2017年9月,某火电厂发生网络间歇性中断,此信息网络已正常运行数年,近期,网络中偶尔出现网络变慢情况,后来逐渐变成网络经常性的中断,每次中断时间为几
天地和兴经观察发现,网络中断发生的时间点为固定的每个整点过后的20
天地和兴经初步判断,怀疑由于主机感染病毒所致。
一、初探:确定病毒种类
为了解网络中断发生时网络内的真实数据情况,天地和兴在网络中断时间段内通过交换机镜像使用Wireshark对网络数据进行抓包分析,通过分析数据包发现,在中断发生时,网络中出现大量ARP数据包,且数据包中的MAC地址存在虚假伪造情况(同一个IP地址出现多个不同的MAC地址),如下图所示:
据此,初步认为局域网ARP病毒,为进一步确认,在网络中断发生时,ARP欺骗检测工具进行检测,同样检测到了大量ARP欺骗数据包。
在网络中断前后,查看主机ARP表中的MAC地址数据,网络中出现大量虚假的MAC地址,病毒程序通过大量广播虚假的网关MAC地址导致本机中网关的MAC地址已变成虚假的MAC地址,从而导致本机与网关通信中断,数据包无法到达网关,导致网络表现为中断状态。
由此,可以断定当前网络中有部分主机(具体数量未知)中了ARP病毒,且为同一种ARP病毒,导致主机不能跟网关正常通信,从而表现为网络中断,由于ARP病毒为局域网内部病毒,因此,网络边界处的防毒墙和入侵检测系统并未检测到该病毒行为,同时,也排除了病毒经外部网络传到内网的可能。
二、定位:确定并隔离受感染主机
ARP病毒根本上是伪造MAC地址进行欺骗,因此,可以从网络中断时抓取的数据包中筛选出同一IP对应多个MAC地址的数据包进行分析,从中找到受感染主机正确的MAC地址(ARP病毒在发送伪造的ARP数据包时主机自身也在发送正确的ARP数据包,因此,同一个IP地址对应的多个MAC地址中一定有一个正确的MAC地址),再由MAC地址找到对应的IP地址,通过IP地址找到受感染的主机(运维人员手中的IP-主机对应表起了很大作用,确定IP地址后,可以快速找到对应的主机)。
通过查找网络中所有的问题主机并进行断网隔离,在隔离8台主机后,在下一个病毒发作时间点进行测试,发现网络中断问题未出现,通过ping命令与测试网关连通性,未出现丢包现象,如下图所示:
由此,已基本解决网络内的ARP病毒问题。
二、处理:病毒查杀
对隔离主机进行ARP病毒查杀,更新杀毒软件病毒库并对全盘进行病毒扫描、杀毒,必要时可通过重装操作系统以解决病毒、木马等恶意代码问题。
查找病毒感染源,对所有可能接入主机的移动存储介质进行病毒查杀,加强网络安全管理,特别是加强对移动存储介质的安全管控。
三、总结:病毒预防之道
经总结分析,此次病毒感染事件是由于主机接入受感染U盘所致,当前网络中并未对U盘使用进行管控,主机中装有杀毒软件,但由于杀毒软件程序未更新、病毒库未定期更新,并且有部分主机在后期重装系统后未安装杀毒软件,导致网络整体对病毒的防御能力降低,部分主机感染病毒,在技术和管理上均存在安全缺陷。
总的来说,工控网络中的防病毒通常可以采取以下措施。
1.主机部署具备白名单防护功能的主机安全防护系统,通过对白名单外程序的控制,控制恶意程序和操作的执行。
2.主机操作系统定期打补丁修复安全漏洞。
3.在网络边界处部署具备恶意代码检测功能的工控威胁检测类产品,对流经网络边界的数据流量进行恶意代码的检查。
4.加强网络内对移动存储介质的管控,可通过白名单U盘,限制非白名单U盘权限等技术措施强化对移动存储介质的管控。
5.加强防病毒管理措施,完善防病毒管理制度,明确安全责任人。
通过以上技术措施+管理的控制措施,可实现对病毒、木马等恶意代码的安全防护。
