ＩＰ地址盜用技術研究

摘要：該文提出通過即時查詢網絡設備的MIB庫信息，快速確定盜用IP地址用戶所在網絡端口，定義了了快速定位——驗證模型，最后結合SNMP++編程，給出了具體的實現辦法。

關鍵詞：地址盜用；MIB；SNMP

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)36-2605-03

Reseach on IP Address embezzlement

LI Yuan1，HOU Song-li2

(1.Network Information Center， Henan University， Kaifeng 475001， China;2.Computer Center of Henan University，Kaifeng 475001， China)

Abstract: The paper discusses that through instantly look up the MIB library information of network equipments，we can quickly ascertain the network port which a user who steal an ip address use.It defines the fast locating——verifying model，at last ， combine with the SNMP++ programming，the paper gives a specific implementing method.

Key words:address embezzlement;MIB;SNMP

1 引言

隨著網絡的不斷發展，網絡規模日益擴大，用戶對網絡安全及穩定性方面的要求也日益提高。在日常的網絡管理中，IP地址的盜用一直是網絡管理員比較棘手的問題。

IP地址盜用就是盜用者將本機的IP地址修改為本子網內的另外一個合法用戶的IP地址或未分配的IP地址，然后利用該IP地址去訪問網絡，從而影響合法用戶的網絡的正常使用。

網絡管理部門在規劃的網段中，為合法注冊用戶分配了相應的網絡IP地址資源，以保證通信數據的正常傳輸。以這種方式接入的用戶，靜態的IP地址是必不可少的配置項目之一，它享有“網絡通信身份證”的特權。網絡管理員在配置IP地址資源時，對其正確性有特殊的要求，主要表現在以下兩個方面：分配的地址應在規劃的子網網段范圍內；分配的IP地址對任何聯網的主機必須是惟一的，即無二義性。然而，IP地址作為接入網絡主機的唯一標識、網絡管理的重要信息元素，卻只是對網絡設備、主機有意義，對網絡管理部門來講，并不能從IP地址上識別主機或用戶，從而為網絡管理帶來了障礙。

如果用戶在配置TCP/IP或修改TCP/IP配置時，使用的不是網絡管理部門分配的IP地址，就形成了IP地址盜用。具體表現為三種方式：

1) 靜態修改IP地址

由于IP地址是一個邏輯地址，是一個需要用戶設置的值，因此無法限制用戶對于IP地址的靜態修改，除非使用DHCP服務器分配IP地址，但又會帶來其它管理問題。

2) 同時修改IP-MAC地址

MAC地址是設備的硬件地址，對于我們常用的以太網來說，即俗稱的計算機網卡地址。每一個網卡的MAC地址在所有以太網設備中必須是唯一的，它由IEEE分配，是在設備出廠時固化在網卡上的，但由于網卡的驅動程序在收發數據包時為了加快處理速度并非每次處理數據幀時都從網卡的ROM中讀MAC地址，而是將MAC地址放入緩存中，需要的時候直接從緩存中讀取，這種工作機制就造成了用戶可以通過專用軟件甚至操作系統修改網卡的MAC地址進而達到欺騙上層網絡軟件的目的。

3) 偽造IP地址

利用編制好的IP欺騙工具，繞過上層網絡軟件收發數據包。

2 問題分析

目前防止IP地址盜用比較常用的方法是定期掃描網絡中各路由器的ARP(address resolution protocol)表，獲得當前正在使用的IP地址以及IP-MAC對照關系，與合法的IP地址表，IP-MAC表對照，如果不一致則有非法訪問行為發生。另外，從用戶的故障報告(盜用正在使用的IP地址會出現MAC地址沖突的提示)也可以發現IP地址的盜用行為。在此基礎上，常用的防范機制有：IP- MAC捆綁技術、代理服務器技術、IP-MAC-USER認證授權以及透明網關技術等。但這些機制都有一定的缺點：如IP-MAC捆綁技術無法防范對修改IP-MAC的盜用行為；代理服務器技術不適合大規模企業網絡的使用；透明網關不能控制來自內部的地址盜用，更重要的是上述機制事實上僅僅是造成了盜用者無法訪問三層設備以上的外部資源，由于IP地址盜用者仍然具有該網段內完全活動的自由，因此一方面這種行為會干擾合法用戶的使用：另一方面可能被某些有不良企圖用戶用來攻擊該網段內的其他機器和網絡設備。如果偵測到代理服務器的存在，盜用者還可以通過種種手段獲得網外資源。所以，亟待解決的問題是如何快速定位盜用者所在的用戶端口并快速實現阻斷。

一般情況下，在進行網絡綜合布線的同時，施工單位會獲得網絡設備端口與具體物理位置（用戶）的對應關系，如果能把IP地址對應的端口找到，就可以通過查找該端口所在物理位置確定用戶所在。而網絡設備的MIB庫中就記錄了數據包的IP地址和MAC信息，為查找端口提供了基礎。

網絡從上至下可分為核心層、匯聚層和接入層，位于不同層次的網絡設備中存儲著不同的MIB庫，對應相應的IP—MAC地址和相應的物理端口，可以通過網絡設備的逐層分析，定位目標IP所處的網絡端口位置。要從位于不同層次的網絡設備中提取到相應的ARP的信息，就要進行基于網絡的SNMP（簡單網絡管理協議）分析。SNMP協議目前最常用的有兩個版本，通常稱之為v1和v2。一般情況下v2向下兼容v1版。

SNMP標準主要由三部分組成：簡單網絡管理協議（SNMP）；管理信息結構（Structure of Management Information，簡稱SMI，RFC1155標準）和管理信息庫（MIB，RFC1156、RFC1158標準）。管理信息結構（SMI）和管理信息庫（MIB）兩個協議是關于管理信息的標準，它們規定了被管理網絡對象的定義格式、MIB庫中都包含哪些對象以及怎樣訪問這些對象等等。SMI協議規定了定義和標識MIB變量的一組原則。它規定所有的MIB變量必須用ASN．1（即抽象語法表示法I，它是一種描述數據結構的通用方法。

SNMP MIB管理信息庫的存儲方式是一種目錄樹的結構，而且它總是開始于：iso. Org. Dod翻譯成數字就是1.3.6，這就是我們所說的MIB（Management Information Base，管理信息庫）的格式，而關于物理地址的MIB就是：iso. Org. Dod. Internet. Mgmt. Mib. At. AtTable. AtEnty. AtPhysAddress（1.3.6.1.2.1.3.1.1.2）。

每個MIB變量都有一個名稱用來標識。在SMI中，這個名稱以對象標識符（Object Identifier）來表示。對象標識符相互關聯，共同構成一個分層結構。在這個分層結構里，一個對象的標識符是由從根出發到對象所在節點的途中所經過的一個數字標號序列組成。如圖1中，Internet的對象標識符就是1.3.6.1，對象標識符的命名由專門的機構負責。

在Internet節點下的mgmt節點，專門為管理信息庫分配了一個子樹，名為mib（1）。所有的MIB變量都在mib節點下，因此它們的名稱（對象標識符）都以iso.org.dod.internet.mgmt.mib開始，數字表示是1.3.6.1.2.1。MIB變量的命名實際上是引用了ISO的對象標識（OIDObject Identfier）名字空間管理，表示法分為整數標識法和字符標識法兩種，前者適合軟件實現，后者便于理解。

圖1 SNMP樹形表格示意圖

圖2 SNMP體系結構

3 定位模型

路由器中的路由表MIB中存有網絡中工作站IP地址與MAC地址的對應表。在CISCO路由器的路由表中，這種信息一般放在樹型結構的{1.3.6.1.2.1.3.1.1.2.0.0.1.47}位置中，比如：一個IP地址為10.169.169.2的機器，它的MAC地址就存放在MIB表中{1.3.6.1.2.1.3.1.1.2.0.0.1.47}+{10.169.169.2}的這個位置上，知道了這個表結構后，我們就可以通過編寫CGI程序來調用SNMP代理，讀取MIB管理信息表中的MAC地址。

我們調用簡單網絡管理協議SNMP從設備的MIB庫中獲取有用信息，SNMP體系結構如圖2所示。SNMP協議是運行在UDP（用戶數據報協議）之上的應用層協議。SNMP系統一部分由Agent（分布式代理）軟件組成，它運行在服務器、路由器等被管理的對象上。每一個Agent都有一個MIB（Management Information base 管理對象信息庫）及一些與具體設備有關的變量。SNMP系統的另一關鍵部分是網絡管理站（NMS Network Management Station），它具有全部被管對象的主數據庫。

Agent在網管系統結構的位置相當于管理器和被管設備之間的網關和協議轉換器。Agent的功能需求的范圍應該為：

1) 協議轉換：實現SNMP協議和被管設備之間的協議互相轉換

2) 轉發請求：包括向被管設備轉發查詢，設置請求；向Manager轉發設備產生的告警信息

3) 通過MIB庫維護被管設備的信息結構

4) 對Manager提供一個統一的網管接口，無論被管設備有多復雜，對Manager來說只需要和Agent交互就可以獲得所有被管設備的網管信息

5) 不需要牽涉諸如輪巡，告警策略等網管業務邏輯。也不參與被管設備本身對網管數據的處理流程。這些由被管設備的網管業務邏輯層自行處理。

6) 不需要對數據進行統計分析

7) 不需要保存歷史或實時網管數據

SNMP以GET-SET方式替代了復雜的命令集。SNMP協議現在有３個版本。其中SNMPv1定義了5種用于管理進程和Agent之間交換信息的報文格式：

get-request 從agent上讀取數值

set-request 對agent上的變量進行設置

get-next-request 從agent上讀取當前所讀參數的下一個參數值，用于表的遍歷

get-reponse agent對前面三個操作的響應，返回參數值

trap agent主動向 Manager發送的報文，通知事件的發生。

我們可以利用上述五種報文從MIB庫中獲取相關信息，從而有針對性的設置參數。從www.agentpp.com上可以獲取公開源代碼的SNMP開發工具SNMP++v3.2，使用該軟件包可以獲取MIB信息并實現對目標端口的控制。

MIB表是通過行和列來描述的。其中列表頭是各個表項的原始Oid，而行表頭則是index。這樣以來一個Oid和一個index就唯一地確定了表中的一項。比如在接口表中，ifDescr（Oid為1.3.6.1.2.1.2.2.1.2）為一列，而具體對于某一個接口則為一行。這樣，某一具體表項的Oid就表示為：列Oid+index的形式。按照RFC1213描述，最基本的方法是通過index來獲取某一表項。但事實上，index本身也是一個表項，再加之有些表需要多個index，并且各種index的數據類型不同，比如要手工處理ip地址類型的index就比較困難，所以這種方法具有很難的操作性。因此，在實際編程時，可以采取如下方法：

從Snmp中對于get報文的描述可知，如果get-ext的參數為一個表中某一列的表頭Oid，比如前面的ifDescr（1.3.6.1.2.1.2.2.1.2），則得到的值為該列第一行元素值，并可得到該值的Oid。再對取得的Oid使用GetNext就可獲得該列第二行的值。如此下去，如果到了該列的最后一行，那么用GetNext將得到下一列的第一行。如果到了該表的最后一個元素，那么用GetNext將得到按MIB樹所得的下一個元素值。顯然，在越界的情況下，其Oid的前部分已不同于本列表頭的Oid，所以，可以通過得到的Oid值來判斷是否越界。

獲取了MIB信息，我們定義“驗證——定位模型”如下：

1) 從核心設備上根據IP-ARP表確定MAC地址。主要讀取表ipNetToMediaTable中的兩項：ipNetToMediaNetAddress(存放IP地址信息)和ipNetToMediaPhysAddress(存放MAC地址信息)。利用snmp_get_net()遍歷表ipNetToMedia NetAddress獲取指定的IP的索引值x，使用snmp+get(x)命令報文獲取指定IP對應的MAC地址；

2) 確定MAC地址對應的匯聚層設備。根據獲取的MAC地址，利用snmp_get()讀取表dot1dTpFdbPort，獲得MAC對應的端口號p，查找存儲拓撲結構信息的MIB，確定核心設備上端口p所連接的匯聚層設備；

3) 在匯聚層設備上重復1、2兩個步驟，進而確定接入層是哪個設備；

4) 在接入層設備根據MAC地址確定目標主機所連接的端口；

5) 發送snmp_set( )至接入層設備的MIB庫中的表項mib-2.interfaces.ifTable.ifEntry.ifOperStatus將其值設為“2”（關閉）

至此，我們實現了對目標主機的快速定位、驗證和阻斷。

4 結束語

由于上述涉及到的MIB表項均屬于由IEEE發布的標準MIB庫，所以目前網絡中絕大多數支持SNMP的設備均可方便采用該方式實現對地址盜用主機的快速定位和阻斷，而與設備的型號、種類無關，大大減輕了網絡管理員的工作量。

通過對網絡設備MIB信息的采集和分析，利用SNMP編程接口可以開發各種網絡管理程序，實現網絡設備信息的自動采集和對設備的管理，縮短了網絡排障時間，提高了網絡系統運行的穩定性、安全性及可靠性。

參考文獻：

[1] IETF RFC1213.http://www.ietf.org/rfc/rfc1213.net.

[2] STALLINGS.W.SNMP網絡管理[M].北京:中國電力出版社，2001.

[3] 李霞，胡偉.基于SNMP的IP地址盜用解決方案[J].綿陽師范學院學報，2005(2): 31-33，49.