嵌入式网络地址监控系统研究与设计
很多中小型企业在网络安全方面的投入很少,通常仅依靠带简单防火墙功能的宽带路由器设备,这虽然能够防止外部黑客的入侵,但对处在防火墙内部的员工或访客造成的安全问题没有任何作用。由于安全意识的缺失,在网络布线工程完成之后,就很少投入人力物力,很少配备专职的网络管理员,因此很容易出现各式各样的网络安全事件。最常见的问题是网络IP地址盗用问题。
本文给出一种利用SoPC(System-on-a-Programmable-Chip)技术实现的、面向中小网络、低价位、可靠的嵌入式IP地址防盗监控方案。从管理学层面对网内IP地址的管理进行探讨;在技术层面研究网络协议,分析发生原理,找出IP地址盗用问题的原因和表现形式,从而找出根治办法,在实现层面对开放源代码的嵌入式操作系统进行深入分析和裁剪,利用嵌入式系统开发技术,实现基于嵌入式硬件的网络监控,能显著降低企业中兼职网管的工作量,确保网络正常使用。
1 地址防盗机理
1.1 地址盗用分析
经过对企业网络跟踪监控发现,地址盗用的用户,除Legitimate(合法的)用户以外,还有3种类型的恶意用户:Masquerader(伪装者)、Misfeasor(违法者)和Clandestined User(秘密活动者)[1]。
(1) Masquerader:此类人可能是为了逃避网络计费,事先收集到别的用户地址,用IP地址盗用的办法,将网络流量计费转嫁到他人身上。
(2) Misfeasor:此类人一般是合法用户,由于重装系统等因素重新设定IP地址,但是输入错误或是忘记自己的合法地址而胡乱设置。近两年ARP类病毒或木马也造成类似的网络故障。
(3) Clandestined User:此类人可能是无上网权限的人或外来人员,为了某种目的,隐藏自己的身份或企图冒充合法用户身份来逃避追踪。
1.2 对策分析
为了解决这些问题,大型网络一般采用可网管型交换机进行地址绑定,更好的方式是用认证计费系统,但硬件改造投资比较大,不适合小规模网络。中小型企业网中更多的是依靠兼职网管人工操作,工作量非常大。故采用嵌入式技术开发廉价的网络地址监控系统,以实现实时监控和自动化响应与处理。
对网络进行全天候监控,将网络上所有ARP广播信息截获,提取信息生成IP-MAC二元组对照表。对当前网段所有未用IP地址也生成特殊的IP-MAC二元组,即MAC字段设为000000000001这种非法的值。该表经由网管员确认后,作为合法用户表。如果网管员无暇处理时,自动对某一时间段的数据利用概率统计算法生成该表。
对于Masquerader和Misfeasor:对照合法用户列表,只需发现ARP广播包中IP-MAC二元组不相符合,就表明有盗用的嫌疑。如果此用户是Legitimate,会自行重复修改IP地址,不断试验,此时发送一个ARP-Relay包,告知该IP已经使用,则对方的PC机会提示"IP地址重复"并自动禁用网卡的TCP/IP栈。系统自动记录盗用次数,如果发现超过设定次数,最终封闭MAC地址,并产生Alert消息,由网管员通过行政手段处理。ARP类病毒或木马,一种是盗用网关设备的地址,拦截用户发送的数据;一种是盗用用户的IP从中截获数据。还有些蠕虫病毒为了加快传播,会发送虚假的IP数据包,处理方法同上。
对于Clandestined User:通常先利用可上网的电脑来探测网络,找出合法IP及对应的MAC地址,通过修改网卡的Flash芯片或者修改注册表,获得合法地址,继而进行秘密活动。这是最复杂的情况,即使合法用户和盗用者同时开机,也不会出现IP冲突的提示。但对于可网管型的交换机内部维护的FDB(Forwarding Database)地址表中,相应的MAC地址对应的端口就会经常变化,据此就能予以辨别,随后详细记录日志,并发送警报信息通知管理员处理。这样就需要监控器能读取FDB表,才能得知是否有相同的MAC从不同端口进入,进而关闭该端口,隔离破坏者。
1.3 封锁方法
为了封锁用户上网,一般需要可网管交换机的配合。一般中小企业的核心交换机通常都是可网管型的,但是配置交换机需要专业人士,本设备可以实现自动配置,降低了对网管的技术要求。与交换机交互设置的常见方案为采用SNMP协议,但由于编程复杂,且很多交换机厂商并没有严格遵循SNMP协议,故很难实现。本设备采用另外一种方法,就是模拟管理员手工配置交换机的过程,先利用Telnet协议登录交换机,输入用户名和密码,再输入超级管理员密码,发送配置指令。例如要禁止MAC地址为000c.2927.fe4d的计算机,在港湾的交换机上输入命令:
C:telnet xxx.xxx.xxxx.xxx(核心交换机IP)
Login:admin 输入用户名和密码
Password:
Harbour>en 进入特权模式,输入超极管理员密码
2 系统功能设计
2.1 功能
(1) IP冲突检测与处理:判
- 基于NiosII的SOPC多处理器系统设计方法(02-10)
- 基于NiosII的二维条码识别系统设计(06-12)