本文将针对某医院的具体情况进行分析,介绍内网中ARP病毒的预防和处理的方法。
网络经常时断时续该医院网络现状具体是:医院共有4栋大楼,分别是办公楼、门急诊大楼、住院楼以及胸科保健中心大楼,中心机房位于办公楼,全院共有100多台PC和多台服务器来运行HIS管理系统。
该医院采用Cisco系列交换机构成整个医院的内部网络平台,核心交换机部署在中心机房,各栋大楼采用Cisco 3524交换机。交换机未配置任何IP地址,也未划分VLAN及子网。近期发现网络经常时断时续,发送Ping报文的时候总是有数据报文的丢失。
APP病毒在作怪
网络管理员排查时,发现故障发生时候,故障终端PC的网关MAC地址发生了变化,正常情况下,通过“arp-a”命令来查看到网关MAC地址00-0a-f3-e4-0b-fc。故障发作的时候,网管员还可以看到故障终端的网关MAC地址被修改为00-0c-76-22-b9-77。
网管人员经过分析后,判断该故障是由ARP病毒所引发。当ARP攻击者向终端PC或向交换机/网关发送伪造的ARP数据包来进行ARP欺骗时,终端PC与交换机/网关的数据流向就完全受攻击者控制。此时,终端PC的IP-MAC条目也发生了改变。
目前,该医院网络中的00-0c-76-22-b9-77就是病毒主机的MAC地址。要解决故障,必须要找到00-0c-76-22-b9-77所在的机器。
根据当前的网络环境,网络管理员只能采取逐台排查的方法,任务异常艰巨。虽然最终找到ARP病毒主机所在的终端,但是耗费了巨大的人力、物力。只有找到问题的根源,才能彻底解决问题。
|
服 务 CIO 推 进 信 息 化 
