基于四元模型的ＩＰ防盜方法

摘要：隨著校園網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，用戶數(shù)量也不斷的增加，各種病毒與木馬程序的泛濫，使得IP地址盜用十分普遍。不僅給網(wǎng)絡(luò)計(jì)費(fèi)帶來了負(fù)面影響，而且破壞了正常的網(wǎng)絡(luò)運(yùn)行和應(yīng)用，因此解決IP地址盜用問題是保證校園網(wǎng)安全運(yùn)行、追查和防止來自校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)攻擊事件的首要條件。本文以解決IP地址盜用問題為出發(fā)點(diǎn)，提出了用戶注冊和交換機(jī)控制相結(jié)合的一種基于SNMP的四元模型的新防盜技術(shù)。

關(guān)鍵詞：IP防盜；校園網(wǎng)； SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)06-1pppp-0c

New Technology Basedon SNMP to Solve IP Address Embezzlement at Campus Network Management

LIU Xin-rong

(Department of Computer，Shandong Institute of Business and Technology，Yantai 264005，China)

Abstract: IP address embezzlement is a common and very harmful factor in network management .It not only brings the negative effects to the network charging but also Destroys normal network operation and application. Consequently the solution of IP address embezzlement is the most important condition to guarantee the safe operation of campus network and trace or prevent attacks which stem from campus network. This paper regards the solution of IP address embezzlement as the starting point. After further investigating SNMP protocol， and aiming at the structure of our campus network， the author finally proposed a kind of new theft-proof scheme of four-layer model based on SNMP and user login at switch control.

Key words:IP Address Embezzlement;Campus Network;SNMP

二十世紀(jì)末，隨著網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn)，互聯(lián)網(wǎng)的廣泛應(yīng)用，網(wǎng)絡(luò)規(guī)模日益龐大，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也越來越復(fù)雜，網(wǎng)絡(luò)安全性要求變得越來越高。在校園網(wǎng)的管理中，IP地址的盜用對網(wǎng)絡(luò)的正常運(yùn)行是十分有害的。一方面，非法用戶盜用合法用戶的IP地址以獲得特殊的訪問權(quán)限，例如，盜用訪問Internet的權(quán)限，盜用訪問機(jī)密數(shù)據(jù)庫的權(quán)限等，此種IP盜用，不僅干擾了合法用戶正常網(wǎng)絡(luò)訪問，而且使網(wǎng)絡(luò)安全受到威脅；另一方面，非法用戶盜用未分配的IP地址，對正常的網(wǎng)絡(luò)運(yùn)行和應(yīng)用進(jìn)行破壞。因此解決IP地址盜用問題是保證校園網(wǎng)安全運(yùn)行、防止來自校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)攻擊事件的首要條件。

1 IP地址盜用原理及常用手段

IP地址盜用就是盜用者將本機(jī)的IP地址修改為本子網(wǎng)內(nèi)的另外一個(gè)合法用戶的IP地址或未分配的IP地址，然后利用該IP地址去訪問網(wǎng)絡(luò)。這樣，一切基于該IP地址的控制或計(jì)費(fèi)都會(huì)發(fā)生錯(cuò)誤，從而影響合法用戶的網(wǎng)絡(luò)的正常使用。

1.1 IP盜用的常用手段

(1)靜態(tài)修改IP地址

對于任何一個(gè)TCP/IP實(shí)現(xiàn)來說，IP地址都是其用戶配置的必選項(xiàng)。如果用戶在配置TCP/IP或修改TCP/IP配置時(shí)，使用的不是授權(quán)機(jī)構(gòu)分配的IP地址，就形成了IP地址盜用。由于IP地址是一個(gè)邏輯地址，是一個(gè)需要用戶設(shè)置的值，因此無法限制用戶對于IP地址的靜態(tài)修改，而使用DHCP服務(wù)器動(dòng)態(tài)分配IP地址，又會(huì)帶來其它管理問題。

(2)修改IP地址、MAC地址對

MAC地址是設(shè)備的硬件地址，對于以太網(wǎng)來說，即俗稱的網(wǎng)卡地址。每一個(gè)網(wǎng)卡的MAC地址在所有以太網(wǎng)設(shè)備中必須是唯一的，它由IEEE分配，固化在網(wǎng)卡上，一般不能隨意改動(dòng)。但是，一些兼容網(wǎng)卡的MAC地址卻可以使用配置程序修改。另外，對于那些MAC地址不能直接修改的網(wǎng)卡，用戶還可以通過軟件修改MAC地址，即通過修改底層網(wǎng)絡(luò)軟件達(dá)到欺騙上層網(wǎng)絡(luò)軟件的目的。MAC地址的可修改性，為成對修改IP-MAC地址提供了條件，這樣能更好的隱蔽其真實(shí)身份，不易被發(fā)現(xiàn)。

(3)動(dòng)態(tài)修改IP地址

對于一些黑客高手來說，他們直接編寫程序在網(wǎng)絡(luò)上收發(fā)數(shù)據(jù)包，繞過上層網(wǎng)絡(luò)軟件，動(dòng)態(tài)修改自己的IP地址(或IP-MAC地址對)，達(dá)到IP欺騙的目的。

綜上所述，盜用者通過以上三種方式進(jìn)行IP地址的修改來達(dá)到盜用目的。

1.2常見IP地址防盜方案

常見的IP防盜方案是IP地址、MAC地址的綁定或者路由器隔離技術(shù)建立的IP-MAC二元模型，雖然能夠解決靜態(tài)修改IP地址方式的IP盜用問題，但對于成對修改IP、MAC地址無能為力。其它防盜方案還有利用防火墻與代理服務(wù)器相結(jié)合的方案或利用在系統(tǒng)中增加透明網(wǎng)關(guān)，建立的IP-MAC-USER三元模型，對于非法用戶盜用內(nèi)部網(wǎng)合法用戶IP地址無能為力，并且使用代理服務(wù)器訪問外部網(wǎng)絡(luò)很容易產(chǎn)生瓶頸問題，在一定程度上會(huì)影響用戶訪問網(wǎng)絡(luò)的速度。由此可見，過去的防盜方案，在防止IP盜用的徹底性和對網(wǎng)絡(luò)性能的低干擾性等方面各有所長，很難全面兼顧。

2 基于SNMP的四元模型的IP防盜新方法

在分析了現(xiàn)有的IP防盜技術(shù)的缺陷的基礎(chǔ)上，提出用戶注冊信息和交換機(jī)控制相結(jié)合的一種基于SNMP的四元模型的防盜新技術(shù)。

2.1 IP防盜新技術(shù)的工作原理

簡單網(wǎng)絡(luò)管理協(xié)議SNMP（Simple Network Management Protocol）是由IETF(Internet Engineering Task Force)研究開發(fā)的。它提供一種監(jiān)控和管理計(jì)算機(jī)網(wǎng)絡(luò)的框架和協(xié)議，這個(gè)框架和協(xié)議被廣泛應(yīng)用于商業(yè)產(chǎn)品中，并成為網(wǎng)絡(luò)管理事實(shí)上的標(biāo)準(zhǔn)。隨著Internet的迅速發(fā)展，利用SNMP協(xié)議，采用周期主動(dòng)輪詢的方式，通過查詢網(wǎng)絡(luò)上各個(gè)交換機(jī)，獲得所有在線用戶的IP-MAC-PORT的對應(yīng)關(guān)系，再與合法用戶的注冊用戶信息庫（USER元）進(jìn)行對比，若不一致，即為IP盜用，根據(jù)注冊用戶信息庫（USER元）的PORT信息，定位到盜用主機(jī)，并獲得盜用者的詳細(xì)信息。然后進(jìn)行報(bào)警，通知網(wǎng)絡(luò)管理員的同時(shí)對盜用者進(jìn)行警告。最后進(jìn)行阻斷網(wǎng)絡(luò)連接。

圖1 基于SNMP四元模型的防盜系統(tǒng)功能模塊圖

2.2 系統(tǒng)實(shí)現(xiàn)總體框架

本文在深入研究了基于SNMP四元模型防盜新技術(shù)構(gòu)建的方案之后，用C++，SNMP++開發(fā)包以及ASP實(shí)現(xiàn)了一個(gè)基于B/S結(jié)構(gòu)的綜合防盜系統(tǒng)。該系統(tǒng)采用用戶層、應(yīng)用層、接口層和事務(wù)層的4層模式結(jié)構(gòu)來實(shí)現(xiàn)。由于該系統(tǒng)采用層次結(jié)構(gòu)進(jìn)行實(shí)現(xiàn)，各個(gè)層次之間相互獨(dú)立，在本系統(tǒng)之上可以很容易的擴(kuò)充每一層的功能，因此該系統(tǒng)具有良好的可擴(kuò)展性。正是因?yàn)樵撓到y(tǒng)采用分層的模式實(shí)現(xiàn)，許多原有的系統(tǒng)可以作為新系統(tǒng)的一部分存在于新系統(tǒng)中，因此該系統(tǒng)和原有系統(tǒng)有很好的兼容性。系統(tǒng)的總體實(shí)現(xiàn)框架如圖2所示。

(1)用戶層

對于本系統(tǒng)來說用戶層就是網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員的職責(zé)是使用本系統(tǒng)來對網(wǎng)絡(luò)中的IP盜用進(jìn)行監(jiān)測、定位、報(bào)警和阻斷及恢復(fù)連接。由于本系統(tǒng)采用主動(dòng)輪詢模式進(jìn)行設(shè)計(jì)，因此各個(gè)應(yīng)用請求實(shí)際上是由系統(tǒng)中的虛擬用戶發(fā)出，實(shí)現(xiàn)自動(dòng)管理，無需網(wǎng)絡(luò)管理員的干涉。由于系統(tǒng)采用的是B/S結(jié)構(gòu)進(jìn)行設(shè)計(jì)，因此用戶層的操作平臺是網(wǎng)絡(luò)瀏覽器(Web Browser)。

圖2 防盜方案實(shí)現(xiàn)總體框架

(2)應(yīng)用層

應(yīng)用層是整個(gè)系統(tǒng)的上層任務(wù)模式，在本系統(tǒng)中的任務(wù)模式是監(jiān)測、定位、報(bào)警和阻斷及恢復(fù)連接。在這四個(gè)模式之間存在一種順序關(guān)系，即監(jiān)聽模塊檢測到IP盜用之后，然后激活定位模塊對發(fā)生盜用的地址進(jìn)行定位，定位之后隨即進(jìn)行報(bào)警和阻斷。其中監(jiān)測程序是一種實(shí)時(shí)監(jiān)控程序，所以采用輪詢方式，而其它模塊則是中斷類型的程序采用的是事件激活方式，即需要外部事件的驅(qū)動(dòng)才會(huì)執(zhí)行。應(yīng)用層各種模式收到應(yīng)用請求后會(huì)向接口層發(fā)出下級請求，待收到接口層的應(yīng)答后對其進(jìn)行運(yùn)算和封裝，最后向用戶層發(fā)出應(yīng)答。應(yīng)用層各模式是采用ASP實(shí)現(xiàn)，其運(yùn)行平臺是Web服務(wù)器，本系統(tǒng)采用的是IIS服務(wù)器。

(3)接口層

由于不能直接與事務(wù)層發(fā)生消息傳遞，故它們之間需要一個(gè)通信接口。接口層是應(yīng)用層和事務(wù)層之間的一個(gè)層次。這里之所以將接口單獨(dú)作為一個(gè)層次是因?yàn)榻涌趯邮窍到y(tǒng)的兼容性和可擴(kuò)展性的關(guān)鍵。從應(yīng)用層發(fā)出的請求有數(shù)據(jù)庫訪問和和網(wǎng)管設(shè)備訪問兩種，因此接口層也必須提供兩種接口。對于數(shù)據(jù)庫接口，它目前已經(jīng)存在同一的訪問接口如ODBC，本系統(tǒng)采用的是ADO數(shù)據(jù)庫接口。對于網(wǎng)管設(shè)備接口，網(wǎng)管設(shè)備目前尚未提供同一的Web訪問接口，網(wǎng)管設(shè)備僅支持SNMP等訪問方式，因此本系統(tǒng)采用C++和SNMP++開發(fā)出SNMP協(xié)議下的SNMP代理程序，負(fù)責(zé)向網(wǎng)管設(shè)備傳遞消息。在SNMP代理程序和應(yīng)用層之間采用Windows腳本程序來完成接口功能。該層的運(yùn)行平臺操作系統(tǒng)，本系統(tǒng)采用的是Windows2000操作系統(tǒng)。

(4)事務(wù)層

事務(wù)層完成底層的原子事務(wù)操作。對于存放網(wǎng)管數(shù)據(jù)庫的數(shù)據(jù)庫服務(wù)器，它的任務(wù)是完成接收到的數(shù)據(jù)庫查詢、增加、刪除和修改等事務(wù)請求，并將結(jié)果放回給上一層。本系統(tǒng)中有網(wǎng)絡(luò)管理中心原有的用戶注冊信息數(shù)據(jù)庫，以及本系統(tǒng)自身所需的IP盜用記錄數(shù)據(jù)庫。對于交換機(jī)等網(wǎng)管設(shè)備，其任務(wù)是完成來自SNMP管理程序的請求，本系統(tǒng)中的請求有查詢MIB庫和修改網(wǎng)絡(luò)設(shè)備的端口屬性。數(shù)據(jù)庫的運(yùn)行平臺是數(shù)據(jù)庫服務(wù)器，由于涉及到數(shù)據(jù)庫有多種，因此數(shù)據(jù)庫服務(wù)器也有多種，本系統(tǒng)用到的數(shù)據(jù)庫服務(wù)器有SQL Server2000和ACCESS。

基于以上分析，在交換以太網(wǎng)環(huán)境下，開發(fā)一個(gè)管理工作站軟件，周期輪詢網(wǎng)絡(luò)中各交換機(jī)，動(dòng)態(tài)獲得在線主機(jī)IP-MAC-PORT信息，并與已注冊的合法用戶的地址信息庫進(jìn)行對比，如發(fā)現(xiàn)不一致即為IP盜用；發(fā)現(xiàn)盜用之后，根據(jù)PORT信息結(jié)合user元定位盜用主機(jī)的信息，隨即可得到盜用者的詳細(xì)信息；再通過修改交換機(jī)控制訪問的MIB，對盜用主機(jī)級聯(lián)交換機(jī)端口進(jìn)行關(guān)斷和恢復(fù)。如此實(shí)現(xiàn)了四元模型的IP地址防盜方案。

3 開發(fā)工具及語言

程序開發(fā)的總體過程首先是采用C++語言和SNMP++開發(fā)包開發(fā)出SNMP中各種原語，用于和網(wǎng)管設(shè)備的通信，然后將協(xié)議原語封裝到批處理命令中，用于通過批處理命令中的管道獲取SNMP協(xié)議原語與網(wǎng)管設(shè)備通信的結(jié)果，最后用asp程序根據(jù)不同的應(yīng)用模式需求通過調(diào)用WinScript腳本中的批處理來完成整個(gè)應(yīng)用模式的設(shè)計(jì)。

4 IP防盜方案的優(yōu)點(diǎn)

此方案能夠有效的防止校園網(wǎng)IP地址的盜用：對于靜態(tài)修改IP地址的用戶，使用SNMP協(xié)議查詢交換機(jī)與系統(tǒng)中存儲的注冊用戶信息相比較，IP-MAC的對應(yīng)關(guān)系不一致，發(fā)現(xiàn)盜用事件。對于成對修改IP-MAC地址的用戶，使得MAC地址為注冊用戶的MAC地址（沒有注冊過的用戶不能上網(wǎng)），IP地址是可用地址（合法的地址或未分配的地址），

結(jié)合系統(tǒng)中的注冊用戶信息(USER元)比較，由于IP-MAC和PORT的對應(yīng)關(guān)系不一致，盜用者被查出。

5 結(jié)束語

在深入剖析SNMP協(xié)議之后，針對校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)提出了一種基于SNMP的四元模型的IP防盜技術(shù)，該系統(tǒng)防盜效果好、易實(shí)施、靈活、擴(kuò)展性強(qiáng)，具有檢測、定位、報(bào)警、阻斷通信等功能，為徹底解決IP地址盜用問題，提供了一種新的可行的技術(shù)手段。

參考文獻(xiàn)：

[1]禇建立.基于多元綁定的校園網(wǎng)IP盜用解決方案探討.計(jì)算機(jī)系統(tǒng)應(yīng)用，2007，3:83-85.

[2]張春暉.SNMP協(xié)議的分析和應(yīng)用.計(jì)算機(jī)研究，2000m10:55-57，

[3]張遠(yuǎn)明，初志剛.解決校園IP地址盜用問題的技術(shù).吉林大學(xué)學(xué)報(bào)(理學(xué)版)，2006，7:616-620.

收稿日期：2008-01-10

作者簡介：劉欣榮（1977-），女，江西靖安人，山東工商學(xué)院講師，碩士。