??? 摘? 要： 對中小企業的網絡管理現狀進行分析，針對地址盜用問題，探討了發生原因和防盜機理，提出了對應的解決方案。通過監聽基于以太網技術的局域網上傳送的數據幀，實時過濾并分析ARP數據包，得到上網計算機的IP-MAC地址對照表，找出非法上網的用戶，實現警告和上網限制。利用SoPC技術設計了一臺體積小、使用靈活、低價、高效的嵌入式IP地址防盜監控儀，給出了軟硬件設計方案，利用嵌入式系統調試通過，在實際網絡環境中完成測試，性能穩定可靠。?

??? 關鍵詞： 局域網; 地址盜用; MAC; SoPC

?

??? 很多中小型企業在網絡安全方面的投入很少，通常僅依靠帶簡單防火墻功能的寬帶路由器設備，這雖然能夠防止外部黑客的入侵，但對處在防火墻內部的員工或訪客造成的安全問題沒有任何作用。由于安全意識的缺失，在網絡布線工程完成之后，就很少投入人力物力，很少配備專職的網絡管理員，因此很容易出現各式各樣的網絡安全事件。最常見的問題是網絡IP地址盜用問題。?

??? 本文給出一種利用SoPC(System-on-a-Programmable-Chip)技術實現的、面向中小網絡、低價位、可靠的嵌入式IP地址防盜監控方案。從管理學層面對網內IP地址的管理進行探討;在技術層面研究網絡協議，分析發生原理，找出IP地址盜用問題的原因和表現形式，從而找出根治辦法,在實現層面對開放源代碼的嵌入式操作系統進行深入分析和裁剪，利用嵌入式系統開發技術，實現基于嵌入式硬件的網絡監控，能顯著降低企業中兼職網管的工作量，確保網絡正常使用。?

1 地址防盜機理?

1.1 地址盜用分析?

??? 經過對企業網絡跟蹤監控發現，地址盜用的用戶，除Legitimate(合法的)用戶以外，還有3種類型的惡意用戶：Masquerader(偽裝者)、Misfeasor(違法者)和Clandestined User(秘密活動者)^[1]。?

??? (1) Masquerader：此類人可能是為了逃避網絡計費，事先收集到別的用戶地址，用IP地址盜用的辦法，將網絡流量計費轉嫁到他人身上。?

??? (2) Misfeasor：此類人一般是合法用戶，由于重裝系統等因素重新設定IP地址，但是輸入錯誤或是忘記自己的合法地址而胡亂設置。近兩年ARP類病毒或木馬也造成類似的網絡故障。?

??? (3) Clandestined User：此類人可能是無上網權限的人或外來人員，為了某種目的，隱藏自己的身份或企圖冒充合法用戶身份來逃避追蹤。?

1.2 對策分析?

??? 為了解決這些問題，大型網絡一般采用可網管型交換機進行地址綁定，更好的方式是用認證計費系統，但硬件改造投資比較大，不適合小規模網絡。中小型企業網中更多的是依靠兼職網管人工操作，工作量非常大。故采用嵌入式技術開發廉價的網絡地址監控系統，以實現實時監控和自動化響應與處理。?

??? 對網絡進行全天候監控，將網絡上所有ARP廣播信息截獲，提取信息生成IP-MAC二元組對照表。對當前網段所有未用IP地址也生成特殊的IP-MAC二元組，即MAC字段設為000000000001這種非法的值。該表經由網管員確認后，作為合法用戶表。如果網管員無暇處理時，自動對某一時間段的數據利用概率統計算法生成該表。?

??? 對于Masquerader和Misfeasor：對照合法用戶列表，只需發現ARP廣播包中IP-MAC二元組不相符合，就表明有盜用的嫌疑。如果此用戶是Legitimate，會自行重復修改IP地址，不斷試驗，此時發送一個ARP-Relay包，告知該IP已經使用，則對方的PC機會提示“IP地址重復”并自動禁用網卡的TCP/IP棧。系統自動記錄盜用次數，如果發現超過設定次數，最終封閉MAC地址，并產生Alert消息，由網管員通過行政手段處理。ARP類病毒或木馬，一種是盜用網關設備的地址，攔截用戶發送的數據；一種是盜用用戶的IP從中截獲數據。還有些蠕蟲病毒為了加快傳播，會發送虛假的IP數據包，處理方法同上。?

??? 對于Clandestined User：通常先利用可上網的電腦來探測網絡，找出合法IP及對應的MAC地址，通過修改網卡的Flash芯片或者修改注冊表，獲得合法地址，繼而進行秘密活動。這是最復雜的情況，即使合法用戶和盜用者同時開機，也不會出現IP沖突的提示。但對于可網管型的交換機內部維護的FDB(Forwarding Database)地址表中，相應的MAC地址對應的端口就會經常變化，據此就能予以辨別，隨后詳細記錄日志，并發送警報信息通知管理員處理。這樣就需要監控器能讀取FDB表，才能得知是否有相同的MAC從不同端口進入，進而關閉該端口，隔離破壞者。?

1.3 封鎖方法?

??? 為了封鎖用戶上網，一般需要可網管交換機的配合。一般中小企業的核心交換機通常都是可網管型的，但是配置交換機需要專業人士，本設備可以實現自動配置，降低了對網管的技術要求。與交換機交互設置的常見方案為采用SNMP協議，但由于編程復雜，且很多交換機廠商并沒有嚴格遵循SNMP協議，故很難實現。本設備采用另外一種方法，就是模擬管理員手工配置交換機的過程，先利用Telnet協議登錄交換機，輸入用戶名和密碼，再輸入超級管理員密碼，發送配置指令。例如要禁止MAC地址為000c.2927.fe4d的計算機，在港灣的交換機上輸入命令：?

??? C:telnet xxx.xxx.xxxx.xxx(核心交換機IP）?

??? Login:admin 輸入用戶名和密碼?

??? Password:?

??? Harbour>en? 進入特權模式，輸入超極管理員密碼?

2 系統功能設計?

2.1 功能?

??? (1) IP沖突檢測與處理：判斷IP的合法性，再對檢測出的非法IP依據既定的處理方式進行處理，從而有效防止局域網內的IP沖突和盜用。?

??? (2) 計算機聯網信息統計：適時分析網內計算機的活動狀況，把在線狀態、活動時間等作為日志信息保存。為網絡管理員提供材料作為IP地址管理與分析的依據。?

??? (3) 服務器通信：系統設置了NTP和FTP兩個服務器。NTP時間服務器部署在局域網內，做為本系統時間同步的時鐘源；FTP服務器用于保存系統日志文件，并存有系統使用的配置文件信息以及合法IP-MAC地址信息。?

??? (4) 時間同步：時間同步是從局域網內的NTP時間服務器獲取當前標準時間，從而可以為本系統提供時間校準與維護。?

硬件實現的基本功能如表1所示，軟件實現的基本功能如表2所示。?

?

?

?

2.2 開發平臺?

??? 本開發平臺可選用SoPC技術^[2]、單片機(MCU)和ARM嵌入式系統。由于單片機對TCP/IP協議棧支持很差，而ARM雖處理能力強，但有些大材小用，因此最終采用SoPC技術實現。在Altera DE2上進行原型設計與開發測試，最終使用HardCopy系列器件實現產品化。?

2.3 系統使用方法?

??? 根據TCP/IP棧中ARP協議原理，計算機在開始通信前都會發出廣播包，告知本機使用的IP地址信息，并獲取網管及各個服務器的IP-MAC信息。因此與其他網絡監控或入侵檢測系統不同，所安裝的網絡無需改造，也不用增加TAP(網絡分接器)或集線器等設備，接到核心交換機的任意端口即可。?

3? 硬件系統設計?

??? 本系統以嵌入式處理器NiosII^[4]為核心，設計了顯示系統、存儲系統、鍵盤控制系統、網絡數據接口。系統框圖如圖1所示。?

?

?

??? 為了完成監視和控制功能，還需要利用網絡中的網管專用機提供FTP服務器完成日志的備份和配置信息的更新，并利用因特網上的NTP網絡時間服務器進行自動校時服務。?

??? 系統硬件在SoPC Builder上設計，采用的IP軟核清單如表3所示。?

?

?

4 軟件系統設計?

4.1操作系統選型?

??? 嵌入式操作系統有μcLinux、μC/OSII^[3]、eCos。每個操作系統各有特色，從移植的難易程度、內核的大小、實時性等因素出發，選擇μC/OSII。NiosII IDE中嵌入了μC/OSII，可以快速地為NiosII處理器建立RTOS應用。這個內核是可移植、可固化、可裁剪，具有搶占式的實時多任務功能的操作系統。?

4.2 TCP/IP協議棧選型?

??? 支持TCP/IP協議棧的主要有μIP、TinyTcp、μC/IP、lwIP幾種，每一種都有其特點與使用范圍。lwIP是開源的輕量型協議棧，沒有操作系統針對性，通過系統模擬層將協議棧中與平臺相關的代碼抽象出來，具有靈活可移植性，并且lwIP網絡應用開發提供了API接口，極大的方便了應用開發。由于本系統開發中選用的操作系統是μC/OS，且Nios II IDE支持lwIP協議棧，使得移植更方便，所以選用lwIP。?

4.3 應用軟件功能設計?

??? 應用軟件是建立在操作系統基礎上的軟件系統，得益于μC/OSII良好的實時多進程的優點，能夠同時完成人機交互、數據處理等主要工作。最核心的功能模塊是IP沖突檢測與處理模塊，主要完成對ARP包的解析、判斷是否合法、記錄日志等工作。另一個模塊是包發送模塊，它是主動方式運作，能夠掃描整個網絡，強制更新ARP表，對照合法的IP-MAC地址列表找出盜用者，還可以對盜用IP地址的人發出警告，阻止其上網，還可以探測并記錄各主機的開機或關機狀態。?

4.4 文件系統選型?

??? 本系統采用SD卡存儲數據，在其上建立文件存取時，首先要建立文件系統。表4是三種類型數據文件所需的文件操作、保密要求及其空間占用情況。?

?

?

??? Altera公司雖提供了Zip File System，但它在存儲介質、存儲量以及寫入操作方面已經不能滿足要求；而SD卡的可拔插性和FAT/FAT32的通用性，使建立在SD卡上的FAT/FAT32并不具有很強的保密性，同時在寫入數據到文件之前需要查表，不能滿足高速的要求，而且實現文件系統的建立也需要一定的代碼量；NTFS雖然具有保密性，但其存取速度同樣不能滿足要求，實現起來則更為復雜。基于以上原因，本系統在實現了基本的SD卡讀取操作后，對SD卡存取空間進行了劃分，實現了一個簡單、高效同時具有保密性的自定義文件系統。對分區數據的讀寫操作是通過對SD卡驅動的直接讀寫操作進行簡單封裝實現的，同時數據的存儲無需查表等額外操作，因此具有高效性。分區數據的記錄則是將需要存儲的數據放入程序內部的數據結構后寫入SD卡來存儲的，具有一定的保密性。?

4.5 網絡服務規劃?

??? 本設備可以作為手持式設備臨時地調試監控，也可以固定在機柜中進行長期觀察。為了方便網絡管理員的操作，提供了Telnet遠程操作功能，可以自動將系統日志、警報信息等上傳至網管專用機上，還能自動下載最新的配置文件進行設置，并且，為了生成規范的日志，還提供了自動校時功能。這些功能依次對應Telnet服務模塊、FTP服務模塊、NTP服務模塊。?

4.6 軟件流程圖?

??? 應用軟件中最重要的模塊是IP沖突檢測與處理的實現。IP沖突檢測是在捕獲ARP包的基礎上對ARP包中的源IP和源MAC進行分析，從而判斷該數據包的IP地址是否產生了沖突或者是非法的IP地址。其中檢測通過包的主分析進程完成，其流程圖如圖2所示。處理操作通過包發送進程完成，其流程如圖3所示。?

?

?

?

??? 基于SoPC技術，利用QuartusII開發軟件，在以Nios II為核心的嵌入式系統設計平臺上進行設計，能靈活、快捷地完成系統設計開發。該設備使用方便、靈活、高效價格低廉，可作手持式臨時調試監控，也可長期固定實現網絡監視和IP盜用處理，非常適合于中小企業網。?

參考文獻?

[1] ANDERSON J P. Computer security threat monitoring and surveillance[R]. James P Anderson Co, Fort Washington,Pennsylvania, 1980. ?

[2]?潘松.SOPC技術實用教程.北京:清華大學出版社，2005.?

[3]?JEAN J,LABROSSE著. 嵌入式實時操作系統μC/OS-II(第2版)，邵貝貝譯.北京:北京航空航天大學出版社，2003.?

[4] 彭澄廉.挑戰SOC——基于NIOS的SOPC設計與實現，北京：清華大學出版社，2004.