2007年12月初,就在H集团的IT子公司B召开发布会的前夕,东方微点却意外接到了紧急求救电话——局域网全部瘫痪,所有业务活动被迫陷入了停滞。
电话里简单了解了一下情况:据B公司网管介绍,该公司数百台业务电脑,两天来网络一直时断时续,刚才更是突然全部瘫痪。通过交流,微点技术人员在排除交换机、路由器等网络硬件设备故障等因素后,初步断定为臭名昭著的黑金ARP病毒导致。判断出症状,接下来就是如何对症下药去除病灶了。
新平台不敌ARP欺骗
ARP病毒不论千变万化,处理原则都是要杀防并举,既要用双向绑定MAC地址来防御ARP欺骗,更要主动出击将ARP毒源连根拔除。对微点技术人员来说,ARP处理方案早已烂熟于胸,检查了一下U盘里的主动防御软件安装程序,即刻出发。
路上回想了一下近期接到的很多企业的求救,业务部门相对损失小一些,大多都属于间接损失,网络通讯中断,仍然可以用电话传真等通讯手段勉强维持联系沟通;但对于生产车间来说,网络瘫痪造成的损失会非常大,而且直接损失居多。
到达现场后,B公司领导询问的问题非常直接也非常现实,一是希望尽快恢复网络使用,不要影响该公司发布会工作进度;二是询问此类网络病毒是否会被黑客利用窃取公司重要文件,是否存在泄密?当然,我们非常理解用户的心情,但是技术问题来不得半点虚假,我们需要对情况进行具体摸底调查后才能明确回答B公司领导的问题。
经与B公司网管沟通后得知,该公司刚刚迁到新址,办公区数千平方米,办公用机数百台,台式机、笔记本、工作站、服务器设备种类繁多,依照业务种类共分为两层,并且随着员工陆续报道,数量还在持续增加。
刚刚搭建的新平台就被突然袭来的ARP病毒打个措手不及,全网瘫痪。B公司网管使用一些网络工具业已初步确认局域网内有大量的ARP欺骗数据包,也在积极采取措施,将全网断开,并着手利用三层交换机划分VLAN,试图用子网来避免ARP病毒对全网的影响。B公司在防病毒方面既没有部署统一的安全防护软件,也没有做具体规划,任由员工随意安装。只是在近两天出事以后,强行统一安装了一批杀毒软件和防火墙,但是收效甚微。
了解了基本情况后,下面要做的就是实地查看细节以落实具体解决方案。
