天地和兴网络安全实战：记一次电厂网络病毒处理事件

2017年9月，某火电厂发生网络间歇性中断，此信息网络已正常运行数年，近期，网络中偶尔出现网络变慢情况，后来逐渐变成网络经常性的中断，每次中断时间为几分钟。

天地和兴经观察发现，网络中断发生的时间点为固定的每个整点过后的20分钟左右，每次持续时间约10分钟，查看防毒墙和入侵检测系统中的事件日志，并未发现入侵或病毒事件。近期，网络运维人员也未对网络结构进行改变，未配置交换机和路由器策略，在网络中断发生时，电脑主机通过Ping网关发现，仅有少量数据包可与网关正常通信，并未全中断，如下图所示：

天地和兴经初步判断，怀疑由于主机感染病毒所致。

一、初探：确定病毒种类

为了解网络中断发生时网络内的真实数据情况，天地和兴在网络中断时间段内通过交换机镜像使用Wireshark对网络数据进行抓包分析，通过分析数据包发现，在中断发生时，网络中出现大量ARP数据包，且数据包中的MAC地址存在虚假伪造情况（同一个IP地址出现多个不同的MAC地址）,如下图所示：

据此，初步认为局域网ARP病毒，为进一步确认，在网络中断发生时，ARP欺骗检测工具进行检测，同样检测到了大量ARP欺骗数据包。

在网络中断前后，查看主机ARP表中的MAC地址数据，网络中出现大量虚假的MAC地址，病毒程序通过大量广播虚假的网关MAC地址导致本机中网关的MAC地址已变成虚假的MAC地址，从而导致本机与网关通信中断，数据包无法到达网关，导致网络表现为中断状态。

由此，可以断定当前网络中有部分主机（具体数量未知）中了ARP病毒，且为同一种ARP病毒，导致主机不能跟网关正常通信，从而表现为网络中断，由于ARP病毒为局域网内部病毒，因此，网络边界处的防毒墙和入侵检测系统并未检测到该病毒行为，同时，也排除了病毒经外部网络传到内网的可能。

二、定位：确定并隔离受感染主机

ARP病毒根本上是伪造MAC地址进行欺骗，因此，可以从网络中断时抓取的数据包中筛选出同一IP对应多个MAC地址的数据包进行分析，从中找到受感染主机正确的MAC地址（ARP病毒在发送伪造的ARP数据包时主机自身也在发送正确的ARP数据包，因此，同一个IP地址对应的多个MAC地址中一定有一个正确的MAC地址），再由MAC地址找到对应的IP地址，通过IP地址找到受感染的主机（运维人员手中的IP-主机对应表起了很大作用，确定IP地址后，可以快速找到对应的主机）。

通过查找网络中所有的问题主机并进行断网隔离，在隔离8台主机后，在下一个病毒发作时间点进行测试，发现网络中断问题未出现，通过ping命令与测试网关连通性，未出现丢包现象，如下图所示：

由此，已基本解决网络内的ARP病毒问题。

二、处理：病毒查杀

对隔离主机进行ARP病毒查杀，更新杀毒软件病毒库并对全盘进行病毒扫描、杀毒，必要时可通过重装操作系统以解决病毒、木马等恶意代码问题。

查找病毒感染源，对所有可能接入主机的移动存储介质进行病毒查杀，加强网络安全管理，特别是加强对移动存储介质的安全管控。

三、总结：病毒预防之道

经总结分析，此次病毒感染事件是由于主机接入受感染U盘所致，当前网络中并未对U盘使用进行管控，主机中装有杀毒软件，但由于杀毒软件程序未更新、病毒库未定期更新，并且有部分主机在后期重装系统后未安装杀毒软件，导致网络整体对病毒的防御能力降低，部分主机感染病毒，在技术和管理上均存在安全缺陷。

总的来说，工控网络中的防病毒通常可以采取以下措施。

1.主机部署具备白名单防护功能的主机安全防护系统，通过对白名单外程序的控制，控制恶意程序和操作的执行。

2.主机操作系统定期打补丁修复安全漏洞。

3.在网络边界处部署具备恶意代码检测功能的工控威胁检测类产品，对流经网络边界的数据流量进行恶意代码的检查。

4.加强网络内对移动存储介质的管控，可通过白名单U盘，限制非白名单U盘权限等技术措施强化对移动存储介质的管控。

5.加强防病毒管理措施，完善防病毒管理制度，明确安全责任人。

通过以上技术措施+管理的控制措施，可实现对病毒、木马等恶意代码的安全防护。