许多中小型企业在网络安全方面的投入很少,一般仅依托带简略防火墙功用的宽带路由器设备,这尽管能够避免外部黑客的侵略,但对处在防火墙内部的职工或访客形成的安全问题没有任何效果。因为安全意识的缺失,在网络布线工程完结之后,就很少投入人力物力,很少装备专职的网络办理员,因而很简略呈现林林总总的网络安全事情。最常见的问题是网络IP地址盗用问题。
本文给出一种运用SoPC(System-on-a-Programmable-Chip)技能完结的、面向中小网络、低价位、牢靠的嵌入式IP地址防盗监控计划。从办理学层面临网内IP地址的办理进行讨论;在技能层面研讨网络协议,剖析发生原理,找出IP地址盗用问题的原因和表现形式,然后找出彻底治愈办法,在完结层面临开放源代码的嵌入式操作体系进行深入剖析和裁剪,运用嵌入式体系开发技能,完结依据嵌入式硬件的网络监控,能明显下降企业中兼职网管的作业量,保证网络正常运用。
1 地址防盗机理
1.1 地址盗用剖析
经过对企业网络盯梢监控发现,地址盗用的用户,除Legitimate(合法的)用户以外,还有3种类型的歹意用户:Masquerader(伪装者)、Misfeasor(违法者)和Clandestined User(秘密活动者)[1]。
(1) Masquerader:此类人或许是为了躲避网络计费,事前收集到其他用户地址,用IP地址盗用的办法,将网络流量计费转嫁到别人身上。
(2) Misfeasor:此类人一般是合法用户,因为重装体系等要素从头设定IP地址,可是输入过错或是忘掉自己的合法地址而胡乱设置。近两年ARP类病毒或木马也形成相似的网络故障。
(3) Clandestined User:此类人或许是无上网权限的人或外来人员,为了某种意图,躲藏自己的身份或妄图假充合法用户身份来躲避追寻。
1.2 对策剖析
为了处理这些问题,大型网络一般选用可网管型交流机进行地址绑定,更好的办法是用认证计费体系,但硬件改造出资比较大,不适合小规模网络。中小型企业网中更多的是依托兼职网管人工操作,作业量十分大。故选用嵌入式技能开发廉价的网络地址监控体系,以完结实时监控和主动化响应与处理。
对网络进行全天候监控,将网络上一切ARP播送信息截获,提取信息生成IP-MAC二元组对照表。对当时网段一切未用IP地址也生成特别的IP-MAC二元组,即MAC字段设为000000000001这种不合法的值。该表经由网管员承认后,作为合法用户表。假如网管员无暇处理时,主动对某一时刻段的数据运用概率计算算法生成该表。
关于Masquerader和Misfeasor:对照合法用户列表,只需发现ARP播送包中IP-MAC二元组不相契合,就标明有盗用的嫌疑。假如此用户是Legitimate,会自行重复修正IP地址,不断实验,此刻发送一个ARP-Relay包,奉告该IP现已运用,则对方的PC时机提示“IP地址重复”并主动禁用网卡的TCP/IP栈。体系主动记载盗用次数,假如发现超越设定次数,终究封闭MAC地址,并发生Alert音讯,由网管员经过行政手法处理。ARP类病毒或木马,一种是盗用网关设备的地址,阻拦用户发送的数据;一种是盗用用户的IP从中截获数据。还有些蠕虫病毒为了加速传达,会发送虚伪的IP数据包,处理办法同上。
关于Clandestined User:一般先运用可上网的电脑来勘探网络,找出合法IP及对应的MAC地址,经过修正网卡的Flash芯片或许修正注册表,取得合法地址,继而进行秘密活动。这是最杂乱的状况,即便合法用户和盗用者一起开机,也不会呈现IP抵触的提示。但关于可网管型的交流机内部保护的FDB(Forwarding Database)地址表中,相应的MAC地址对应的端口就会常常改变,据此就能予以区分,随后具体记载日志,并发送警报信息告诉办理员处理。这样就需求监控器能读取FDB表,才干得知是否有相同的MAC从不同端口进入,然后封闭该端口,阻隔破坏者。
1.3 封闭办法
为了封闭用户上网,一般需求可网管交流机的合作。一般中小企业的中心交流机一般都是可网管型的,可是装备交流机需求专业人士,本设备能够完结主动装备,下降了对网管的技能要求。与交流机交互设置的常见计划为选用SNMP协议,但因为编程杂乱,且许多交流机厂商并没有严厉遵从SNMP协议,故很难完结。本设备选用别的一种办法,便是模仿办理员手艺装备交流机的进程,先运用Telnet协议登录交流机,输入用户名和暗码,再输入超级办理员暗码,发送装备指令。例如要制止MAC地址为000c.2927.fe4d的计算机,在港湾的交流机上输入指令:
C:telnet xxx.xxx.xxxx.xxx(中心交流机IP)
Login:admin 输入用户名和暗码
Password:
Harbour>en 进入特权形式,输入超极办理员暗码
2 体系功用规划
2.1 功用
(1) IP抵触检测与处理:判别IP的合法性,再对检测出的不合法IP依据既定的处理办法进行处理,然后有用避免局域网内的IP抵触和盗用。
(2) 计算机联网信息计算:当令剖析网内计算机的活动状况,把在线状况、活动时刻等作为日志信息保存。为网络办理员供给资料作为IP地址办理与剖析的依据。
(3) 服务器通讯:体系设置了NTP和FTP两个服务器。NTP时刻服务器布置在局域网内,做为本体系时刻同步的时钟源;FTP服务器用于保存体系日志文件,并存有体系运用的装备文件信息以及合法IP-MAC地址信息。
(4) 时刻同步:时刻同步是从局域网内的NTP时刻服务器获取当时标准时刻,然后能够为本体系供给时刻校准与保护。
硬件完结的根本功用如表1所示,软件完结的根本功用如表2所示。
2.2 开发渠道
本开发渠道可选用SoPC技能[2]、单片机(MCU)和ARM嵌入式体系。因为单片机对TCP/IP协议栈支撑很差,而ARM虽处理能力强,但有些大材小用,因而终究选用SoPC技能完结。在Altera DE2上进行原型规划与开发测验,终究运用HardCopy系列器材完结产品化。
2.3 体系运用办法
依据TCP/IP栈中ARP协议原理,计算机在开端通讯前都会宣布播送包,奉告本机运用的IP地址信息,并获取网管及各个服务器的IP-MAC信息。因而与其他网络监控或侵略检测体系不同,所装置的网络无需改造,也不必添加TAP(网络分接器)或集线器等设备,接到中心交流机的恣意端口即可。
3 硬件体系规划
本体系以嵌入式处理器NiosII[4]为中心,规划了显现体系、存储体系、键盘操控体系、网络数据接口。体系框图如图1所示。
为了完结监督和操控功用,还需求运用网络中的网管专用机供给FTP服务器完结日志的备份和装备信息的更新,并运用因特网上的NTP网络时刻服务器进行主动校时服务。
体系硬件在SoPC Builder上规划,选用的IP软核清单如表3所示。
4 软件体系规划
4.1操作体系选型
嵌入式操作体系有μcLinux、μC/OSII[3]、eCos。每个操作体系各有特色,从移植的难易程度、内核的巨细、实时性等要素动身,挑选μC/OSII。NiosII IDE中嵌入了μC/OSII,能够快速地为NiosII处理器树立RTOS使用。这个内核是可移植、可固化、可裁剪,具有抢占式的实时多任务功用的操作体系。
4.2 TCP/IP协议栈选型
支撑TCP/IP协议栈的首要有μIP、TinyTcp、μC/IP、lwIP几种,每一种都有其特色与运用范围。lwIP是开源的轻量型协议栈,没有操作体系针对性,经过体系模仿层将协议栈中与渠道相关的代码笼统出来,具有灵敏可移植性,而且lwIP网络使用开发供给了API接口,极大的便利了使用开发。因为本体系开发中选用的操作体系是μC/OS,且Nios II IDE支撑lwIP协议栈,使得移植更便利,所以选用lwIP。
4.3 使用软件功用规划
使用软件是树立在操作体系基础上的软件体系,得益于μC/OSII杰出的实时多进程的长处,能够一起完结人机交互、数据处理等首要作业。最中心的功用模块是IP抵触检测与处理模块,首要完结对ARP包的解析、判别是否合法、记载日志等作业。另一个模块是包发送模块,它是主动办法运作,能够扫描整个网络,强制更新ARP表,对照合法的IP-MAC地址列表找出盗用者,还能够对盗用IP地址的人宣布正告,阻挠其上网,还能够勘探并记载各主机的开机或关机状况。
4.4 文件体系选型
本体系选用SD卡存储数据,在其上树立文件存取时,首先要树立文件体系。表4是三种类型数据文件所需的文件操作、保密要求及其空间占用状况。
Altera公司虽供给了Zip File System,但它在存储介质、存储量以及写入操作方面现已不能满意要求;而SD卡的可拔插性和FAT/FAT32的通用性,使树立在SD卡上的FAT/FAT32并不具有很强的保密性,一起在写入数据到文件之前需求查表,不能满意高速的要求,而且完结文件体系的树立也需求必定的代码量;NTFS尽管具有保密性,但其存取速度相同不能满意要求,完结起来则更为杂乱。依据以上原因,本体系在完结了根本的SD卡读取操作后,对SD卡存取空间进行了区分,完结了一个简略、高效一起具有保密性的自定义文件体系。对分区数据的读写操作是经过对SD卡驱动的直接读写操作进行简略封装完结的,一起数据的存储无需查表等额定操作,因而具有高效性。分区数据的记载则是将需求存储的数据放入程序内部的数据结构后写入SD卡来存储的,具有必定的保密性。
4.5 网络服务规划
本设备能够作为手持式设备暂时地调试监控,也能够固定在机柜中进行长时间调查。为了便利网络办理员的操作,供给了Telnet长途操作功用,能够主动将体系日志、警报信息等上传至网管专用机上,还能主动下载最新的装备文件进行设置,而且,为了生成标准的日志,还供给了主动校时功用。这些功用顺次对应Telnet服务模块、FTP服务模块、NTP服务模块。
4.6 软件流程图
使用软件中最重要的模块是IP抵触检测与处理的完结。IP抵触检测是在捕获ARP包的基础上对ARP包中的源IP和源MAC进行剖析,然后判别该数据包的IP地址是否发生了抵触或许是不合法的IP地址。其间检测经过包的主剖析进程完结,其流程图如图2所示。处理操作经过包发送进程完结,其流程如图3所示。
依据SoPC技能,运用QuartusII开发软件,在以Nios II为中心的嵌入式体系规划渠道上进行规划,能灵敏、方便地完结体系规划开发。该设备运用便利、灵敏、高效价格低廉,可作手持式暂时调试监控,也可长时间固定完结网络监督和IP盗用处理,十分适合于中小企业网。
