案例关键字：共享热点　广播风暴　ARP攻击

最近小L碰到了一个网络堵塞的问题，通过抓取数据包等措施进行分析，发现存在异常ARP攻击，使网络发生了广播风暴。经进一步排查发现是由于一名用户私接无线共享热点设备，导致该用户计算机终端的网卡驱动异常的故障产生了大量异常广播数据包，最后小L更新该网卡驱动后网络恢复正常。

小L所任职的医院，其简化后的网络拓扑图如图2-2-1所示，其中核心交换机型号为H3C S5700，软件版本为version 5.20，Release 2102。某日早上8：30左右，门诊陆续打来电话反映门诊系统程序慢，小L通过PING、TELNET等网路连通性命令检测，发现门诊整体网络缓慢，部分楼层交换机无法远程连接。起初发现只是部分网络不通，后面随着业务繁忙期的到来，网络影响范围逐渐扩大。鉴于相关的排查措施未果，小L查看了日志，并向领导报情况并请示需要启用应急措施，随后通知技术支持服务A公司派遣工程师进行应急响应工作。

A公司技术人员根据故障现象考虑是集群动荡所致，为避免因局部网络问题的处理影响全院的业务网络，因此，没有立刻重启核心交换机，而是检查交换机配置及日志情况。

核心交换机日志信息显示正常，通过配置核心交换机的端口镜像抓包，也没有发现警告日志，通过Display CPU命令检查发现CPU与内存占用高，A交换机CPU占用达到93%，内存占用达到91%，如图2-2-2所示。B交换机CPU占用达到97%，内存占用达到92%，如图2-2-3所示。较正常情况，两台交换资源占用率高了很多，已经影响了网络的正常运行。

小L与A公司应急工程师商量后决定使出杀手锏——重启，断开Windows集群后重启核心交换机，重启后网络恢复正常，但很快又出现同样的问题。由于医院的业务已逐渐步入繁忙期，网络影响范围扩大，小L按vlan的网络分段，对每个楼层进行抓包分析，情况如下：

1.在核心交换机A抓取各个vlan数据包进行分析，如图2-2-4所示，“TCP慢连接”达到21 537，说明网络非常拥塞，“ARP扫描”200次，通过数据包解包分析，确认这些ARP数据包是交换机产生，说明交换机设备性能不足，导致ARP更新过快。

2.如图2-2-5所示，网络存在大量广播数据包，每秒广播数据包有32 279个，说明网络存在异常广播数据包，这是网络故障的根源。

3.针对广播数据包分析发现，MAC地址为00：0F：E2：D7：DE：79机器异常，网络组成员快速定位到这台机器，并断开此机器的网线，网络恢复正常，业务系统恢复正常，ARP包如图2-2-6所示。

4.定位MAC地址为00：0F：E2：D7：DE：79设备的位置，并将其从内网离线后，通过对其检查发现此设备的网卡驱动异常，向网络发送大量异常广播数据包，由于核心交换机性能较低，无法处理导致本次事件。

5.后续对该终端进行单机排查，发现该设备网卡驱动异常，重启多次未能修复，更新网卡驱动后，该设备发送大量异常广播数据包的问题立即得到解决。

后续调查发现是由于某用户私接无线共享热点的设备导致网卡驱动故障，导致产生异常，使得网络造成ARP攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机存在ARP广播异常，往往会造成网内其他计算机的通信故障。

1.医院应加强对终端的管控，及时更新杀毒软件病毒库。本案例中由于医院对业务终端的管控措施不严格，员工可以随意插入U盘，或者是无线共享热点设备，一方面为U盘病毒的传播提供了良好的环境，另一方面对网络造成了严重的威胁，影响医院网络的稳定性。

2.做好内网准入审核工作，对入网主机的IP、MAC、使用人等进行规范管理，如果在DHCP环境下需优化DHCP策略，通过MAC绑定及设置保留部分静态IP等方式加强安全措施。另外，如使用年限较久的接入交换机配置MAC端口绑定后出现性能瓶颈，建议进行升级更换。

3.对接入层交换机端口配置ARP限速功能，使受到攻击的端口暂时关闭，可以避免大量ARP报文对CPU进行冲击。当配置ARP限速功能后，超过限速设定值时，交换机关闭该端口，使其不再接收任何报文，从而避免大量ARP报文功击设备。

4.应加强对医院全体员工网络安全方面的培训和宣讲，提高医护人员对网络安全的意识。