原文引自：黄琨博客

“冤案”背景：9月6日某时段，一些用户在访问51CTO.com的时候，杀毒软件报警“检测到木马程序”！51CTO是业界知名的IT技术网站，难道自己的服务器居然会中毒？我第一反应这是不太可能的。我的博客安家在51CTO，自然不希望它有什么问题，遂向51CTO工作人员询问。果不出所料：并不是服务器中毒，问题出在电信通IDC机房身上，一个并不陌生的名字——ARP欺骗。

看到这里，用户是明白了IDC出问题了。但是，这种问题为什么会出现？是不是理所当然的、躲都躲不掉的？咱是搞技术的，不妨以此为鉴，分析一番：

一个企业要想搭建自己的生产/网络平台，必须要有一个物理条件要求非常严格的环境来存放平台的载体——服务器，并且将服务器与internet相连接。IDC的核心业务之一就是服务器托管，向企业提供主机托管或租用等一系列的服务。企业不惜花费大量经费购置昂贵的设备和主机租用费，希望得到7*24小时的不间断网络服务，作为托管服务商IDC责任就是为企业用户不间断的服务保驾护航，保证链路稳定、服务安全、设备不受损害等。

出于职业习惯，我希望了解更多家机房的服务质量。论坛公告里并没有提是那家IDC机房，于是我特地询问：51CTO委托的到底是哪家机房？答案是电信通。那么，电信通IDC是否为51CTO提供了应有的服务呢？

自51CTO使用了电信通机房后，两个月内出现了三次类似的ARP欺骗情况，不但严重影响了51CTO的正常运营，而且导致其数十万的用户面临安全威胁。由于电信通IDC的失误，导致了这种情况接二连三的出现，事实上有多种措施可以防范此类问题——

防范措施之一：用VLAN隔离端口，预防问题。

局域网可根据网络的拓扑结构，具体规划出若干个VLAN，使该用户与其它用户进行物理隔离，避免感染。从根本上避免病毒扩散伤及无辜。
把病毒“圈住”，这是最有效防范该问题的办法，据我了解，电信通没有对用户单独划分VLAN，导致同一IP段内的其他服务器遭殃。退一步说，目前也很少有IDC机房能对每个用户都做到单独划分VLAN，电信通做不到这一点，姑且也能忍了，但是后面两种防范措施他们都没有做到，那就太不应该了。

防范措施之二：报警机制，及时响应问题。

监测报警有很多种方法，目的就是当问题发现后第一时间报警，以便机房技术人员在第一时间响应，把故障时间缩短到最小。然而据我了解，此次事故出现后，并不是电信通机房人员第一响应的，而是由51CTO的工作人员和用户发现了，主动去找机房解决的。也就是说，电信通根本没有对此类问题进行监控，或者说根本没有及时响应，是一种不作为的态度，如果被托管的用户自己不发现，问题就会一直存在下去。

防范措施之三：交换机端绑定，双重安全保障。

交换机端绑定，目的是利用在核心交换机上绑定用户主机的IP地址和MAC地址，这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。这种方法是防范ARP欺骗攻击的最有效的办法，很多大型的IDC为了内网安全性都进行了此类设置，同时利用可以跨VLAN监控的监控软件，有效及时的解决问题。如果电信通作了此类规划，就不会出现正常用户的服务器被感染的情况。

此次问题出现后，51CTO在系统上把IP地址和MAC地址绑定了，这样能够在一定程度上防止ARP欺骗。然而，所谓“一个巴掌拍不响”，最安全的策略是双重绑定：用户绑定地址的同时，IDC方面在交换机端设置IP和MAC绑定，并且把用户MAC地址和交换机端口绑丁的双重安全绑定方式，才可以有效防止ARP欺骗。我曾质疑51CTO为什么不做双重绑定，结果他们告诉我：已经多次要求电信通IDC进行双重绑定，对方拒绝。竟然有如此“大爷”作派的IDC？！

这样一个办事流程，只能用可笑来形容。就好比你去餐厅吃饭，接二连三吃出苍蝇了，叫来服务员：你们菜里总有苍蝇，怎么回事？服务员：这要问厨师呀。厨师：我只管炒菜的。服务员：那你把吃出苍蝇的经过写份报告吧，我给老板看，引起他重视……如果真是餐厅，这态度我们早就拔腿走人了，然而IDC不比餐厅，餐厅可以随时走，IDC却不是轻易好换的，服务器搬一次家不但费时费力，而且影响到网站的正常运营，损失是巨大的。

谨以此文献给所有同行，在选择IDC时，先调查此IDC机房的口碑，不看广告，看疗效：有“劣迹”且毫无改进者，坚决不选！另外，需要与机房签订详细的服务合同，对安全事故出现后的解决方法和相关赔偿做出明确规定。

原帖由 龍騰嵙技 于 2007-9-19 01:55 发表
谁遇上这样的事`都不好办啊``` 还不如自己架设个服务器呢.

原帖由 kirin 于 2007-9-18 17:54 发表
IDC资质参差不齐，其实做个vlan也不需要很多经费，一劳永逸。

还是看看口碑，睁亮眼睛。