2026年4月初,包头石拐区某矿业公司网络频繁出现”断网又恢复”的怪现象:上午9-10点办公高峰期,整栋办公楼的电脑集体断网上不了ERP,10分钟后又自动恢复,每天反复3-4次。公司IT人员查了路由器、换了交换机,问题依旧。
不舍昼夜技术团队到场后,经过2小时排查,定位到是一台感染木马的办公电脑在内网发起ARP欺骗攻击,将网关流量劫持到自身导致全网断连。
一、现象分析
先在现场抓了一包。在核心交换机上做端口镜像,用Wireshark抓取上行流量:
- 异常发现:大量ARP Reply包以极高速率(约200个/秒)广播,声称网关IP(192.168.1.1)的MAC地址是00:0C:29:3E:7A:B5——这不是网关的真实MAC
- 网关真实MAC:登录路由器确认网关MAC为00:1A:2B:3C:4D:5E
- 攻击者MAC:00:0C:29:3E:7A:B5是VMware虚拟机网卡的MAC前缀,说明攻击源是一台运行虚拟机的电脑
二、定位攻击源
- MAC查表:在核心交换机(H3C S5130)上执行display mac-address 000c-293e-7ab5,定位到该MAC从GigabitEthernet1/0/12端口学习到
- 端口追踪:G1/0/12连接的是2楼交换机(H3C S5120),继续查表定位到GigabitEthernet1/0/5
- 最终定位:G1/0/5连接的电脑IP为192.168.1.87,使用人是财务部张某的办公电脑
三、木马分析
断开该电脑网线后,全网立即恢复正常。对该电脑进行深度检查:
- 进程排查:火绒剑发现可疑进程svchosts.exe(注意多了一个s),位于C:\Users\zhang\AppData\Local\Temp\目录
- 启动项:注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run中有WindowsUpdate指向该exe
- 行为分析:该木马运行后持续发送ARP欺骗包,将网关流量劫持到本机,同时进行中间人攻击嗅探HTTP流量中的账号密码
- 感染途径:张某3天前插入了一个来路不明的U盘拷文件,U盘自动运行了木马
四、应急处置
- 隔离:立即断开感染电脑网络,使用火绒安全+Malwarebytes彻底清除木马
- 密码重置:所有通过HTTP访问的内部系统(ERP、OA、邮箱)强制重置密码
- ARP绑定:在核心交换机上配置静态ARP绑定,将网关IP-MAC绑定:arp static 192.168.1.1 001a-2b3c-4d5e
- DHCP Snooping:在接入交换机上启用DHCP Snooping+动态ARP检测(DAI),防止未授权设备发送ARP欺骗包
五、长效加固
- 网络准入:部署深信服SIP(终端准入),未认证设备无法接入内网
- 终端管控:禁用USB自动运行,U盘接入需白名单审批
- 流量审计:核心交换机开启NetStream流量审计,异常ARP广播自动告警
- 安全意识培训:对全员进行U盘安全使用培训
ARP欺骗攻击是最隐蔽也最危险的内网攻击之一——用户只觉得”网又断了”,殊不知数据正在被窃取。包头本地企业网络安全加固,不舍昼夜技术提供从应急响应到长效防护的全套方案,热线17704868686。
【不舍昼夜技术 · 包头IT一站式服务】
- 🖥️ 电脑/服务器:重装系统、硬件升级、服务器Linux/Windows环境部署
- 💾 数据安全:硬盘/U盘/数据库数据恢复、网络安全加固、病毒清理
- 📷 弱电安防:监控安装、机房建设、综合布线、门禁人脸识别
- 🖨️ 办公耗材:打印机维修、硒鼓墨盒配送、复印机租赁
- 💻 软件开发:企业官网、小程序开发、APP定制、ERP系统
服务单位:内蒙古不舍昼夜技术有限公司
业务涵盖:电脑维修/系统重装/数据恢复/监控安防/弱电布线/打印耗材
技术热线:17704868686(包头本地团队,随叫随到!)