摘要：隨著校園網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，用戶數(shù)量也不斷的增加，各種病毒與木馬程序的泛濫，使得IP地址盜用十分普遍。不僅給網(wǎng)絡(luò)計(jì)費(fèi)帶來(lái)了負(fù)面影響，而且破壞了正常的網(wǎng)絡(luò)運(yùn)行和應(yīng)用，因此解決IP地址盜用問(wèn)題是保證校園網(wǎng)安全運(yùn)行、追查和防止來(lái)自校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)攻擊事件的首要條件。本文以解決IP地址盜用問(wèn)題為出發(fā)點(diǎn)，提出了用戶注冊(cè)和交換機(jī)控制相結(jié)合的一種基于SNMP的四元模型的新防盜技術(shù)。

關(guān)鍵詞：IP防盜；校園網(wǎng)； SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)06-1pppp-0c

New Technology Basedon SNMP to Solve IP Address Embezzlement at Campus Network Management

LIU Xin-rong

(Department of Computer，Shandong Institute of Business and Technology，Yantai 264005，China)

Abstract: IP address embezzlement is a common and very harmful factor in network management .It not only brings the negative effects to the network charging but also Destroys normal network operation and application. Consequently the solution of IP address embezzlement is the most important condition to guarantee the safe operation of campus network and trace or prevent attacks which stem from campus network. This paper regards the solution of IP address embezzlement as the starting point. After further investigating SNMP protocol， and aiming at the structure of our campus network， the author finally proposed a kind of new theft-proof scheme of four-layer model based on SNMP and user login at switch control.

Key words:IP Address Embezzlement;Campus Network;SNMP

二十世紀(jì)末，隨著網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn)，互聯(lián)網(wǎng)的廣泛應(yīng)用，網(wǎng)絡(luò)規(guī)模日益龐大，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也越來(lái)越復(fù)雜，網(wǎng)絡(luò)安全性要求變得越來(lái)越高。在校園網(wǎng)的管理中，IP地址的盜用對(duì)網(wǎng)絡(luò)的正常運(yùn)行是十分有害的。一方面，非法用戶盜用合法用戶的IP地址以獲得特殊的訪問(wèn)權(quán)限，例如，盜用訪問(wèn)Internet的權(quán)限，盜用訪問(wèn)機(jī)密數(shù)據(jù)庫(kù)的權(quán)限等，此種IP盜用，不僅干擾了合法用戶正常網(wǎng)絡(luò)訪問(wèn)，而且使網(wǎng)絡(luò)安全受到威脅；另一方面，非法用戶盜用未分配的IP地址，對(duì)正常的網(wǎng)絡(luò)運(yùn)行和應(yīng)用進(jìn)行破壞。因此解決IP地址盜用問(wèn)題是保證校園網(wǎng)安全運(yùn)行、防止來(lái)自校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)攻擊事件的首要條件。

1 IP地址盜用原理及常用手段

IP地址盜用就是盜用者將本機(jī)的IP地址修改為本子網(wǎng)內(nèi)的另外一個(gè)合法用戶的IP地址或未分配的IP地址，然后利用該IP地址去訪問(wèn)網(wǎng)絡(luò)。這樣，一切基于該IP地址的控制或計(jì)費(fèi)都會(huì)發(fā)生錯(cuò)誤，從而影響合法用戶的網(wǎng)絡(luò)的正常使用。

1.1 IP盜用的常用手段

(1)靜態(tài)修改IP地址

對(duì)于任何一個(gè)TCP/IP實(shí)現(xiàn)來(lái)說(shuō)，IP地址都是其用戶配置的必選項(xiàng)。如果用戶在配置TCP/IP或修改TCP/IP配置時(shí)，使用的不是授權(quán)機(jī)構(gòu)分配的IP地址，就形成了IP地址盜用。由于IP地址是一個(gè)邏輯地址，是一個(gè)需要用戶設(shè)置的值，因此無(wú)法限制用戶對(duì)于IP地址的靜態(tài)修改，而使用DHCP服務(wù)器動(dòng)態(tài)分配IP地址，又會(huì)帶來(lái)其它管理問(wèn)題。

(2)修改IP地址、MAC地址對(duì)

MAC地址是設(shè)備的硬件地址，對(duì)于以太網(wǎng)來(lái)說(shuō)，即俗稱的網(wǎng)卡地址。每一個(gè)網(wǎng)卡的MAC地址在所有以太網(wǎng)設(shè)備中必須是唯一的，它由IEEE分配，固化在網(wǎng)卡上，一般不能隨意改動(dòng)。但是，一些兼容網(wǎng)卡的MAC地址卻可以使用配置程序修改。另外，對(duì)于那些MAC地址不能直接修改的網(wǎng)卡，用戶還可以通過(guò)軟件修改MAC地址，即通過(guò)修改底層網(wǎng)絡(luò)軟件達(dá)到欺騙上層網(wǎng)絡(luò)軟件的目的。MAC地址的可修改性，為成對(duì)修改IP-MAC地址提供了條件，這樣能更好的隱蔽其真實(shí)身份，不易被發(fā)現(xiàn)。

(3)動(dòng)態(tài)修改IP地址

對(duì)于一些黑客高手來(lái)說(shuō)，他們直接編寫程序在網(wǎng)絡(luò)上收發(fā)數(shù)據(jù)包，繞過(guò)上層網(wǎng)絡(luò)軟件，動(dòng)態(tài)修改自己的IP地址(或IP-MAC地址對(duì))，達(dá)到IP欺騙的目的。

綜上所述，盜用者通過(guò)以上三種方式進(jìn)行IP地址的修改來(lái)達(dá)到盜用目的。

1.2常見(jiàn)IP地址防盜方案

常見(jiàn)的IP防盜方案是IP地址、MAC地址的綁定或者路由器隔離技術(shù)建立的IP-MAC二元模型，雖然能夠解決靜態(tài)修改IP地址方式的IP盜用問(wèn)題，但對(duì)于成對(duì)修改IP、MAC地址無(wú)能為力。其它防盜方案還有利用防火墻與代理服務(wù)器相結(jié)合的方案或利用在系統(tǒng)中增加透明網(wǎng)關(guān)，建立的IP-MAC-USER三元模型，對(duì)于非法用戶盜用內(nèi)部網(wǎng)合法用戶IP地址無(wú)能為力，并且使用代理服務(wù)器訪問(wèn)外部網(wǎng)絡(luò)很容易產(chǎn)生瓶頸問(wèn)題，在一定程度上會(huì)影響用戶訪問(wèn)網(wǎng)絡(luò)的速度。由此可見(jiàn)，過(guò)去的防盜方案，在防止IP盜用的徹底性和對(duì)網(wǎng)絡(luò)性能的低干擾性等方面各有所長(zhǎng)，很難全面兼顧。

2 基于SNMP的四元模型的IP防盜新方法

在分析了現(xiàn)有的IP防盜技術(shù)的缺陷的基礎(chǔ)上，提出用戶注冊(cè)信息和交換機(jī)控制相結(jié)合的一種基于SNMP的四元模型的防盜新技術(shù)。

2.1 IP防盜新技術(shù)的工作原理

簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP（Simple Network Management Protocol）是由IETF(Internet Engineering Task Force)研究開(kāi)發(fā)的。它提供一種監(jiān)控和管理計(jì)算機(jī)網(wǎng)絡(luò)的框架和協(xié)議，這個(gè)框架和協(xié)議被廣泛應(yīng)用于商業(yè)產(chǎn)品中，并成為網(wǎng)絡(luò)管理事實(shí)上的標(biāo)準(zhǔn)。隨著Internet的迅速發(fā)展，利用SNMP協(xié)議，采用周期主動(dòng)輪詢的方式，通過(guò)查詢網(wǎng)絡(luò)上各個(gè)交換機(jī)，獲得所有在線用戶的IP-MAC-PORT的對(duì)應(yīng)關(guān)系，再與合法用戶的注冊(cè)用戶信息庫(kù)（USER元）進(jìn)行對(duì)比，若不一致，即為IP盜用，根據(jù)注冊(cè)用戶信息庫(kù)（USER元）的PORT信息，定位到盜用主機(jī)，并獲得盜用者的詳細(xì)信息。然后進(jìn)行報(bào)警，通知網(wǎng)絡(luò)管理員的同時(shí)對(duì)盜用者進(jìn)行警告。最后進(jìn)行阻斷網(wǎng)絡(luò)連接。

圖1 基于SNMP四元模型的防盜系統(tǒng)功能模塊圖

2.2 系統(tǒng)實(shí)現(xiàn)總體框架

本文在深入研究了基于SNMP四元模型防盜新技術(shù)構(gòu)建的方案之后，用C++，SNMP++開(kāi)發(fā)包以及ASP實(shí)現(xiàn)了一個(gè)基于B/S結(jié)構(gòu)的綜合防盜系統(tǒng)。該系統(tǒng)采用用戶層、應(yīng)用層、接口層和事務(wù)層的4層模式結(jié)構(gòu)來(lái)實(shí)現(xiàn)。由于該系統(tǒng)采用層次結(jié)構(gòu)進(jìn)行實(shí)現(xiàn)，各個(gè)層次之間相互獨(dú)立，在本系統(tǒng)之上可以很容易的擴(kuò)充每一層的功能，因此該系統(tǒng)具有良好的可擴(kuò)展性。正是因?yàn)樵撓到y(tǒng)采用分層的模式實(shí)現(xiàn)，許多原有的系統(tǒng)可以作為新系統(tǒng)的一部分存在于新系統(tǒng)中，因此該系統(tǒng)和原有系統(tǒng)有很好的兼容性。系統(tǒng)的總體實(shí)現(xiàn)框架如圖2所示。

(1)用戶層

對(duì)于本系統(tǒng)來(lái)說(shuō)用戶層就是網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員的職責(zé)是使用本系統(tǒng)來(lái)對(duì)網(wǎng)絡(luò)中的IP盜用進(jìn)行監(jiān)測(cè)、定位、報(bào)警和阻斷及恢復(fù)連接。由于本系統(tǒng)采用主動(dòng)輪詢模式進(jìn)行設(shè)計(jì)，因此各個(gè)應(yīng)用請(qǐng)求實(shí)際上是由系統(tǒng)中的虛擬用戶發(fā)出，實(shí)現(xiàn)自動(dòng)管理，無(wú)需網(wǎng)絡(luò)管理員的干涉。由于系統(tǒng)采用的是B/S結(jié)構(gòu)進(jìn)行設(shè)計(jì)，因此用戶層的操作平臺(tái)是網(wǎng)絡(luò)瀏覽器(Web Browser)。

圖2 防盜方案實(shí)現(xiàn)總體框架

(2)應(yīng)用層

應(yīng)用層是整個(gè)系統(tǒng)的上層任務(wù)模式，在本系統(tǒng)中的任務(wù)模式是監(jiān)測(cè)、定位、報(bào)警和阻斷及恢復(fù)連接。在這四個(gè)模式之間存在一種順序關(guān)系，即監(jiān)聽(tīng)模塊檢測(cè)到IP盜用之后，然后激活定位模塊對(duì)發(fā)生盜用的地址進(jìn)行定位，定位之后隨即進(jìn)行報(bào)警和阻斷。其中監(jiān)測(cè)程序是一種實(shí)時(shí)監(jiān)控程序，所以采用輪詢方式，而其它模塊則是中斷類型的程序采用的是事件激活方式，即需要外部事件的驅(qū)動(dòng)才會(huì)執(zhí)行。應(yīng)用層各種模式收到應(yīng)用請(qǐng)求后會(huì)向接口層發(fā)出下級(jí)請(qǐng)求，待收到接口層的應(yīng)答后對(duì)其進(jìn)行運(yùn)算和封裝，最后向用戶層發(fā)出應(yīng)答。應(yīng)用層各模式是采用ASP實(shí)現(xiàn)，其運(yùn)行平臺(tái)是Web服務(wù)器，本系統(tǒng)采用的是IIS服務(wù)器。

(3)接口層

由于不能直接與事務(wù)層發(fā)生消息傳遞，故它們之間需要一個(gè)通信接口。接口層是應(yīng)用層和事務(wù)層之間的一個(gè)層次。這里之所以將接口單獨(dú)作為一個(gè)層次是因?yàn)榻涌趯邮窍到y(tǒng)的兼容性和可擴(kuò)展性的關(guān)鍵。從應(yīng)用層發(fā)出的請(qǐng)求有數(shù)據(jù)庫(kù)訪問(wèn)和和網(wǎng)管設(shè)備訪問(wèn)兩種，因此接口層也必須提供兩種接口。對(duì)于數(shù)據(jù)庫(kù)接口，它目前已經(jīng)存在同一的訪問(wèn)接口如ODBC，本系統(tǒng)采用的是ADO數(shù)據(jù)庫(kù)接口。對(duì)于網(wǎng)管設(shè)備接口，網(wǎng)管設(shè)備目前尚未提供同一的Web訪問(wèn)接口，網(wǎng)管設(shè)備僅支持SNMP等訪問(wèn)方式，因此本系統(tǒng)采用C++和SNMP++開(kāi)發(fā)出SNMP協(xié)議下的SNMP代理程序，負(fù)責(zé)向網(wǎng)管設(shè)備傳遞消息。在SNMP代理程序和應(yīng)用層之間采用Windows腳本程序來(lái)完成接口功能。該層的運(yùn)行平臺(tái)操作系統(tǒng)，本系統(tǒng)采用的是Windows2000操作系統(tǒng)。

(4)事務(wù)層

事務(wù)層完成底層的原子事務(wù)操作。對(duì)于存放網(wǎng)管數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)服務(wù)器，它的任務(wù)是完成接收到的數(shù)據(jù)庫(kù)查詢、增加、刪除和修改等事務(wù)請(qǐng)求，并將結(jié)果放回給上一層。本系統(tǒng)中有網(wǎng)絡(luò)管理中心原有的用戶注冊(cè)信息數(shù)據(jù)庫(kù)，以及本系統(tǒng)自身所需的IP盜用記錄數(shù)據(jù)庫(kù)。對(duì)于交換機(jī)等網(wǎng)管設(shè)備，其任務(wù)是完成來(lái)自SNMP管理程序的請(qǐng)求，本系統(tǒng)中的請(qǐng)求有查詢MIB庫(kù)和修改網(wǎng)絡(luò)設(shè)備的端口屬性。數(shù)據(jù)庫(kù)的運(yùn)行平臺(tái)是數(shù)據(jù)庫(kù)服務(wù)器，由于涉及到數(shù)據(jù)庫(kù)有多種，因此數(shù)據(jù)庫(kù)服務(wù)器也有多種，本系統(tǒng)用到的數(shù)據(jù)庫(kù)服務(wù)器有SQL Server2000和ACCESS。

基于以上分析，在交換以太網(wǎng)環(huán)境下，開(kāi)發(fā)一個(gè)管理工作站軟件，周期輪詢網(wǎng)絡(luò)中各交換機(jī)，動(dòng)態(tài)獲得在線主機(jī)IP-MAC-PORT信息，并與已注冊(cè)的合法用戶的地址信息庫(kù)進(jìn)行對(duì)比，如發(fā)現(xiàn)不一致即為IP盜用；發(fā)現(xiàn)盜用之后，根據(jù)PORT信息結(jié)合user元定位盜用主機(jī)的信息，隨即可得到盜用者的詳細(xì)信息；再通過(guò)修改交換機(jī)控制訪問(wèn)的MIB，對(duì)盜用主機(jī)級(jí)聯(lián)交換機(jī)端口進(jìn)行關(guān)斷和恢復(fù)。如此實(shí)現(xiàn)了四元模型的IP地址防盜方案。

3 開(kāi)發(fā)工具及語(yǔ)言

程序開(kāi)發(fā)的總體過(guò)程首先是采用C++語(yǔ)言和SNMP++開(kāi)發(fā)包開(kāi)發(fā)出SNMP中各種原語(yǔ)，用于和網(wǎng)管設(shè)備的通信，然后將協(xié)議原語(yǔ)封裝到批處理命令中，用于通過(guò)批處理命令中的管道獲取SNMP協(xié)議原語(yǔ)與網(wǎng)管設(shè)備通信的結(jié)果，最后用asp程序根據(jù)不同的應(yīng)用模式需求通過(guò)調(diào)用WinScript腳本中的批處理來(lái)完成整個(gè)應(yīng)用模式的設(shè)計(jì)。

4 IP防盜方案的優(yōu)點(diǎn)

此方案能夠有效的防止校園網(wǎng)IP地址的盜用：對(duì)于靜態(tài)修改IP地址的用戶，使用SNMP協(xié)議查詢交換機(jī)與系統(tǒng)中存儲(chǔ)的注冊(cè)用戶信息相比較，IP-MAC的對(duì)應(yīng)關(guān)系不一致，發(fā)現(xiàn)盜用事件。對(duì)于成對(duì)修改IP-MAC地址的用戶，使得MAC地址為注冊(cè)用戶的MAC地址（沒(méi)有注冊(cè)過(guò)的用戶不能上網(wǎng)），IP地址是可用地址（合法的地址或未分配的地址），

結(jié)合系統(tǒng)中的注冊(cè)用戶信息(USER元)比較，由于IP-MAC和PORT的對(duì)應(yīng)關(guān)系不一致，盜用者被查出。

5 結(jié)束語(yǔ)

在深入剖析SNMP協(xié)議之后，針對(duì)校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)提出了一種基于SNMP的四元模型的IP防盜技術(shù)，該系統(tǒng)防盜效果好、易實(shí)施、靈活、擴(kuò)展性強(qiáng)，具有檢測(cè)、定位、報(bào)警、阻斷通信等功能，為徹底解決IP地址盜用問(wèn)題，提供了一種新的可行的技術(shù)手段。

參考文獻(xiàn)：

[1]禇建立.基于多元綁定的校園網(wǎng)IP盜用解決方案探討.計(jì)算機(jī)系統(tǒng)應(yīng)用，2007，3:83-85.

[2]張春暉.SNMP協(xié)議的分析和應(yīng)用.計(jì)算機(jī)研究，2000m10:55-57，

[3]張遠(yuǎn)明，初志剛.解決校園IP地址盜用問(wèn)題的技術(shù).吉林大學(xué)學(xué)報(bào)(理學(xué)版)，2006，7:616-620.

收稿日期：2008-01-10

作者簡(jiǎn)介：劉欣榮（1977-），女，江西靖安人，山東工商學(xué)院講師，碩士。