前兩天，我們公司突然出現(xiàn)了網(wǎng)絡(luò)異常。開始只是幾臺電腦網(wǎng)頁打不開，沒人在意，大家以為是臨時波動。結(jié)果短短半小時，整個辦公室的網(wǎng)絡(luò)幾乎癱瘓，連內(nèi)部文件服務(wù)器都連不上。

當(dāng)時的感覺很奇怪：外網(wǎng)能ping通，但訪問特別慢，本地的打印機、共享文件夾這些內(nèi)部資源，卻完全連接不上。我們馬上開始排查。

第一反應(yīng)是看出口，路由器和防火墻都沒問題。后來查看交換機，發(fā)現(xiàn)局域網(wǎng)內(nèi)的流量異常高，大量是廣播包。更奇怪的是，MAC地址表里很多端口的綁定在不斷變化，像有人在瘋狂插拔網(wǎng)線一樣。再深入看，才發(fā)現(xiàn)問題出在ARP協(xié)議上。

ARP工作流程如下圖： PC1 想與 PC2 通信（知道 IP，不知道 MAC）

簡單說，就是有人在局域網(wǎng)里發(fā)了大量偽造的ARP應(yīng)答包，導(dǎo)致各個設(shè)備都把錯誤的MAC地址寫進了自己的緩存，結(jié)果整個網(wǎng)絡(luò)通信混亂，流量打滿，最終癱瘓。

說起來，ARP（地址解析協(xié)議）本來是很基礎(chǔ)的東西，局域網(wǎng)里大家互相靠它來找到對方。但問題是，ARP這種協(xié)議天生就沒設(shè)計安全機制，誰發(fā)個應(yīng)答，別人就信了。這次，有設(shè)備（懷疑是中了毒的軟件或者配置錯誤的機器）持續(xù)發(fā)送假的ARP包，把局域網(wǎng)攪得一團亂。如下圖：

ARP攻擊并不新鮮，但真正遇到，還是挺讓人頭疼的。特別是我們的交換機是二三層混合型，默認允許ARP廣播到整個VLAN，一旦出問題，影響面非常廣。

解決的方法其實也不是特別復(fù)雜：

• 臨時封掉可疑端口，隔離問題源頭
• 核查關(guān)鍵設(shè)備（網(wǎng)關(guān)、服務(wù)器）上的ARP緩存，必要時手動清除
• 重新加載靜態(tài)ARP表，把常用IP-MAC關(guān)系固定下來
• 在交換機上啟用ARP防護，比如限制一個端口最多只能綁定幾個MAC地址，超過就自動斷開

事后復(fù)盤，發(fā)現(xiàn)公司內(nèi)部網(wǎng)絡(luò)平時安全配置做得還是有些松，尤其是內(nèi)網(wǎng)部分。大家總覺得有防火墻，外部攻擊進不來就萬事大吉了，結(jié)果內(nèi)部出了問題，一下子放大了影響。

這件事情也提醒了我們一個很現(xiàn)實的問題：局域網(wǎng)安全，不能靠運氣。

ARP攻擊雖然看起來是很“低級”的手段，但只要環(huán)境允許，破壞力一點也不比高深的入侵技術(shù)差。而且執(zhí)行門檻極低，一些網(wǎng)絡(luò)掃描、釣魚工具本身就帶ARP欺騙功能，普通人稍微摸一下教程就能操作。

未來我們準(zhǔn)備做幾件事情來防范類似問題：

• 核心設(shè)備上啟用靜態(tài)ARP
• VLAN進一步劃分，減少廣播域
• 內(nèi)網(wǎng)重要段開啟ARP防護策略
• 定期巡檢局域網(wǎng)異常廣播和MAC地址漂移情況

總的來說，安全防護，不是等出問題才補救，而是日常把基本功打牢。哪怕是像ARP這樣小小的一個環(huán)節(jié)，一旦出事，后果也遠比想象中嚴重。