊造成的。
確定了故障原因,下一步就是使用合適的解決辦法。在使用了ARP防火墻、IP-MAC綁定之后,發(fā)現(xiàn)網(wǎng)絡(luò)掉線依舊,并沒(méi)有很好的改善。束手無(wú)策之際,一位師兄給我指明了方向,網(wǎng)絡(luò)問(wèn)題要用網(wǎng)絡(luò)方法解決。
我查了大量資料,終于弄清了ARP攻擊的原理:ARP不是病毒,而是一種“協(xié)議性攻擊行為”,只所以稱之為病毒,是因?yàn)槟壳癆RP攻擊工具的傳播方式與發(fā)作現(xiàn)象已經(jīng)愈來(lái)愈接近病毒。ARP(地址解釋協(xié)議)是網(wǎng)絡(luò)通信協(xié)議中的不可缺少的關(guān)鍵協(xié)議,它是負(fù)責(zé)將IP地址轉(zhuǎn)換為對(duì)應(yīng)MAC地址的協(xié)議。ARP的存在給了好事者可趁之機(jī),但如果缺少了ARP協(xié)議,網(wǎng)絡(luò)設(shè)備之間將無(wú)法進(jìn)行通訊,這是為什么對(duì)ARP投鼠忌器的主要原因。
ARP病毒可分為兩種,一種是ARP欺騙,一種是ARP攻擊。ARP欺騙最先是黑客們偷盜網(wǎng)絡(luò)賬號(hào)使用的,后來(lái)被廣泛用于類似網(wǎng)路崗、網(wǎng)絡(luò)執(zhí)法官之類的網(wǎng)絡(luò)管理工具,被騙主機(jī)會(huì)將數(shù)據(jù)發(fā)送給偽裝的主機(jī),從而達(dá)到截獲數(shù)據(jù)的目的。而ARP攻擊純粹是以破壞網(wǎng)絡(luò)通訊為主要目的,發(fā)送虛假的ARP請(qǐng)求包或應(yīng)答包,使得網(wǎng)絡(luò)內(nèi)所有主機(jī)都失去了有序的組織和聯(lián)系。
ARP病毒的傳播,必須有“肉雞”,就是容易被感染的宿主機(jī),通過(guò)得到宿主機(jī)的控制權(quán)來(lái)發(fā)送ARP欺騙、虛假的ARP請(qǐng)求包和應(yīng)答包。由于沒(méi)有明顯的特征字以及ARP在網(wǎng)絡(luò)通訊中的重要地位,防毒墻和防火墻應(yīng)對(duì)ARP病毒也束手無(wú)策。所以從源頭上堵住問(wèn)題數(shù)據(jù)的流出,同時(shí)放行合法的ARP數(shù)據(jù)包,才是徹底擺脫ARP困擾的終極解決方案。
這是由于以太網(wǎng)協(xié)議存在漏洞造成的,也就是為什么ARP防火墻、360、IP-MAC綁定出現(xiàn)這么久之后,ARP攻擊還是一直無(wú)法防治的原因,ARP防火墻、360防不了ARP攻擊!
并且目前信息網(wǎng)絡(luò)問(wèn)題頻出,掉線、網(wǎng)速慢、內(nèi)網(wǎng)服務(wù)器訪問(wèn)緩慢等,很多并不在于網(wǎng)絡(luò)設(shè)備的高級(jí)低級(jí),也不在于防火墻、殺毒等手段的實(shí)施,它的根源就在于以太網(wǎng)協(xié)議存在先天漏洞、不擅長(zhǎng)管理這兩大弊端。一旦這個(gè)弊端被黑客利用,內(nèi)網(wǎng)的每一臺(tái)PC都可能成為攻擊源,從內(nèi)網(wǎng)發(fā)起攻擊。而PC被感染的途徑太多,訪問(wèn)網(wǎng)頁(yè)、收郵件、聊天下載、移動(dòng)筆記本、插U盤等等,都可能中招,防不勝防。統(tǒng)計(jì)數(shù)據(jù)表明,網(wǎng)絡(luò)問(wèn)題80%是內(nèi)網(wǎng)引起的,就是這個(gè)原因。
目前的網(wǎng)絡(luò)安全產(chǎn)品,防火墻、UTM防御外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊,殺毒軟件保證單機(jī)安全,而防護(hù)內(nèi)網(wǎng)的產(chǎn)品卻很少。后來(lái)找到了一家專門針對(duì)內(nèi)網(wǎng)基礎(chǔ)安全、解決內(nèi)網(wǎng)攻擊的產(chǎn)品---免疫墻技術(shù)。
免疫墻能夠?qū)⑵胀ňW(wǎng)絡(luò)升級(jí)為免疫網(wǎng)絡(luò),從網(wǎng)絡(luò)底層、每個(gè)終端上進(jìn)行防控監(jiān)測(cè),不僅能防止本機(jī)不受攻擊,還能攔截本機(jī)對(duì)外的網(wǎng)絡(luò)攻擊。安裝在PC機(jī)上的免疫墻終端能夠完成對(duì)MAC-IP的看守式綁定,徹底根除ARP病毒影響,即使本機(jī)中毒(刪除本機(jī)的靜態(tài)綁定列表),也不能對(duì)自身和網(wǎng)絡(luò)造成影響。加固網(wǎng)絡(luò)基礎(chǔ)安全,填補(bǔ)以太網(wǎng)協(xié)議漏洞,能夠徹底有效的解決內(nèi)網(wǎng)攻擊問(wèn)題。
并且免疫墻的技術(shù)范圍能夠拓展到網(wǎng)絡(luò)的最末端,深入到協(xié)議的最底層、盤查到外網(wǎng)的出入口、總覽到內(nèi)網(wǎng)的最全貌,使網(wǎng)絡(luò)本身具有自主防御和管理的功能,網(wǎng)絡(luò)可控、可管、可防、可觀。
使用了免疫墻技術(shù)之后,在免疫墻的監(jiān)控界面中看到了攔截了很多網(wǎng)絡(luò)攻擊,現(xiàn)在網(wǎng)絡(luò)很穩(wěn)定,沒(méi)有再出現(xiàn)過(guò)掉線了。
在遇到網(wǎng)絡(luò)問(wèn)題時(shí),我們一定要思路清晰,確定排查方案,在找到故障原因后,確定解決方案。并且要不恥下問(wèn),多向他人請(qǐng)教;查閱資料,了解新技術(shù),把握網(wǎng)絡(luò)技術(shù)的發(fā)展