快速定位安全威脅源頭

定位地址沖突源頭

在單位內網環境中，每臺終端計算機往往都會使用靜態IP地址，不同計算機使用的IP地址不相同，理論上不會出現地址沖突現象，但事實上IP地址沖突現象在內網環境頻繁發生，給內網的穩定運行帶來了不小的威脅。

造成這種威脅的原因主要是不少終端用戶對網絡配置操作不熟悉，不了解IP地址、默認網關、網絡掩碼等參數怎么設置，有的用戶不按規定使用網絡參數，或者是終端用戶在重裝系統時不懂得使用以前的配置，而是胡亂選擇IP地址。當然，也有可能是惡意用戶人為制造IP地址沖突威脅，來干擾局域網的穩定運行。這種沖突威脅不但容易頻繁發生，而且還有一定的隱蔽性，不容易被及時定位，只有在發生沖突的終端計算機同時在線時才能顯露出問題。

要想快速定位地址沖突源頭，必須在發生地址沖突現象時，立即關閉合法的終端計算機，否則非法計算機在不能上網的情況下關閉系統時，會給定位操作帶來麻煩。之后，使用ping命令測試非法計算機的在線狀態，如果發生沖突的計算機IP地址為10.176.0.6，那么可以在DOS命令行窗口，輸入字符串命令“ping 10.176.0.6 -t”，當 返 回 如圖1所示的結果信息時，就意味著非法計算機處于在線狀態。之后，在命令行提示符下，輸入字符串命令“nbtstat -a 10.176.0.6”，從返回的結果信息中，可以獲取非法計算機的主機名稱、網卡物理地址以及該計算機所處的工作組名稱。根據這些結果信息，再對照原始的組網資料，網絡管理員就能有效定位到非法計算機究竟位于什么位置了。

圖1 返回結果信息

當然，對于一些已經改變了主機名稱、工作組名稱等信息的惡意IP盜用現象，上述方法就無法快速定位到地址沖突源頭了。這時，我們不妨以其人之道還治其人之身，使用“IP地址攻擊器”這個黑客攻擊工具，對非法計算機進行主動攻擊，讓其不能正常上網，這樣非法用戶到時會主動上門請求幫助，我們也沒有必要漫無目的地去定位沖突源頭了。

開啟“IP地址攻擊器”的運行狀態，在“攻擊測試”位置處輸入發生沖突的IP地址，假設這里輸入“10.176.0.6”，點擊“開始”按鈕就能向目標計算機發動攻擊。很快，非法計算機就會發生明顯的數據丟包現象，表現出來的故障與常見的受攻擊計算機一樣，例如雖然QQ可以上線，但是發送信息和接受信息都無法成功，上網訪問時只有發送數據包，沒有接受數據包。

定位ARP攻擊源頭

ARP病毒攻擊局域網的現象經常發生，雖然這類病毒不能自我復制，也不會主動傳播，但是它在發作運行的時候，常常會向整個網絡發送虛假ARP數據包，造成終端計算機系統不能找到真正網關，從而嚴重威脅局域網的穩定運行。所以，怎樣快速有效定位ARP病毒源頭，同時將毒源從網絡中隔離開來，就成了網管人員的當務之急。定位ARP攻擊源頭的方法有很多，可是不少方法都要通過專業工具才能完成，現在我們靈活通過交換機內置的管理命令，來快速定位局域網中的ARP病毒源頭。

例如，某局域網終端計算機接二連三地發生無法上網故障，有時是一臺終端不能上網，有時是某個VLAN中所有終端都無法上網。碰到單臺終端不能上網時，簡單地修改上網地址或重新啟動系統，就能臨時解決網絡故障；當特定VLAN中所有終端計算機都不能上網時，網絡管理員通過重啟對應VLAN接入交換機，也能快速恢復網絡狀態。可是，要不了多長時間，同樣的故障現象又會卷土重來。經過初步分析判斷，網管員認為上述故障與ARP病毒引起的現象十分相似，看來局域網存在ARP病毒攻擊現象。

由于ARP病毒只能在同一個虛擬工作子網中傳播擴散，網管員認為ARP病毒源頭肯定位于故障終端所在的VLAN中。為此，網管員在故障終端系統打開運行對話框，輸入“cmd”命令并回車，切換到MS-DOS工作窗口，執行“arp-a”命令，從返回的結果信息中發現網關設備MAC地址變成了“0000-5e00-1d02”，但真實的網關MAC地址并不是該地址，這說明故障終端真的有ARP病毒存在。

面對包含了幾十臺上網終端的特定VLAN，怎樣快速定位到ARP病毒源頭的位置呢？網管員查看了該局域網的組網結構圖，看到每個VLAN的接入交換機都支持網絡管理功能，同時還支持日志記憶功能，通過它們可以追蹤、記憶對網絡的訪問記錄。于是，網管員立即借助超級終端程序，遠程登錄進入特定VLAN的接入交換機后臺系統，使用“system”命令，將交換機切換到全局配置狀態，輸入“display logbuf”字符串命令，查看交換機后臺系統日志內容時，發現有“%May 9 11:12:36 2014 YCXZ_W_P8512 ARP/4/DUPIFIP:Slot=4;Duplicate address 10.192.105.13 on VLAN12, sourced by 01ed-3c76-d0e1”這條記錄內容，很明顯ARP病毒位于VLAN12工作子網中，ARP病毒源頭來自網卡MAC地址為01ed-3c76-d0e1的終端計算機系統，那么這臺終端計算機系統究竟位于哪個辦公室呢？

考慮到連接到每個交換端口的網絡線纜上都有標簽信息，提示用戶哪個交換端口連接到了哪個辦公室，所以網管員認為現在只要找出網卡MAC地址為01ed-3c76-d0e1的終端計算機系統，究竟連接在哪個交換端口，之后再根據交換機線纜標簽上的說明信息，就能定位到ARP病毒源頭位于哪個辦公室了。

網管員立即在接入層交換機后臺系統，使用“display mac”字符串命令，查看了所有連接在該交換機上的MAC地址記錄信息，從返回的結果信息來看，對應01ed-3c76-d0e1地址的端口，位于當前接入層交換機的第八個以太端口（e0/8）。立即趕到對應接入層交換機現場，網管員迅速檢查了第八個交換端口上的標簽信息，看到ARP病毒源頭位于單位大樓316房間的終端計算機系統中。至此，ARP病毒就被準確定位到具體的終端計算機中了。

為了預防ARP病毒繼續威脅單位局域網其他終端系統的網絡訪問，網管員決定先將這臺已經染上了ARP病毒的終端計算機從單位局域網中隔離開來。隔離操作很簡單，只要在指定接入層交換機后臺系統，逐一輸入“system”、“interface e0/8”命令，切換到第八個以太交換端口視圖模式（如圖2所示），同時在該模式下輸入“shutdown”字符串命令，強行關閉第八個以太端口工作狀態，這樣ARP病毒就無法在對應VLAN中繼續擴散、傳播了。

定位普通病毒源頭

局域網中某臺終端系統感染了病毒，每天不定期地對同網段內的其他計算機進行攻擊，攻擊范圍相當之大，多臺計算機系統中的防火墻攔截了該中毒計算機的病毒攻擊包，數據包的IP地址來自192.168.1.16。

對于這種安全威脅事件，雖然可以借助DNS服務器將特定IP地址解析為真實的計算機名稱，從而快速找到感染病毒的計算機，但是在計算機名稱隨機生成的情況下，通過計算機名稱定位普通病毒源頭的辦法就無效了。實際上，在局域網域工作環境下，我們可以利用系統默認共享功能，找到染毒用戶。

圖2 以太交換端口視圖模式

大家知道，在域工作環境下，網管人員擁有很高的操作權限，能夠通過系統管理員帳號訪問域中所有終端系統的共享資源，這也包括訪問默認的共享資源。例如，網管員只要依次單擊“開始”、“運行”命令，彈出系統運行對話框，輸入字符串命令“\192.168.1.16$”，單擊回車鍵后就能成功訪問染毒系統的系統分區隱藏共享。接著打開系統分區的“Documents and Settings”文件夾窗口，在這里可以查找到登錄這臺終端計算機的域用戶賬號，再登錄域控制器檢驗該用戶賬號，就能輕松地識別出感染病毒的用戶。

當然，這種定位普通病毒源頭的方法也有不足之處，因為現在很多終端用戶基于安全考慮，往往手工關閉了終端系統的隱藏共享功能，因此使用上述方法查看隱藏共享內容時，可能會遇到失敗故障。為了避免這種現象發生，我們可以通過域組策略來強制啟用隱藏共享功能。在進行該操作時，可以先以系統管理員權限登錄域控制器所在主機系統，啟動記事本程序，手工創建好名稱為“aaa.bat”的批處理文件，在該文件編輯窗口中輸入“net share C$=C：”這段命令代碼。

接著打開系統控制面板窗口，雙 擊“Active Directory用戶和計算機”圖標，選中并雙擊需要設置組策略的OU，將鼠標定位到組策略編輯窗口左側的“本地計算機策略”、“用 戶 配 置”、“Windows設置”、“腳本（登錄/注銷）”節點上，雙擊指定節點下的“登錄”選項，按下其后界面中的“編輯”按鈕，彈出編輯對話框，輸入“aaa.bat”批處理文件的詳細路徑，確認后保存設置操作。再在系統運行對話框中輸入“gpupdate”字符串命令，讓上述組策略配置立即生效，這樣域管理員就能通過隱藏共享功能定位普通病毒源頭了。