嵌入式网络地址监控系统研究与设计

很多中小型企业在网络安全方面的投入很少，通常仅依靠带简单防火墙功能的宽带路由器设备，这虽然能够防止外部黑客的入侵，但对处在防火墙内部的员工或访客造成的安全问题没有任何作用。由于安全意识的缺失，在网络布线工程完成之后，就很少投入人力物力，很少配备专职的网络管理员，因此很容易出现各式各样的网络安全事件。最常见的问题是网络IP地址盗用问题。

本文给出一种利用SoPC(System-on-a-Programmable-Chip)技术实现的、面向中小网络、低价位、可靠的嵌入式IP地址防盗监控方案。从管理学层面对网内IP地址的管理进行探讨;在技术层面研究网络协议，分析发生原理，找出IP地址盗用问题的原因和表现形式，从而找出根治办法,在实现层面对开放源代码的嵌入式操作系统进行深入分析和裁剪，利用嵌入式系统开发技术，实现基于嵌入式硬件的网络监控，能显著降低企业中兼职网管的工作量，确保网络正常使用。

1 地址防盗机理

1.1 地址盗用分析

经过对企业网络跟踪监控发现，地址盗用的用户，除Legitimate(合法的)用户以外，还有3种类型的恶意用户：Masquerader(伪装者)、Misfeasor(违法者)和Clandestined User(秘密活动者)[1]。

(1) Masquerader：此类人可能是为了逃避网络计费，事先收集到别的用户地址，用IP地址盗用的办法，将网络流量计费转嫁到他人身上。

(2) Misfeasor：此类人一般是合法用户，由于重装系统等因素重新设定IP地址，但是输入错误或是忘记自己的合法地址而胡乱设置。近两年ARP类病毒或木马也造成类似的网络故障。

(3) Clandestined User：此类人可能是无上网权限的人或外来人员，为了某种目的，隐藏自己的身份或企图冒充合法用户身份来逃避追踪。

1.2 对策分析

为了解决这些问题，大型网络一般采用可网管型交换机进行地址绑定，更好的方式是用认证计费系统，但硬件改造投资比较大，不适合小规模网络。中小型企业网中更多的是依靠兼职网管人工操作，工作量非常大。故采用嵌入式技术开发廉价的网络地址监控系统，以实现实时监控和自动化响应与处理。

对网络进行全天候监控，将网络上所有ARP广播信息截获，提取信息生成IP-MAC二元组对照表。对当前网段所有未用IP地址也生成特殊的IP-MAC二元组，即MAC字段设为000000000001这种非法的值。该表经由网管员确认后，作为合法用户表。如果网管员无暇处理时，自动对某一时间段的数据利用概率统计算法生成该表。

对于Masquerader和Misfeasor：对照合法用户列表，只需发现ARP广播包中IP-MAC二元组不相符合，就表明有盗用的嫌疑。如果此用户是Legitimate，会自行重复修改IP地址，不断试验，此时发送一个ARP-Relay包，告知该IP已经使用，则对方的PC机会提示"IP地址重复"并自动禁用网卡的TCP/IP栈。系统自动记录盗用次数，如果发现超过设定次数，最终封闭MAC地址，并产生Alert消息，由网管员通过行政手段处理。ARP类病毒或木马，一种是盗用网关设备的地址，拦截用户发送的数据；一种是盗用用户的IP从中截获数据。还有些蠕虫病毒为了加快传播，会发送虚假的IP数据包，处理方法同上。

对于Clandestined User：通常先利用可上网的电脑来探测网络，找出合法IP及对应的MAC地址，通过修改网卡的Flash芯片或者修改注册表，获得合法地址，继而进行秘密活动。这是最复杂的情况，即使合法用户和盗用者同时开机，也不会出现IP冲突的提示。但对于可网管型的交换机内部维护的FDB(Forwarding Database)地址表中，相应的MAC地址对应的端口就会经常变化，据此就能予以辨别，随后详细记录日志，并发送警报信息通知管理员处理。这样就需要监控器能读取FDB表，才能得知是否有相同的MAC从不同端口进入，进而关闭该端口，隔离破坏者。

1.3 封锁方法

为了封锁用户上网，一般需要可网管交换机的配合。一般中小企业的核心交换机通常都是可网管型的，但是配置交换机需要专业人士，本设备可以实现自动配置，降低了对网管的技术要求。与交换机交互设置的常见方案为采用SNMP协议，但由于编程复杂，且很多交换机厂商并没有严格遵循SNMP协议，故很难实现。本设备采用另外一种方法，就是模拟管理员手工配置交换机的过程，先利用Telnet协议登录交换机，输入用户名和密码，再输入超级管理员密码，发送配置指令。例如要禁止MAC地址为000c.2927.fe4d的计算机，在港湾的交换机上输入命令：

C:telnet xxx.xxx.xxxx.xxx(核心交换机IP）

Login:admin 输入用户名和密码

Password:

Harbour>en 进入特权模式，输入超极管理员密码

2 系统功能设计

2.1 功能

(1) IP冲突检测与处理：判