针对ARP扫描攻击事件的应急响应

程序员桔子

已于 2024-01-17 19:49:50 修改

阅读量372

点赞数

文章标签：网络服务器运维

于 2023-09-12 15:00:00 首次发布

本文链接：https://blog.csdn.net/Karka_/article/details/132809016

版权

2018年我在某自治区机关做过一次针对ARP扫描攻击事件的应急响应，现将处理过程分享出来，供各位参考。

一、事件现象****

某单位 内网数据传输速度极慢 ，已持续了一段时间，但运维人员并没有发现问题产生的原因。

二、处理过程****

（一）分析确认阶段****

由于数据传输慢的问题影响到整个内网，因此首先对核心交换机进行分析排查。

1、 ** ** 分析思科6506核心交换机的资源使用状况

登录核心交换机，使用下面的命令分析，发现占用CPU最高的进程是ARP INPUT：

show processes cpu sorted | exc 0.00%

具体情况需要通过抓包进行分析。

2、 ** 在** ** 6506** ** 交换机上** ** 抓取光口流量**

//进入全局配置模式

configure terminal

//配置端口镜像，指定源端口

monitor session 1 source interface g1/1-10 both

//配置端口镜像，指定观察口

monitor session 1 destination interface g3/13

使用wireshark抓包，将抓取的数据包保存到文件，g1-1to10.pcapng

//抓包完成后关闭端口镜像

no monitor session 1

3、 ** 在** ** 6506交换机** ** 上** ** 抓取电口流量**

conf t
monitor session 1 source interface g3/23-46 both
monitor session 1 destination interface g3/13

使用wireshark抓包，将抓取的数据包保存到文件，g3-23to46.pcapng

no monitor session 1

4、 ** 使用科来软件分析** ** 攻击类型**

运行科来软件，导入g1-1to10.pcapng文件，发现APR扫描行为，源mac地址为：f4:4d:30:e9::。导入g3-23to46.pcapng，也发现了相同的扫描行为和mac地址。

（二）抑制根除阶段****

1、 ** ** 在 ** 6506** ** 核心交换机上分析攻击的来源物理端口**

//查看mac地址对应的端口

show mac-address-table | include f44d.30e9.****

发现g1/10端口存在这个mac地址

2、 ** 定位来源**

6506的g1/10端口—VPDN防火墙的G7端口—VPDN交换机的g1/12端口。

3、 ** 阻断**

在VPDN交换机上关闭g1/12端口，之后6506交换机的CPU使用率立即下降到正常水平。问题解决。

（三）恢复跟进阶段****

VPDN交换机的g1/12端口连接的是某个下级单位，将事件告知该下级单位后，由该单位自己排查ARP扫描攻击的来源并进行处置。待将ARP扫描攻击行为彻底清除后，再重新启动VPDN交换机的g1/12端口以恢复连接。

三、建议

1、建议定期对网络设备进行安全巡检，内容包括设备的健康状况、安脆弱点和日志等，以即使发现异常情况。

2、建议部署恶意流量检测设备，以实时发现网络攻击行为。

四、关于ARP扫描攻击****

（一）什么是ARP扫描攻击****

APR扫描行为的特点是大量的二层广播，目标mac地址为0xff:ff:ff:ff:ff:ff。ARP扫描是一种攻击行为，其目的是查找网络中存活的主机，为后续攻击做准备。其原理是，攻击者依次向网段中的所有IP地址发出ARP请求，ARP请求以广播的形式传送，主机收到ARP请求后，会给出ARP响应。通过ARP扫描，攻击者可以获取网络中所有存活主机的IP地址。下图是使用wireshark抓取的ARP扫描数据包的例子

1658209338_62d6443a597dcfadbb33b.png!small?1658209339938

（二）攻击者如何发起ARP扫描攻击****

可以使用metasploit的post/windows/gather/arp_scanner模块发动ARP扫描。举例如下：

1、 ** ** 获取 ** session**

例如获取了下面的会话：

1658209373_62d6445d58ad77764b784.png!small?1658209374245

2、 ** ** 使用arp_scanner模块

use post/windows/gather/arp_scanner

1658209407_62d6447feabbaa5eca7d3.png!small?1658209408857

set rhosts 10.10.10.0/24
set session 1
exploit

1658209430_62d64496043c7a68a0296.png!small?1658209430707

得到了存活主机的列表。

set rhosts 10.10.10.0/24
set session 1
exploit

[外链图片转存中…(img-HrnmtvHA-1694416657848)]

得到了存活主机的列表。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。