前日,在培训课堂上,当讲师谈起ARP攻击的时候,很多学员都非常的兴奋,纷纷询问如何解决,有什么样的技术解决是最好的。
当然了,提出的方法很多,病毒查杀,交换机上做设置等等。
当然了,在我看来,这些技术是非常的好了。抓包啊,设置啊什么的,我是不会了。
而我关注的是:在结局问题的时候,是应该显示自己的技术高超呢,还是迅速的解决问题呢?
这里,应该有人会想,肯定是高超的技术才能最快的解决问题了。
那么,我的答案是:未必!
arp网关欺骗这样的事情,不一定只发生在财力雄厚的大企业,即便财力雄厚的大企业,也会有对IT没有认知的个案。那么,这样的情况下,比如某些仁兄说的,“在交换机上做设置”。请问,他们有那么好的交换机吗?OK。没有,那么,在问题出现的时候去抓包,要多久呢?如果上百台乃至更多的机器,又要多久找到故障点呢?
其实,估计已经有人认为如果机器太多,就算是在交换机上做绑定什么什么的设置,也好烦。(声明下,我没CCNA,我不知道cisco的东东到底多强大。)
上面的就当是自己在说些废话吧。下面说点儿我认为的重点科目。哈哈
针对ARP欺骗,(当然,也可以说是攻击了,这里,单个词的意义并不是多大的。)不管它出现的频率有多大,不管是何种方式造成的,在解决ARP欺骗的速度上,就可以一定程度上说明IT管理上的优劣。
为什么这么说呢?
那么,我们来看一下解决ARP欺骗的过程:
发现ARP欺骗→查找故障点→到达故障点处→拔除故障点
我想,这应该是很多人都会想到的一个过程。那,如果我在前面加一项呢?
(前期预防)→发现ARP欺骗→查找故障点→到达故障点处→拔除故障点
是的,我要在这里重点阐述的,就是这个“前期预防”的部分。不夸张的说,如果你前期预防做的好,哪怕你没有cisco的设备,不懂抓包工具的使用。一样可以迅速的找到故障点并拔除。而解决故障的步骤,就三步:cmd下arp -a→打开excl表格查找mac地址对应的机器及用户名→冲到故障点前将其拔除。
这样的几步,5分钟内,应该搞定了吧?(查杀病毒是后话,因为arp欺骗只在在线是起作用)在我看来比抓包啥的快好多吧?
excl表格?太麻烦了吧?几百台怎么写啊?还要一个个去查?
(扫描工具有很多啊,再说,台上十分钟台下十年功嘛,道理是一样的)
其实这样的一个统计,并不麻烦。公司里总该有资产表格吧?上面应该已经包括了诸如:资产编号、主机名、配置、使用者,购置日期等等这样的信息吧?那么也只要加上mac地址这一项,如果公司规定客户端使用静态IP的话,那么,就再加一项IP的数据也就OK了。
别跟我说你连个基本的资产表格都没有,那你的IT管理真的是很不到位了。
其实,在很多人提出如何去查找arp病毒的故障点的时候,就很明显的暴露了他们的管理不到位,前期工作没有完善,以及他们在对待问题处理上的方向。
应该是单纯从技术上出发的,还是与管理同步的。
MIS的工作,不单单是技术上的,而是“规划”→“实施”→“管理+维护”→“调整”的过程。而技术,只是使在这个过程中的我们更加有效达到目标。
举些其他的例子来说明一下:
一个文件服务器管理员,是应该等到存储空间爆了的时候忙着去删除文件,还是定期去检查下并统计数据发mail给各部门将重复文档和没必要的超大文档协助清理掉呢?是当所有人都告诉文件服务器管理员说空间不够用了的时候再去老总申请过大存储空间,还是一段时间之后将数据的统计及管理情况以报表的形式呈现在老总面前,告诉他可能过段时间咱们的存储空间有需要扩大的可能呢?
而一个杀毒服务器管理员,是等着公司大面积爆发病毒的时候再加强管理力度,还是根据平时的风险报告就加以统计和分析,并总结报告提交给各部门领导加以督导和管控呢?(风险报告在一定程度上是会体现用户的操作习惯的哟。)
如果我们只想着拥有多高深的技术,并只抱着技术过日子,想着在问题出现的当时大显身手一下,那么,我们的职业生命期,将会缩短,我们的路将一直不会变宽。
MIS这一路,我们所面对的,不仅仅是技术!