嵌入式網(wǎng)絡(luò )地址監控系統研究與設計

很多中小型企業(yè)在網(wǎng)絡(luò )安全方面的投入很少，通常僅依靠帶簡(jiǎn)單防火墻功能的寬帶路由器設備，這雖然能夠防止外部黑客的入侵，但對處在防火墻內部的員工或訪(fǎng)客造成的安全問(wèn)題沒(méi)有任何作用。由于安全意識的缺失，在網(wǎng)絡(luò )布線(xiàn)工程完成之后，就很少投入人力物力，很少配備專(zhuān)職的網(wǎng)絡(luò )管理員，因此很容易出現各式各樣的網(wǎng)絡(luò )安全事件。最常見(jiàn)的問(wèn)題是網(wǎng)絡(luò )IP地址盜用問(wèn)題。

本文給出一種利用SoPC(System-on-a-Programmable-Chip)技術(shù)實(shí)現的、面向中小網(wǎng)絡(luò )、低價(jià)位、可靠的嵌入式IP地址防盜監控方案。從管理學(xué)層面對網(wǎng)內IP地址的管理進(jìn)行探討;在技術(shù)層面研究網(wǎng)絡(luò )協(xié)議，分析發(fā)生原理，找出IP地址盜用問(wèn)題的原因和表現形式，從而找出根治辦法,在實(shí)現層面對開(kāi)放源代碼的嵌入式操作系統進(jìn)行深入分析和裁剪，利用嵌入式系統開(kāi)發(fā)技術(shù)，實(shí)現基于嵌入式硬件的網(wǎng)絡(luò )監控，能顯著(zhù)降低企業(yè)中兼職網(wǎng)管的工作量，確保網(wǎng)絡(luò )正常使用。

1 地址防盜機理

1.1 地址盜用分析

經(jīng)過(guò)對企業(yè)網(wǎng)絡(luò )跟蹤監控發(fā)現，地址盜用的用戶(hù)，除Legitimate(合法的)用戶(hù)以外，還有3種類(lèi)型的惡意用戶(hù)：Masquerader(偽裝者)、Misfeasor(違法者)和Clandestined User(秘密活動(dòng)者)[1]。

(1) Masquerader：此類(lèi)人可能是為了逃避網(wǎng)絡(luò )計費，事先收集到別的用戶(hù)地址，用IP地址盜用的辦法，將網(wǎng)絡(luò )流量計費轉嫁到他人身上。

(2) Misfeasor：此類(lèi)人一般是合法用戶(hù)，由于重裝系統等因素重新設定IP地址，但是輸入錯誤或是忘記自己的合法地址而胡亂設置。近兩年ARP類(lèi)病毒或木馬也造成類(lèi)似的網(wǎng)絡(luò )故障。

(3) Clandestined User：此類(lèi)人可能是無(wú)上網(wǎng)權限的人或外來(lái)人員，為了某種目的，隱藏自己的身份或企圖冒充合法用戶(hù)身份來(lái)逃避追蹤。

1.2 對策分析

為了解決這些問(wèn)題，大型網(wǎng)絡(luò )一般采用可網(wǎng)管型交換機進(jìn)行地址綁定，更好的方式是用認證計費系統，但硬件改造投資比較大，不適合小規模網(wǎng)絡(luò )。中小型企業(yè)網(wǎng)中更多的是依靠兼職網(wǎng)管人工操作，工作量非常大。故采用嵌入式技術(shù)開(kāi)發(fā)廉價(jià)的網(wǎng)絡(luò )地址監控系統，以實(shí)現實(shí)時(shí)監控和自動(dòng)化響應與處理。

對網(wǎng)絡(luò )進(jìn)行全天候監控，將網(wǎng)絡(luò )上所有ARP廣播信息截獲，提取信息生成IP-MAC二元組對照表。對當前網(wǎng)段所有未用IP地址也生成特殊的IP-MAC二元組，即MAC字段設為000000000001這種非法的值。該表經(jīng)由網(wǎng)管員確認后，作為合法用戶(hù)表。如果網(wǎng)管員無(wú)暇處理時(shí)，自動(dòng)對某一時(shí)間段的數據利用概率統計算法生成該表。

對于Masquerader和Misfeasor：對照合法用戶(hù)列表，只需發(fā)現ARP廣播包中IP-MAC二元組不相符合，就表明有盜用的嫌疑。如果此用戶(hù)是Legitimate，會(huì )自行重復修改IP地址，不斷試驗，此時(shí)發(fā)送一個(gè)ARP-Relay包，告知該IP已經(jīng)使用，則對方的PC機會(huì )提示“IP地址重復”并自動(dòng)禁用網(wǎng)卡的TCP/IP棧。系統自動(dòng)記錄盜用次數，如果發(fā)現超過(guò)設定次數，最終封閉MAC地址，并產(chǎn)生Alert消息，由網(wǎng)管員通過(guò)行政手段處理。ARP類(lèi)病毒或木馬，一種是盜用網(wǎng)關(guān)設備的地址，攔截用戶(hù)發(fā)送的數據；一種是盜用用戶(hù)的IP從中截獲數據。還有些蠕蟲(chóng)病毒為了加快傳播，會(huì )發(fā)送虛假的IP數據包，處理方法同上。

對于Clandestined User：通常先利用可上網(wǎng)的電腦來(lái)探測網(wǎng)絡(luò )，找出合法IP及對應的MAC地址，通過(guò)修改網(wǎng)卡的Flash芯片或者修改注冊表，獲得合法地址，繼而進(jìn)行秘密活動(dòng)。這是最復雜的情況，即使合法用戶(hù)和盜用者同時(shí)開(kāi)機，也不會(huì )出現IP沖突的提示。但對于可網(wǎng)管型的交換機內部維護的FDB(Forwarding Database)地址表中，相應的MAC地址對應的端口就會(huì )經(jīng)常變化，據此就能予以辨別，隨后詳細記錄日志，并發(fā)送警報信息通知管理員處理。這樣就需要監控器能讀取FDB表，才能得知是否有相同的MAC從不同端口進(jìn)入，進(jìn)而關(guān)閉該端口，隔離破壞者。

1.3 封鎖方法

為了封鎖用戶(hù)上網(wǎng)，一般需要可網(wǎng)管交換機的配合。一般中小企業(yè)的核心交換機通常都是可網(wǎng)管型的，但是配置交換機需要專(zhuān)業(yè)人士，本設備可以實(shí)現自動(dòng)配置，降低了對網(wǎng)管的技術(shù)要求。與交換機交互設置的常見(jiàn)方案為采用SNMP協(xié)議，但由于編程復雜，且很多交換機廠(chǎng)商并沒(méi)有嚴格遵循SNMP協(xié)議，故很難實(shí)現。本設備采用另外一種方法，就是模擬管理員手工配置交換機的過(guò)程，先利用Telnet協(xié)議登錄交換機，輸入用戶(hù)名和密碼，再輸入超級管理員密碼，發(fā)送配置指令。例如要禁止MAC地址為000c.2927.fe4d的計算機，在港灣的交換機上輸入命令：

C:telnet xxx.xxx.xxxx.xxx(核心交換機IP）

Login:admin 輸入用戶(hù)名和密碼

Password:

Harbour>en 進(jìn)入特權模式，輸入超極管理員密碼

2 系統功能設計

2.1 功能

(1) IP沖突檢測與處理：判斷IP的合法性，再對檢測出的非法IP依據既定的處理方式進(jìn)行處理，從而有效防止局域網(wǎng)內的IP沖突和盜用。

(2) 計算機聯(lián)網(wǎng)信息統計：適時(shí)分析網(wǎng)內計算機的活動(dòng)狀況，把在線(xiàn)狀態(tài)、活動(dòng)時(shí)間等作為日志信息保存。為網(wǎng)絡(luò )管理員提供材料作為IP地址管理與分析的依據。

(3) 服務(wù)器通信：系統設置了NTP和FTP兩個(gè)服務(wù)器。NTP時(shí)間服務(wù)器部署在局域網(wǎng)內，做為本系統時(shí)間同步的時(shí)鐘源；FTP服務(wù)器用于保存系統日志文件，并存有系統使用的配置文件信息以及合法IP-MAC地址信息。

(4) 時(shí)間同步：時(shí)間同步是從局域網(wǎng)內的NTP時(shí)間服務(wù)器獲取當前標準時(shí)間，從而可以為本系統提供時(shí)間校準與維護。

硬件實(shí)現的基本功能如表1所示，軟件實(shí)現的基本功能如表2所示。


2.2 開(kāi)發(fā)平臺

本開(kāi)發(fā)平臺可選用SoPC技術(shù)[2]、單片機(MCU)和ARM嵌入式系統。由于單片機對TCP/IP協(xié)議棧支持很差，而ARM雖處理能力強，但有些大材小用，因此最終采用SoPC技術(shù)實(shí)現。在A(yíng)ltera DE2上進(jìn)行原型設計與開(kāi)發(fā)測試，最終使用HardCopy系列器件實(shí)現產(chǎn)品化。

2.3 系統使用方法

根據TCP/IP棧中ARP協(xié)議原理，計算機在開(kāi)始通信前都會(huì )發(fā)出廣播包，告知本機使用的IP地址信息，并獲取網(wǎng)管及各個(gè)服務(wù)器的IP-MAC信息。因此與其他網(wǎng)絡(luò )監控或入侵檢測系統不同，所安裝的網(wǎng)絡(luò )無(wú)需改造，也不用增加TAP(網(wǎng)絡(luò )分接器)或集線(xiàn)器等設備，接到核心交換機的任意端口即可。

3 硬件系統設計

本系統以嵌入式處理器NiosII[4]為核心，設計了顯示系統、存儲系統、鍵盤(pán)控制系統、網(wǎng)絡(luò )數據接口。系統框圖如圖1所示。

為了完成監視和控制功能，還需要利用網(wǎng)絡(luò )中的網(wǎng)管專(zhuān)用機提供FTP服務(wù)器完成日志的備份和配置信息的更新，并利用因特網(wǎng)上的NTP網(wǎng)絡(luò )時(shí)間服務(wù)器進(jìn)行自動(dòng)校時(shí)服務(wù)。

系統硬件在SoPC Builder上設計，采用的IP軟核清單如表3所示。

4 軟件系統設計

4.1操作系統選型

嵌入式操作系統有μcLinux、μC/OSII[3]、eCos。每個(gè)操作系統各有特色，從移植的難易程度、內核的大小、實(shí)時(shí)性等因素出發(fā)，選擇μC/OSII。NiosII IDE中嵌入了μC/OSII，可以快速地為NiosII處理器建立RTOS應用。這個(gè)內核是可移植、可固化、可裁剪，具有搶占式的實(shí)時(shí)多任務(wù)功能的操作系統。

4.2 TCP/IP協(xié)議棧選型

支持TCP/IP協(xié)議棧的主要有μIP、TinyTcp、μC/IP、lwIP幾種，每一種都有其特點(diǎn)與使用范圍。lwIP是開(kāi)源的輕量型協(xié)議棧，沒(méi)有操作系統針對性，通過(guò)系統模擬層將協(xié)議棧中與平臺相關(guān)的代碼抽象出來(lái)，具有靈活可移植性，并且lwIP網(wǎng)絡(luò )應用開(kāi)發(fā)提供了API接口，極大的方便了應用開(kāi)發(fā)。由于本系統開(kāi)發(fā)中選用的操作系統是μC/OS，且Nios II IDE支持lwIP協(xié)議棧，使得移植更方便，所以選用lwIP。

4.3 應用軟件功能設計

應用軟件是建立在操作系統基礎上的軟件系統，得益于μC/OSII良好的實(shí)時(shí)多進(jìn)程的優(yōu)點(diǎn)，能夠同時(shí)完成人機交互、數據處理等主要工作。最核心的功能模塊是IP沖突檢測與處理模塊，主要完成對ARP包的解析、判斷是否合法、記錄日志等工作。另一個(gè)模塊是包發(fā)送模塊，它是主動(dòng)方式運作，能夠掃描整個(gè)網(wǎng)絡(luò )，強制更新ARP表，對照合法的IP-MAC地址列表找出盜用者，還可以對盜用IP地址的人發(fā)出警告，阻止其上網(wǎng)，還可以探測并記錄各主機的開(kāi)機或關(guān)機狀態(tài)。

4.4 文件系統選型

本系統采用SD卡存儲數據，在其上建立文件存取時(shí)，首先要建立文件系統。表4是三種類(lèi)型數據文件所需的文件操作、保密要求及其空間占用情況。

Altera公司雖提供了Zip File System，但它在存儲介質(zhì)、存儲量以及寫(xiě)入操作方面已經(jīng)不能滿(mǎn)足要求；而SD卡的可拔插性和FAT/FAT32的通用性，使建立在SD卡上的FAT/FAT32并不具有很強的保密性，同時(shí)在寫(xiě)入數據到文件之前需要查表，不能滿(mǎn)足高速的要求，而且實(shí)現文件系統的建立也需要一定的代碼量；NTFS雖然具有保密性，但其存取速度同樣不能滿(mǎn)足要求，實(shí)現起來(lái)則更為復雜?；谝陨显?，本系統在實(shí)現了基本的SD卡讀取操作后，對SD卡存取空間進(jìn)行了劃分，實(shí)現了一個(gè)簡(jiǎn)單、高效同時(shí)具有保密性的自定義文件系統。對分區數據的讀寫(xiě)操作是通過(guò)對SD卡驅動(dòng)的直接讀寫(xiě)操作進(jìn)行簡(jiǎn)單封裝實(shí)現的，同時(shí)數據的存儲無(wú)需查表等額外操作，因此具有高效性。分區數據的記錄則是將需要存儲的數據放入程序內部的數據結構后寫(xiě)入SD卡來(lái)存儲的，具有一定的保密性。

4.5 網(wǎng)絡(luò )服務(wù)規劃

本設備可以作為手持式設備臨時(shí)地調試監控，也可以固定在機柜中進(jìn)行長(cháng)期觀(guān)察。為了方便網(wǎng)絡(luò )管理員的操作，提供了Telnet遠程操作功能，可以自動(dòng)將系統日志、警報信息等上傳至網(wǎng)管專(zhuān)用機上，還能自動(dòng)下載最新的配置文件進(jìn)行設置，并且，為了生成規范的日志，還提供了自動(dòng)校時(shí)功能。這些功能依次對應Telnet服務(wù)模塊、FTP服務(wù)模塊、NTP服務(wù)模塊。

4.6 軟件流程圖

應用軟件中最重要的模塊是IP沖突檢測與處理的實(shí)現。IP沖突檢測是在捕獲ARP包的基礎上對ARP包中的源IP和源MAC進(jìn)行分析，從而判斷該數據包的IP地址是否產(chǎn)生了沖突或者是非法的IP地址。其中檢測通過(guò)包的主分析進(jìn)程完成，其流程圖如圖2所示。處理操作通過(guò)包發(fā)送進(jìn)程完成，其流程如圖3所示。

基于SoPC技術(shù)，利用QuartusII開(kāi)發(fā)軟件，在以Nios II為核心的嵌入式系統設計平臺上進(jìn)行設計，能靈活、快捷地完成系統設計開(kāi)發(fā)。該設備使用方便、靈活、高效價(jià)格低廉，可作手持式臨時(shí)調試監控，也可長(cháng)期固定實(shí)現網(wǎng)絡(luò )監視和IP盜用處理，非常適合于中小企業(yè)網(wǎng)。