论文部分内容阅读
摘要:随着校园网络规模的不断扩大,用户数量也不断的增加,各种病毒与木马程序的泛滥,使得IP地址盗用十分普遍。不仅给网络计费带来了负面影响,而且破坏了正常的网络运行和应用,因此解决IP地址盗用问题是保证校园网安全运行、追查和防止来自校园网内部的网络攻击事件的首要条件。本文以解决IP地址盗用问题为出发点,提出了用户注册和交换机控制相结合的一种基于SNMP的四元模型的新防盗技术。
关键词:IP防盗;校园网; SNMP(简单网络管理协议)
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)06-1pppp-0c
New Technology Basedon SNMP to Solve IP Address Embezzlement at Campus Network Management
LIU Xin-rong
(Department of Computer,Shandong Institute of Business and Technology,Yantai 264005,China)
Abstract: IP address embezzlement is a common and very harmful factor in network management .It not only brings the negative effects to the network charging but also Destroys normal network operation and application. Consequently the solution of IP address embezzlement is the most important condition to guarantee the safe operation of campus network and trace or prevent attacks which stem from campus network. This paper regards the solution of IP address embezzlement as the starting point. After further investigating SNMP protocol, and aiming at the structure of our campus network, the author finally proposed a kind of new theft-proof scheme of four-layer model based on SNMP and user login at switch control.
Key words:IP Address Embezzlement;Campus Network;SNMP
二十世纪末,随着网络技术的突飞猛进,互联网的广泛应用,网络规模日益庞大,网络拓扑结构也越来越复杂,网络安全性要求变得越来越高。在校园网的管理中,IP地址的盗用对网络的正常运行是十分有害的。一方面,非法用户盗用合法用户的IP地址以获得特殊的访问权限,例如,盗用访问Internet的权限,盗用访问机密数据库的权限等,此种IP盗用,不仅干扰了合法用户正常网络访问,而且使网络安全受到威胁;另一方面,非法用户盗用未分配的IP地址,对正常的网络运行和应用进行破坏。因此解决IP地址盗用问题是保证校园网安全运行、防止来自校园网内部的网络攻击事件的首要条件。
1 IP地址盗用原理及常用手段
IP地址盗用就是盗用者将本机的IP地址修改为本子网内的另外一个合法用户的IP地址或未分配的IP地址,然后利用该IP地址去访问网络。这样,一切基于该IP地址的控制或计费都会发生错误,从而影响合法用户的网络的正常使用。
1.1 IP盗用的常用手段
(1)静态修改IP地址
对于任何一个TCP/IP实现来说,IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP地址盗用。由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改,而使用DHCP服务器动态分配IP地址,又会带来其它管理问题。
(2)修改IP地址、MAC地址对
MAC地址是设备的硬件地址,对于以太网来说,即俗称的网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,固化在网卡上,一般不能随意改动。但是,一些兼容网卡的MAC地址却可以使用配置程序修改。另外,对于那些MAC地址不能直接修改的网卡,用户还可以通过软件修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。MAC地址的可修改性,为成对修改IP-MAC地址提供了条件,这样能更好的隐蔽其真实身份,不易被发现。
(3)动态修改IP地址
对于一些黑客高手来说,他们直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP地址(或IP-MAC地址对),达到IP欺骗的目的。
综上所述,盗用者通过以上三种方式进行IP地址的修改来达到盗用目的。
1.2常见IP地址防盗方案
常见的IP防盗方案是IP地址、MAC地址的绑定或者路由器隔离技术建立的IP-MAC二元模型,虽然能够解决静态修改IP地址方式的IP盗用问题,但对于成对修改IP、MAC地址无能为力。其它防盗方案还有利用防火墙与代理服务器相结合的方案或利用在系统中增加透明网关,建立的IP-MAC-USER三元模型,对于非法用户盗用内部网合法用户IP地址无能为力,并且使用代理服务器访问外部网络很容易产生瓶颈问题,在一定程度上会影响用户访问网络的速度。由此可见,过去的防盗方案,在防止IP盗用的彻底性和对网络性能的低干扰性等方面各有所长,很难全面兼顾。
2 基于SNMP的四元模型的IP防盗新方法
在分析了现有的IP防盗技术的缺陷的基础上,提出用户注册信息和交换机控制相结合的一种基于SNMP的四元模型的防盗新技术。
2.1 IP防盗新技术的工作原理
简单网络管理协议SNMP(Simple Network Management Protocol)是由IETF(Internet Engineering Task Force)研究开发的。它提供一种监控和管理计算机网络的框架和协议,这个框架和协议被广泛应用于商业产品中,并成为网络管理事实上的标准。随着Internet的迅速发展,利用SNMP协议,采用周期主动轮询的方式,通过查询网络上各个交换机,获得所有在线用户的IP-MAC-PORT的对应关系,再与合法用户的注册用户信息库(USER元)进行对比,若不一致,即为IP盗用,根据注册用户信息库(USER元)的PORT信息,定位到盗用主机,并获得盗用者的详细信息。然后进行报警,通知网络管理员的同时对盗用者进行警告。最后进行阻断网络连接。
图1 基于SNMP四元模型的防盗系统功能模块图
2.2 系统实现总体框架
本文在深入研究了基于SNMP四元模型防盗新技术构建的方案之后,用C ,SNMP 开发包以及ASP实现了一个基于B/S结构的综合防盗系统。该系统采用用户层、应用层、接口层和事务层的4层模式结构来实现。由于该系统采用层次结构进行实现,各个层次之间相互独立,在本系统之上可以很容易的扩充每一层的功能,因此该系统具有良好的可扩展性。正是因为该系统采用分层的模式实现,许多原有的系统可以作为新系统的一部分存在于新系统中,因此该系统和原有系统有很好的兼容性。系统的总体实现框架如图2所示。
(1)用户层
对于本系统来说用户层就是网络管理员。网络管理员的职责是使用本系统来对网络中的IP盗用进行监测、定位、报警和阻断及恢复连接。由于本系统采用主动轮询模式进行设计,因此各个应用请求实际上是由系统中的虚拟用户发出,实现自动管理,无需网络管理员的干涉。由于系统采用的是B/S结构进行设计,因此用户层的操作平台是网络浏览器(Web Browser)。
图2 防盗方案实现总体框架
(2)应用层
应用层是整个系统的上层任务模式,在本系统中的任务模式是监测、定位、报警和阻断及恢复连接。在这四个模式之间存在一种顺序关系,即监听模块检测到IP盗用之后,然后激活定位模块对发生盗用的地址进行定位,定位之后随即进行报警和阻断。其中监测程序是一种实时监控程序,所以采用轮询方式,而其它模块则是中断类型的程序采用的是事件激活方式,即需要外部事件的驱动才会执行。应用层各种模式收到应用请求后会向接口层发出下级请求,待收到接口层的应答后对其进行运算和封装,最后向用户层发出应答。应用层各模式是采用ASP实现,其运行平台是Web服务器,本系统采用的是IIS服务器。
(3)接口层
由于不能直接与事务层发生消息传递,故它们之间需要一个通信接口。接口层是应用层和事务层之间的一个层次。这里之所以将接口单独作为一个层次是因为接口层是系统的兼容性和可扩展性的关键。从应用层发出的请求有数据库访问和和网管设备访问两种,因此接口层也必须提供两种接口。对于数据库接口,它目前已经存在同一的访问接口如ODBC,本系统采用的是ADO数据库接口。对于网管设备接口,网管设备目前尚未提供同一的Web访问接口,网管设备仅支持SNMP等访问方式,因此本系统采用C 和SNMP 开发出SNMP协议下的SNMP代理程序,负责向网管设备传递消息。在SNMP代理程序和应用层之间采用Windows脚本程序来完成接口功能。该层的运行平台操作系统,本系统采用的是Windows2000操作系统。
(4)事务层
事务层完成底层的原子事务操作。对于存放网管数据库的数据库服务器,它的任务是完成接收到的数据库查询、增加、删除和修改等事务请求,并将结果放回给上一层。本系统中有网络管理中心原有的用户注册信息数据库,以及本系统自身所需的IP盗用记录数据库。对于交换机等网管设备,其任务是完成来自SNMP管理程序的请求,本系统中的请求有查询MIB库和修改网络设备的端口属性。数据库的运行平台是数据库服务器,由于涉及到数据库有多种,因此数据库服务器也有多种,本系统用到的数据库服务器有SQL Server2000和ACCESS。
基于以上分析,在交换以太网环境下,开发一个管理工作站软件,周期轮询网络中各交换机,动态获得在线主机IP-MAC-PORT信息,并与已注册的合法用户的地址信息库进行对比,如发现不一致即为IP盗用;发现盗用之后,根据PORT信息结合user元定位盗用主机的信息,随即可得到盗用者的详细信息;再通过修改交换机控制访问的MIB,对盗用主机级联交换机端口进行关断和恢复。如此实现了四元模型的IP地址防盗方案。
3 开发工具及语言
程序开发的总体过程首先是采用C 语言和SNMP 开发包开发出SNMP中各种原语,用于和网管设备的通信,然后将协议原语封装到批处理命令中,用于通过批处理命令中的管道获取SNMP协议原语与网管设备通信的结果,最后用asp程序根据不同的应用模式需求通过调用WinScript脚本中的批处理来完成整个应用模式的设计。
4 IP防盗方案的优点
此方案能够有效的防止校园网IP地址的盗用:对于静态修改IP地址的用户,使用SNMP协议查询交换机与系统中存储的注册用户信息相比较,IP-MAC的对应关系不一致,发现盗用事件。对于成对修改IP-MAC地址的用户,使得MAC地址为注册用户的MAC地址(没有注册过的用户不能上网),IP地址是可用地址(合法的地址或未分配的地址),
结合系统中的注册用户信息(USER元)比较,由于IP-MAC和PORT的对应关系不一致,盗用者被查出。
5 结束语
在深入剖析SNMP协议之后,针对校园网的网络结构提出了一种基于SNMP的四元模型的IP防盗技术,该系统防盗效果好、易实施、灵活、扩展性强,具有检测、定位、报警、阻断通信等功能,为彻底解决IP地址盗用问题,提供了一种新的可行的技术手段。
参考文献:
[1]禇建立.基于多元绑定的校园网IP盗用解决方案探讨.计算机系统应用,2007,3:83-85.
[2]张春晖.SNMP协议的分析和应用.计算机研究,2000m10:55-57,
[3]张远明,初志刚.解决校园IP地址盗用问题的技术.吉林大学学报(理学版),2006,7:616-620.
收稿日期:2008-01-10
作者简介:刘欣荣(1977-),女,江西靖安人,山东工商学院讲师,硕士。
关键词:IP防盗;校园网; SNMP(简单网络管理协议)
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)06-1pppp-0c
New Technology Basedon SNMP to Solve IP Address Embezzlement at Campus Network Management
LIU Xin-rong
(Department of Computer,Shandong Institute of Business and Technology,Yantai 264005,China)
Abstract: IP address embezzlement is a common and very harmful factor in network management .It not only brings the negative effects to the network charging but also Destroys normal network operation and application. Consequently the solution of IP address embezzlement is the most important condition to guarantee the safe operation of campus network and trace or prevent attacks which stem from campus network. This paper regards the solution of IP address embezzlement as the starting point. After further investigating SNMP protocol, and aiming at the structure of our campus network, the author finally proposed a kind of new theft-proof scheme of four-layer model based on SNMP and user login at switch control.
Key words:IP Address Embezzlement;Campus Network;SNMP
二十世纪末,随着网络技术的突飞猛进,互联网的广泛应用,网络规模日益庞大,网络拓扑结构也越来越复杂,网络安全性要求变得越来越高。在校园网的管理中,IP地址的盗用对网络的正常运行是十分有害的。一方面,非法用户盗用合法用户的IP地址以获得特殊的访问权限,例如,盗用访问Internet的权限,盗用访问机密数据库的权限等,此种IP盗用,不仅干扰了合法用户正常网络访问,而且使网络安全受到威胁;另一方面,非法用户盗用未分配的IP地址,对正常的网络运行和应用进行破坏。因此解决IP地址盗用问题是保证校园网安全运行、防止来自校园网内部的网络攻击事件的首要条件。
1 IP地址盗用原理及常用手段
IP地址盗用就是盗用者将本机的IP地址修改为本子网内的另外一个合法用户的IP地址或未分配的IP地址,然后利用该IP地址去访问网络。这样,一切基于该IP地址的控制或计费都会发生错误,从而影响合法用户的网络的正常使用。
1.1 IP盗用的常用手段
(1)静态修改IP地址
对于任何一个TCP/IP实现来说,IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是授权机构分配的IP地址,就形成了IP地址盗用。由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改,而使用DHCP服务器动态分配IP地址,又会带来其它管理问题。
(2)修改IP地址、MAC地址对
MAC地址是设备的硬件地址,对于以太网来说,即俗称的网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,固化在网卡上,一般不能随意改动。但是,一些兼容网卡的MAC地址却可以使用配置程序修改。另外,对于那些MAC地址不能直接修改的网卡,用户还可以通过软件修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。MAC地址的可修改性,为成对修改IP-MAC地址提供了条件,这样能更好的隐蔽其真实身份,不易被发现。
(3)动态修改IP地址
对于一些黑客高手来说,他们直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP地址(或IP-MAC地址对),达到IP欺骗的目的。
综上所述,盗用者通过以上三种方式进行IP地址的修改来达到盗用目的。
1.2常见IP地址防盗方案
常见的IP防盗方案是IP地址、MAC地址的绑定或者路由器隔离技术建立的IP-MAC二元模型,虽然能够解决静态修改IP地址方式的IP盗用问题,但对于成对修改IP、MAC地址无能为力。其它防盗方案还有利用防火墙与代理服务器相结合的方案或利用在系统中增加透明网关,建立的IP-MAC-USER三元模型,对于非法用户盗用内部网合法用户IP地址无能为力,并且使用代理服务器访问外部网络很容易产生瓶颈问题,在一定程度上会影响用户访问网络的速度。由此可见,过去的防盗方案,在防止IP盗用的彻底性和对网络性能的低干扰性等方面各有所长,很难全面兼顾。
2 基于SNMP的四元模型的IP防盗新方法
在分析了现有的IP防盗技术的缺陷的基础上,提出用户注册信息和交换机控制相结合的一种基于SNMP的四元模型的防盗新技术。
2.1 IP防盗新技术的工作原理
简单网络管理协议SNMP(Simple Network Management Protocol)是由IETF(Internet Engineering Task Force)研究开发的。它提供一种监控和管理计算机网络的框架和协议,这个框架和协议被广泛应用于商业产品中,并成为网络管理事实上的标准。随着Internet的迅速发展,利用SNMP协议,采用周期主动轮询的方式,通过查询网络上各个交换机,获得所有在线用户的IP-MAC-PORT的对应关系,再与合法用户的注册用户信息库(USER元)进行对比,若不一致,即为IP盗用,根据注册用户信息库(USER元)的PORT信息,定位到盗用主机,并获得盗用者的详细信息。然后进行报警,通知网络管理员的同时对盗用者进行警告。最后进行阻断网络连接。
图1 基于SNMP四元模型的防盗系统功能模块图
2.2 系统实现总体框架
本文在深入研究了基于SNMP四元模型防盗新技术构建的方案之后,用C ,SNMP 开发包以及ASP实现了一个基于B/S结构的综合防盗系统。该系统采用用户层、应用层、接口层和事务层的4层模式结构来实现。由于该系统采用层次结构进行实现,各个层次之间相互独立,在本系统之上可以很容易的扩充每一层的功能,因此该系统具有良好的可扩展性。正是因为该系统采用分层的模式实现,许多原有的系统可以作为新系统的一部分存在于新系统中,因此该系统和原有系统有很好的兼容性。系统的总体实现框架如图2所示。
(1)用户层
对于本系统来说用户层就是网络管理员。网络管理员的职责是使用本系统来对网络中的IP盗用进行监测、定位、报警和阻断及恢复连接。由于本系统采用主动轮询模式进行设计,因此各个应用请求实际上是由系统中的虚拟用户发出,实现自动管理,无需网络管理员的干涉。由于系统采用的是B/S结构进行设计,因此用户层的操作平台是网络浏览器(Web Browser)。
图2 防盗方案实现总体框架
(2)应用层
应用层是整个系统的上层任务模式,在本系统中的任务模式是监测、定位、报警和阻断及恢复连接。在这四个模式之间存在一种顺序关系,即监听模块检测到IP盗用之后,然后激活定位模块对发生盗用的地址进行定位,定位之后随即进行报警和阻断。其中监测程序是一种实时监控程序,所以采用轮询方式,而其它模块则是中断类型的程序采用的是事件激活方式,即需要外部事件的驱动才会执行。应用层各种模式收到应用请求后会向接口层发出下级请求,待收到接口层的应答后对其进行运算和封装,最后向用户层发出应答。应用层各模式是采用ASP实现,其运行平台是Web服务器,本系统采用的是IIS服务器。
(3)接口层
由于不能直接与事务层发生消息传递,故它们之间需要一个通信接口。接口层是应用层和事务层之间的一个层次。这里之所以将接口单独作为一个层次是因为接口层是系统的兼容性和可扩展性的关键。从应用层发出的请求有数据库访问和和网管设备访问两种,因此接口层也必须提供两种接口。对于数据库接口,它目前已经存在同一的访问接口如ODBC,本系统采用的是ADO数据库接口。对于网管设备接口,网管设备目前尚未提供同一的Web访问接口,网管设备仅支持SNMP等访问方式,因此本系统采用C 和SNMP 开发出SNMP协议下的SNMP代理程序,负责向网管设备传递消息。在SNMP代理程序和应用层之间采用Windows脚本程序来完成接口功能。该层的运行平台操作系统,本系统采用的是Windows2000操作系统。
(4)事务层
事务层完成底层的原子事务操作。对于存放网管数据库的数据库服务器,它的任务是完成接收到的数据库查询、增加、删除和修改等事务请求,并将结果放回给上一层。本系统中有网络管理中心原有的用户注册信息数据库,以及本系统自身所需的IP盗用记录数据库。对于交换机等网管设备,其任务是完成来自SNMP管理程序的请求,本系统中的请求有查询MIB库和修改网络设备的端口属性。数据库的运行平台是数据库服务器,由于涉及到数据库有多种,因此数据库服务器也有多种,本系统用到的数据库服务器有SQL Server2000和ACCESS。
基于以上分析,在交换以太网环境下,开发一个管理工作站软件,周期轮询网络中各交换机,动态获得在线主机IP-MAC-PORT信息,并与已注册的合法用户的地址信息库进行对比,如发现不一致即为IP盗用;发现盗用之后,根据PORT信息结合user元定位盗用主机的信息,随即可得到盗用者的详细信息;再通过修改交换机控制访问的MIB,对盗用主机级联交换机端口进行关断和恢复。如此实现了四元模型的IP地址防盗方案。
3 开发工具及语言
程序开发的总体过程首先是采用C 语言和SNMP 开发包开发出SNMP中各种原语,用于和网管设备的通信,然后将协议原语封装到批处理命令中,用于通过批处理命令中的管道获取SNMP协议原语与网管设备通信的结果,最后用asp程序根据不同的应用模式需求通过调用WinScript脚本中的批处理来完成整个应用模式的设计。
4 IP防盗方案的优点
此方案能够有效的防止校园网IP地址的盗用:对于静态修改IP地址的用户,使用SNMP协议查询交换机与系统中存储的注册用户信息相比较,IP-MAC的对应关系不一致,发现盗用事件。对于成对修改IP-MAC地址的用户,使得MAC地址为注册用户的MAC地址(没有注册过的用户不能上网),IP地址是可用地址(合法的地址或未分配的地址),
结合系统中的注册用户信息(USER元)比较,由于IP-MAC和PORT的对应关系不一致,盗用者被查出。
5 结束语
在深入剖析SNMP协议之后,针对校园网的网络结构提出了一种基于SNMP的四元模型的IP防盗技术,该系统防盗效果好、易实施、灵活、扩展性强,具有检测、定位、报警、阻断通信等功能,为彻底解决IP地址盗用问题,提供了一种新的可行的技术手段。
参考文献:
[1]禇建立.基于多元绑定的校园网IP盗用解决方案探讨.计算机系统应用,2007,3:83-85.
[2]张春晖.SNMP协议的分析和应用.计算机研究,2000m10:55-57,
[3]张远明,初志刚.解决校园IP地址盗用问题的技术.吉林大学学报(理学版),2006,7:616-620.
收稿日期:2008-01-10
作者简介:刘欣荣(1977-),女,江西靖安人,山东工商学院讲师,硕士。