[计算机]关于防范ARP攻击及其他安全方面的一些建议.docVIP

关于防范ARP攻击及其他安全方面的一些建议 －―请各用户务必阅读并进行参照设置 由于近期以来，数据中心内出现几次ARP攻击，对一些用户的应用造成影响。鉴于ARP攻击的特殊性，我们须与各用户加强沟通，共同抵御ARP攻击的影响。 1.首先介绍一下ARP攻击的特点。只要同网段下其中一个服务器中ARP，就可能导致整网段掉线，严重影响网络。据我们长期以来的经验，所有的ARP攻击的网段内发起者，都是MS SQLserver数据库用户，可以推断，黑客是利用MS SQLserver数据库漏洞入侵至服务器的。 因此，整个入侵-抓肉鸡流程就可以明确下来了，首先利用漏洞入侵一台服务器，再通过该服务器，利用ARP协议，伪装成网关或网关的MAC地址，这样，在该网关下的所有的服务器出入站数据都会经过这台伪网关，经解码后，得到这些服务器的各种密码等关键数据，获得了这些服务器的管理权限。这样就得到了一批“肉鸡”。可以看出，ARP攻击是一种传染性极强的黑客入侵手段。同时，由于伪网关服务器并不是专业的路由，交换处理能力低下，在有ARP攻击的网络内，服务器会表现为延迟变高并伴随大量掉包。 2.主动防御 从机房角度来说，最好的办法是绑定MAC地址。但ARP协议是基于2层网络设备的，在机房3层设备上做设置意义不是很大，即便是做了双向绑定，日益强大的ARP黑客软件还是能找到办法突破。但所有ARP攻击的基本原理还是不变的。因此，在服务器内部进行一些必要的处理，还是能有效的抵挡住黑客的入侵。 首先，对服务器内部，要做好安全设置。MS SQLserver是一种运用十分广泛的数据库，相对的，也是被研究得最多的数据库，自然被发现的漏洞也多如牛毛。堵住这些漏洞，黑客便无法下手。建议尽量安装高版本的MS SQLserver、在不必要的情况下不要开启远程连接1433端口，并打好数据库补丁；MS SQLserver须谨慎分配数据库各用户权限，梳理好程序与权限之间关系，杜绝弱密码。而对于服务器整机而言：应随时检查系统漏洞及更新补丁；针对自己的应用，只开启需使用的端口（如只有网站应用就只开启80端口，其他端口进行关闭），而关闭一些危险低端口及不使用的端口（如：135 139 445 389 464 593等）；为了避免服务器中毒，不要使用服务器去访问任何网站、下载未知文件和运行可执行程序（如exe 、bat、dll等之类）；需要上传到服务器上的文件应先在本地电脑上对该文件进行病毒扫描。做完以上服务器内部就有了一个较为安全的环境。 其次，对外数据方面，绑定好网关IP的MAC地址。命令是arp –s IP地址 MAC地址，如arp –s 00-17-94-f6-d0-c3，这样能保证服务器能识别正确的网关。但在重启后arp地址表会重新更新，这个命令也就失效了。好在现在有很多安全类软件都可以自动做出绑定，不存在重启问题。比如最为常用的360安全卫士、贝壳ARP防火墙，360安全卫士在木马防火墙里就有一个ARP防火墙，它的原理就是绑定网关，同时记录别的mac地址对网关的改变。这种防火墙经很多用户实践作用是相当明显的。请注意，360安全卫士默认是不开启ARP防火墙的，需要手动进行开启。 点第8项，开启，需要重启，如图演示： 重启后如果还是显示已关闭，再开一次，就打开了。此外，还有许多的ARP防火墙。无论用哪种，开启ARP防火墙监控功能是必须的。 3.被动防御手段。由于ARP类攻击的高传染性，机房在对于已发生的ARP攻击的情况下，会立刻断开源头服务器的网络连接。对于攻击服务器，被黑是肯定的事实，而被黑过的服务器想完全清除掉后门，几乎是不可能的事。因此，该服务器须重做系统，同时建议用户在重做系统后先不要去点击C盘外所有的分区，在完全查杀病毒之后再进行非系统盘的操作，并且仔细检查数据库，堵住漏洞。这里也提醒各位用户，C盘最好只存放系统文件，而数据库、各种应用软件的配置存放于非系统盘上，且非系统盘的磁盘只保留system 和administrator 的完全控制权限，其他权限都可以删除，再在需要用到其他权限的文件目录上添加所需权限，可以杜绝其他账号篡改其他数据；另外如果可能，可以将设置好的系统做一个完全备份进行保存，以免在不得不重装系统时造成额外的工作负担。 注：为了保障广大用户整体利益，特整理此建议，请各用户立即展开一次服务器全方位的安全检查及设置，在某些方面如需我公司技术人员协助处理，请及时与我公司客服部联系予以安排。并在此敬告广大用户，从即日起，我公司各IDC数据中心机房，一旦发现感染病毒并对内网发起ARP攻击等的服务器，将立即采购切断联网处理，并要求该服务器必须进行重装、做好安全设置后方能重新安排联网上架服务，任何用户不得例外。为了所有用户