交换机监测与ARP欺骗主动防御系统设计和实现.docVIP

交换机监测与ARP欺骗主动防御系统设计和实现 　　摘要：ARP病毒具有极大的破坏性，针对它的原理，提出了基于SNMP的主动防御ARP欺骗的解决方案，创新性地利用SNMP协议将交换机状态监测和管理引入ARP防御体系中，以尽早发现和维护出现故障的交换机，确保整个计算机网络的稳定性。该方案特别适合在较大规模的网络中部署，其代价小，效率高。 　　关键词：SNMP；交换机状态监测；ARP主动防御；网络稳定性 　　 　　0、引　言 　　 　　最近几年，ARP欺骗木马病毒在高校网络中频繁地爆发，同一网段的大多数用户频繁断网，导致整个局域网无法正常运行，严重时致使整个校园网大面积瘫痪，给网络管理工作增添了巨大压力。 　　目前，通常采用以下两种途径发现ARP欺骗： 　　(1)网管员登录网关查看ARP表，如发现多个IP对应同一个网卡地址，该网卡地址就是中ARP欺骗木马病毒的机器的MAC地址。 　　(2)上网用户在主机上通过arp-a命令可以发现网关MAC地址与网络运行正常时的MAC地址不符。用户可以将错误的网关MAC地址报告给网管员进行处理。 　　以上两种方法都需要网络管理员或用户繁琐的手动操作才能发现ARP欺骗病毒，这在具有几万用户的校园网络中都是不可行的，因为工作量太大。为了及时发现局域网中存在的ARP欺骗现象，进行快速处理，将其坏影响降至最低，我们引入SNMP来进行主动防御。由于校园网由大量交换机构成，而利用SNMP预防欺骗是通过交换机管理来实现的，所以我们创新性地将交换机状态监测和管理引入ARP预防体系中，以快速发现、准确定位出现故障的交换机并及时加以维护，从而确保ARP病毒欺骗的主动防御与处理可以在整个网络中稳定地实施。 　　 　　1、基于SNMP的交换机状态监测和主动防御ARP欺骗的基本原理 　　 　　网管工作站中的管理进程，利用SNMP协议可获取交换机运行状态信息，并可配置交换机的部分运行参数，达到监测和管理校园网中大量交换机的目的。标准的MIB库中定义了与ARP信息相关的变量，利用这些变量可以获取与ARP欺骗相关的信息，通过MIB库定义的其他MIB变量可以设置网络设备的运行参数，将实施ARP欺骗者从网络中隔离开来，阻止ARP欺骗对网??正常通信的破坏。本文方案中所涉及的相关MIB变量的定义如表1表示。 　　利用SNMP监测交换机状态和主动防御ARP欺骗的基本原理如下。 　　1.1交换机状态监测原理 　　我们通过SNMP协议实时读取出全网的交换机信息，生成树状结构，以三层交换机为根，两层接入交换机为儿子，每隔一段时间循环监测所有交换机状态。如果该交换出现工作异常，则报警。网络管理人员看到报警，可以及时处理和维护交换机。此外，根据SNMP协议修改交换机运行参数，可以对交换机的信息进行补充，定位交换机的地理位置，当交换机出现故障时，网络管理工作者就可以及时发现该交换机所在的地理位置和在网络体系中所处层次。 　　1.2基于SNMP主动防御ARP病毒原理 　　ARP欺骗可以通过以下方式发现： 　　(1)获取网关MIB库中的ipNetToMediaTable表，并对获取的数据进行逐条比较。如从中发现有若干不同IP地址对应同一网卡，则该局域网内发生了ARP欺骗。在发现ARP欺骗者后，将ARP欺骗者从广播域中隔离出来，防止其继续危害网络的正常通讯。隔离ARP欺骗者比较简单的办法是关闭其接入的交换机端口。通过SNMP协议获取接入交换机中的FDB地址表，找到ARP欺骗者接入交换机的端口，然后通过SNMP的Set操作可以对表ifTable的ifAdminStatus参数对交换机端口进行封锁和开启。 　　(2)查找ARP欺骗工具或木马。这一步的工作需要人工采取措施清除中毒电脑中ARP欺骗工具或木马程序。 　　 　　2、系统设计与实现 　　 　　本系统用ruby语言及rails框架开发，采用mysql作为数据库，由两套软件组成： 　　(1)由ruby语言开发的数据采集系统，用于从交换机中定时采集交换机信息和ARP数据存储到数据库中。 　　(2)用ruby语言基于rails框架开发的交换机监测和ARP主动防御系统，主要负责交换机的状态监控和ARP病毒发现、隔离、处理。 　　系统实施架构如图1所示。 　　2.1实现交换机信息收集和工作状态监测 　　交换机树生成和监测原理： 　　(1)指定所有三层交换机。 　　(2)利用SNMP协议读出所有三层交换机上的二层接入交换机信息，如交换机的IP地址、名称、父端口、向下的级联端口、交换机描述等信息。 　　(3)手动修正交换机信息，包括所在的地理位置、增加交换机儿子、删除交换机儿子等。 　　(4)得到修正的交换机树后，每隔十分钟向每个交换机索取信息。如果