基本信息
- 項(xiàng)目名稱:
- 校園網(wǎng)IP盜用及ARP攻擊檢測系統(tǒng)設(shè)計與實(shí)現(xiàn)(多語種)
- 小類:
- 信息技術(shù)
- 大類:
- 科技發(fā)明制作B類
- 簡介:
- 利用數(shù)據(jù)鏈路層地址解析協(xié)議(ARP)的漏洞可以進(jìn)行IP沖突、ARP欺騙、ARP緩沖池溢出等方式的網(wǎng)絡(luò)攻擊。因?yàn)锳RP具有實(shí)現(xiàn)IP地址到網(wǎng)絡(luò)接口硬件地址(MAC)的映射功能,利用此特性在數(shù)據(jù)鏈路層發(fā)動的攻擊具有很強(qiáng)的隱蔽性. 針對ARP攻擊的網(wǎng)絡(luò)防御模式利用SNMP協(xié)議定期讀取核心交換機(jī)內(nèi)的ARP表信息、認(rèn)證服務(wù)器中的T-ONLINE表信息和接入層交換機(jī)內(nèi)的轉(zhuǎn)發(fā)表等信息,通過主機(jī)ARP流量排序、網(wǎng)絡(luò)設(shè)備端口流量監(jiān)測以及ARP表表內(nèi)比對、表間比對等多種技術(shù)手段相結(jié)合及時發(fā)現(xiàn)IP盜用、MAC搭載和ARP攻擊,及時自動做出相應(yīng)處理措施限制問題用戶接入網(wǎng)絡(luò),保障網(wǎng)絡(luò)秩序和安全。
- 詳細(xì)介紹:
- 針對目前在校園網(wǎng)用戶訪問控制中存在的IP和MAC地址盜用、沖突和ARP攻擊泛濫等問題,本課題組結(jié)合校園網(wǎng)絡(luò)的特點(diǎn)查閱相關(guān)資料和文獻(xiàn)提出更為有效的服務(wù)器端綜合檢測解決方案:利用SNMP協(xié)議定期讀取核心交換機(jī)內(nèi)的ARP表信息、Radius認(rèn)證服務(wù)器中的T-ONLINE表信息和接入層交換機(jī)內(nèi)的轉(zhuǎn)發(fā)表信息,與固有的IP分配信息、用戶基本信息表、VLAN信息表,通過相關(guān)數(shù)據(jù)的實(shí)時采集、處理和及時的表內(nèi)與表間比對,若發(fā)現(xiàn)ARP表內(nèi)存在同一MAC對應(yīng)數(shù)個IP時,既認(rèn)定為IP盜用或MAC搭載;若之前認(rèn)證表中存在主機(jī)認(rèn)證信息,但核心交換機(jī)ARP表中存同一MAC對應(yīng)數(shù)個IP,既判定為ARP攻擊;對于隱蔽性更強(qiáng)的偽造MAC地址的ARP攻擊變種問題,采用VLAN內(nèi)全部主機(jī)通信流量進(jìn)行檢測分析。即,對所有主機(jī)通信數(shù)據(jù)包量進(jìn)行統(tǒng)計排序,針對發(fā)送廣播量最大的幾個主機(jī)ARP數(shù)據(jù)包進(jìn)行分析,再結(jié)合常規(guī)檢測方案進(jìn)行定位、處理。實(shí)時的網(wǎng)絡(luò)端口流量監(jiān)測數(shù)據(jù)和歷史日志文件,有助于網(wǎng)管員分析網(wǎng)絡(luò)異常情況及性能。采取良好的算法優(yōu)化和數(shù)據(jù)處理機(jī)制保證系統(tǒng)快速高效運(yùn)行。 檢測服務(wù)器在檢測到有非法行為的用戶時,通過讀認(rèn)證服務(wù)器上的用戶在線表,獲取該用戶所在的交換機(jī)IP信息,通過SNMP協(xié)議給交換機(jī)發(fā)送相應(yīng)的命令。交換機(jī)收到處理命令后,及時限制問題用戶接入網(wǎng)絡(luò),直至網(wǎng)絡(luò)管理員判定其為正常合法用戶后解除其處理操作才能重新認(rèn)證上網(wǎng)。同時發(fā)送下線包給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器從用戶在線管理表中刪除該用戶記錄以保障網(wǎng)絡(luò)秩序和安全,并記錄日志備份,方便日后查看
作品專業(yè)信息
設(shè)計、發(fā)明的目的和基本思路、創(chuàng)新點(diǎn)、技術(shù)關(guān)鍵和主要技術(shù)指標(biāo)
- 針對目前在校園網(wǎng)用戶訪問控制中存在的IP和MAC地址盜用、沖突和ARP攻擊泛濫等問題,本課題組結(jié)合校園網(wǎng)絡(luò)的特點(diǎn)查閱相關(guān)資料和文獻(xiàn)提出更為有效的服務(wù)器端綜合檢測解決方案:利用SNMP協(xié)議定期讀取核心交換機(jī)內(nèi)的ARP表信息、Radius認(rèn)證服務(wù)器中的T-ONLINE表信息和接入層交換機(jī)內(nèi)的轉(zhuǎn)發(fā)表等信息,通過主機(jī)ARP流量排序、網(wǎng)絡(luò)設(shè)備端口流量監(jiān)測以及ARP表表內(nèi)比對、表間比對等多種技術(shù)手段相結(jié)合及時發(fā)現(xiàn)IP盜用、MAC搭載和ARP攻擊。 檢測到網(wǎng)絡(luò)中有非法行為時,通過讀取認(rèn)證服務(wù)器上的用戶在線表表信息,獲取該用戶所在的交換機(jī)IP信息,通過SNMP協(xié)議向接入層交換機(jī)發(fā)送相應(yīng)的處理措施命令,及時限制問題用戶接入網(wǎng)絡(luò),直至網(wǎng)絡(luò)管理員判定其為正常合法用戶后解除其處理方可重新認(rèn)證上網(wǎng)。并記錄日志備份方便日后查看。 本系統(tǒng)檢測范圍為:認(rèn)證區(qū)5000個信息點(diǎn)和非認(rèn)證15000個信息點(diǎn)。檢測數(shù)據(jù)每15分鐘讀取一次,處理一輪只需80秒,所有日志文件保存60天,定期生成報表,各項(xiàng)性能均達(dá)到了國內(nèi)較先進(jìn)水平。 開發(fā)語言:Java,服務(wù)器:浪潮NF280G2(Intel Xeon 3.6GHz/4G),操作系統(tǒng):Red Hat Enterprise AS 4.0,數(shù)據(jù)庫:Oracle 10g,系統(tǒng)開發(fā)工具:MyEclipse 6.0.1。
科學(xué)性、先進(jìn)性
- 1、主動靈活性:基于SNMP的校園網(wǎng)ARP攻擊檢測系統(tǒng)相對獨(dú)立于校園網(wǎng)絡(luò),不會影響正常網(wǎng)絡(luò)業(yè)務(wù),增強(qiáng)了主動管理的優(yōu)勢,處理有多種備選方案可供選擇,可完全隔離局域網(wǎng)內(nèi)的非法行為用戶,有效防止二次攻擊;解決校園網(wǎng)內(nèi)IP地址盜用和沖突及ARP病毒和變種攻擊等問題,針對性強(qiáng)、作用效果明顯。 2、高效安全性:后臺檢測程序采取高效的數(shù)據(jù)處理與算法結(jié)構(gòu),性能較常規(guī)算法提升40%以上,保證系統(tǒng)快速高效運(yùn)行,數(shù)據(jù)實(shí)時讀取,檢測結(jié)果時效性強(qiáng);開設(shè)獨(dú)立VLAN和服務(wù)器進(jìn)行檢測,避免了輪詢機(jī)制所造成的網(wǎng)絡(luò)擁塞;使用淘汰的低端服務(wù)器配以高效安全的LINUX操作系統(tǒng)和數(shù)據(jù)處理機(jī)制,合理有效地使用了閑置資源有利于構(gòu)建和諧節(jié)約型社會。 3、通用適應(yīng)性:無需安裝客戶端軟件和其他硬件設(shè)備,無需對現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施做任何調(diào)整,利于今后服務(wù)器功能的擴(kuò)展同時回避了客戶端易被破解的問題;檢測范圍可由程序控制,檢測服務(wù)器對所有寬帶園區(qū)網(wǎng)的用戶行為檢測具有通用性,可移植性和擴(kuò)展性強(qiáng)。
獲獎情況及鑒定結(jié)果
- 2009年4月在我校網(wǎng)絡(luò)中心投入測試使用,用于檢測校本部內(nèi)的IP盜用、MAC搭載及ARP攻擊行為。 鑒定結(jié)果:系統(tǒng)投入成本低、性能高、運(yùn)行穩(wěn)定,可使校園網(wǎng)絡(luò)安全秩序進(jìn)一步完善,有效防治網(wǎng)絡(luò)濫用和ARP攻擊現(xiàn)象,增強(qiáng)校園網(wǎng)的可管理性,保障校園網(wǎng)安全和運(yùn)行穩(wěn)定。(附有相關(guān)單位簽章證明)
作品所處階段
- 中試階段
技術(shù)轉(zhuǎn)讓方式
作品可展示的形式
- 圖片、現(xiàn)場演示
使用說明,技術(shù)特點(diǎn)和優(yōu)勢,適應(yīng)范圍,推廣前景的技術(shù)性說明,市場分析,經(jīng)濟(jì)效益預(yù)測
- 本系統(tǒng)對于高校校園網(wǎng)IP盜用、MAC搭載及ARP攻擊進(jìn)行實(shí)時在線監(jiān)測,系統(tǒng)投入成本低、性能高、運(yùn)行穩(wěn)定。可使校園網(wǎng)絡(luò)安全秩序進(jìn)一步完善,有效防治網(wǎng)絡(luò)濫用和ARP攻擊現(xiàn)象,增強(qiáng)校園網(wǎng)的可管理性,保障校園網(wǎng)安全和運(yùn)行穩(wěn)定。 系統(tǒng)具有良好的實(shí)際應(yīng)用價值,對類似寬帶園區(qū)網(wǎng)亦可實(shí)施檢測、處理等服務(wù),具有廣泛的應(yīng)用和推廣前景。
同類課題研究水平概述
- 當(dāng)前國內(nèi)外校園網(wǎng)對“ARP欺騙”攻擊類病毒、木馬的常用防御技術(shù)主要包括:Private VLAN/Super VLAN、接入設(shè)備端口綁定、專殺軟件工具、網(wǎng)絡(luò)雙向綁定等。 幾種技術(shù)手段各有優(yōu)缺點(diǎn),不同的網(wǎng)絡(luò)應(yīng)用環(huán)境可以采用不同的技術(shù)手段,但就校園網(wǎng)環(huán)境而言,最好的是Private VLAN/Super VLAN,無需用戶端配合,對網(wǎng)絡(luò)的影響小,工作量較小,但需要網(wǎng)絡(luò)設(shè)備的支持,在原有網(wǎng)絡(luò)基礎(chǔ)之上投入巨大;接入端口綁定也需要通過網(wǎng)絡(luò)設(shè)備的支持來實(shí)現(xiàn);專殺/防病毒工具是最簡單易行的,客戶端安裝后即可,但依靠的是工具更新,可靠性不佳,工作量大;雙向綁定技術(shù)在簡單的校園網(wǎng)中能有效的防治,但隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大,網(wǎng)絡(luò)設(shè)備的復(fù)雜,就顯得力不從心了,尤其是必須得到網(wǎng)絡(luò)設(shè)備的支持,會大大增加網(wǎng)絡(luò)成本。 因此,這些解決方案仍然不很理想,為避免網(wǎng)絡(luò)設(shè)備的再投入,如何充分發(fā)揮其優(yōu)勢,盡可能克服其不足,是值得我們進(jìn)一步研究的課題,這也正是本課題的研究重點(diǎn)所在。 從現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施和升級成本考慮,利用淘汰的低端服務(wù)器配以高效安全的數(shù)據(jù)結(jié)構(gòu)和算法、操作系統(tǒng)以及數(shù)據(jù)庫,既解決了校園網(wǎng)IP盜用及ARP攻擊問題,又合理有效地使用閑置資源,有利于構(gòu)建和諧節(jié)約型社會。 [1] Goyal V, Tripathy R. An efficient solution to the ARP cache poisoning problem[C ] / /10th Australasian Conference on Information Security and Privacy (ACISP . 2005 ) . LNCS 3574, Springer Verlag, 2005 . [2] Li Haiying, Chen Hao, Zhuang Zhenquan. Design and implementation of defense system for ARP attack [ J ]. Computer Engineering , 2005, 31 ( 05) : 170 - 171 .