“冤案”背景:9月6日某时段,一些用户在访问51CTO.com的时候,杀毒软件报警“检测到木马程序”!51CTO是业界知名的IT技术网站,难道自己的服务器居然会中毒?我第一反应这是不太可能的。我的博客安家在51CTO,自然不希望它有什么问题,遂向51CTO工作人员询问。果不出所料:并不是服务器中毒,问题出在电信通IDC机房身上,一个并不陌生的名字——ARP欺骗。
引用51CTO论坛管理员发布的公告内容:
9月6日在51CTO服务器托管的IDC机房,同一IP段内有其它公司的服务器中了ARP病毒,它会冒充网关的地址接受51CTO服务器向外发送的数据包。再把这些数据报前面加上带木马的代码,这样就会造成用户访问51CTO的时候,会带上一段恶意代码。如果没有安装杀毒软件或是监测软件的机器,很有可能就会下载木马程序,而并不是51CTO的服务器中了病毒,是一种网络欺骗行为。
 
看到这里,用户是明白了IDC出问题了。但是,这种问题为什么会出现?是不是理所当然的、躲都躲不掉的?咱是搞技术的,不妨以此为鉴,分析一番:

一个企业要想搭建自己的生产/网络平台,必须要有一个物理条件要求非常严格的环境来存放平台的载体——服务器,并且将服务器与internet相连接。IDC的核心业务之一就是服务器托管,向企业提供主机托管或租用等一系列的服务。企业不惜花费大量经费购置昂贵的设备和主机租用费,希望得到7*24小时的不间断网络服务,作为托管服务商IDC责任就是为企业用户不间断的服务保驾护航,保证链路稳定、服务安全、设备不受损害等。(为让更多同行了解IDC并加强安全意识,本文欢迎转载 [url]http://huangkun.blog.51cto.com/190289/42941[/url]
 
出于职业习惯,我希望了解更多家机房的服务质量。论坛公告里并没有提是那家IDC机房,于是我特地询问:51CTO委托的到底是哪家机房?答案是电信通。那么,电信通IDC是否为51CTO提供了应有的服务呢?
 
自51CTO使用了电信通机房后,两个月内出现了三次类似的ARP欺骗情况,不但严重影响了51CTO的正常运营,而且导致其数十万的用户面临安全威胁。由于电信通IDC的失误,导致了这种情况接二连三的出现,事实上有多种措施可以防范此类问题——

防范措施之一:用VLAN隔离端口,预防问题。
局域网可根据网络的拓扑结构,具体规划出若干个VLAN,使该用户与其它用户进行物理隔离,避免感染。从根本上避免病毒扩散伤及无辜。
把病毒“圈住”,这是最有效防范该问题的办法,据我了解,电信通没有对用户单独划分VLAN,导致同一IP段内的其他服务器遭殃。退一步说,目前也很少有IDC机房能对每个用户都做到单独划分VLAN,电信通做不到这一点,姑且也能忍了,但是后面两种防范措施他们都没有做到,那就太不应该了。

防范措施之二:报警机制,及时响应问题。
监测报警有很多种方法,目的就是当问题发现后第一时间报警,以便机房技术人员在第一时间响应,把故障时间缩短到最小。然而据我了解,此次事故出现后,并不是电信通机房人员第一响应的,而是由51CTO的工作人员和用户发现了,主动去找机房解决的。也就是说,电信通根本没有对此类问题进行监控,或者说根本没有及时响应,是一种不作为的态度,如果被托管的用户自己不发现,问题就会一直存在下去。
 
防范措施之三:交换机端绑定,双重安全保障。
交换机端绑定,目的是利用在核心交换机上绑定用户主机的IP地址和MAC地址,这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。这种方法是防范ARP欺骗攻击的最有效的办法,很多大型的IDC为了内网安全性都进行了此类设置,同时利用可以跨VLAN监控的监控软件,有效及时的解决问题。如果电信通作了此类规划,就不会出现正常用户的服务器被感染的情况。

此次问题出现后,51CTO在系统上把IP地址和MAC地址绑定了,这样能够在一定程度上防止ARP欺骗。然而,所谓“一个巴掌拍不响”,最安全的策略是双重绑定:用户绑定地址的同时,IDC方面在交换机端设置IP和MAC绑定,并且把用户MAC地址和交换机端口绑丁的双重安全绑定方式,才可以有效防止ARP欺骗。我曾质疑51CTO为什么不做双重绑定,结果他们告诉我:已经多次要求电信通IDC进行双重绑定,对方拒绝。竟然有如此“大爷”作派的IDC?!
 
明明有很多防范措施可以选择,电信通IDC缺屡屡不作为,这已经不是技术问题了,纯粹的态度问题!从51CTO与他们的交涉过程中更能窥见一斑——
该问题在俩月出现三次后,51CTO要求IDC技术人员提供彻底解决此类问题的方案。
技术人员:这事儿我做不了主,你找客服。
客服人员:技术方案?这你应该找技术人员。
51CTO:技术让我们找客服的。
客服人员:这样啊,我去了解一下情况先。
(数日,杳无音信……石沉大海……)
51CTO:上次的问题怎么解决?
客服人员:那个呀,你们先出示一份书面的事故说明吧。
51CTO:你们出了问题,让我们出说明?!
客服人员:技术不肯写呀,你们说明一下情况我跟领导反映,领导才会重视……
貌似这家IDC机房没有管事儿的,只有互相推诿的技术人员和客服人员。

这样一个办事流程,只能用可笑来形容。就好比你去餐厅吃饭,接二连三吃出苍蝇了,叫来服务员:你们菜里总有苍蝇,怎么回事?服务员:这要问厨师呀。厨师:我只管炒菜的。服务员:那你把吃出苍蝇的经过写份报告吧,我给老板看,引起他重视……如果真是餐厅,这态度我们早就拔腿走人了,然而IDC不比餐厅,餐厅可以随时走,IDC却不是轻易好换的,服务器搬一次家不但费时费力,而且影响到网站的正常运营,损失是巨大的。
 
谨以此文献给所有同行,在选择IDC时,先调查此IDC机房的口碑,不看广告,看疗效:有“劣迹”且毫无改进者,坚决不选!另外,需要与机房签订详细的服务合同,对安全事故出现后的解决方法和相关赔偿做出明确规定。(为让更多同行了解IDC并加强安全意识,本文欢迎转载 [url]http://huangkun.blog.51cto.com/190289/42941[/url]