主办单位: 共青团中央   中国科协   教育部   中国社会科学院   全国学联  

承办单位: 贵州大学     

基本信息

项目名称:
校园网IP盗用及ARP攻击检测系统设计与实现(多语种)
小类:
信息技术
简介:
利用数据链路层地址解析协议(ARP)的漏洞可以进行IP冲突、ARP欺骗、ARP缓冲池溢出等方式的网络攻击。因为ARP具有实现IP地址到网络接口硬件地址(MAC)的映射功能,利用此特性在数据链路层发动的攻击具有很强的隐蔽性. 针对ARP攻击的网络防御模式利用SNMP协议定期读取核心交换机内的ARP表信息、认证服务器中的T-ONLINE表信息和接入层交换机内的转发表等信息,通过主机ARP流量排序、网络设备端口流量监测以及ARP表表内比对、表间比对等多种技术手段相结合及时发现IP盗用、MAC搭载和ARP攻击,及时自动做出相应处理措施限制问题用户接入网络,保障网络秩序和安全。
详细介绍:
针对目前在校园网用户访问控制中存在的IP和MAC地址盗用、冲突和ARP攻击泛滥等问题,本课题组结合校园网络的特点查阅相关资料和文献提出更为有效的服务器端综合检测解决方案:利用SNMP协议定期读取核心交换机内的ARP表信息、Radius认证服务器中的T-ONLINE表信息和接入层交换机内的转发表信息,与固有的IP分配信息、用户基本信息表、VLAN信息表,通过相关数据的实时采集、处理和及时的表内与表间比对,若发现ARP表内存在同一MAC对应数个IP时,既认定为IP盗用或MAC搭载;若之前认证表中存在主机认证信息,但核心交换机ARP表中存同一MAC对应数个IP,既判定为ARP攻击;对于隐蔽性更强的伪造MAC地址的ARP攻击变种问题,采用VLAN内全部主机通信流量进行检测分析。即,对所有主机通信数据包量进行统计排序,针对发送广播量最大的几个主机ARP数据包进行分析,再结合常规检测方案进行定位、处理。实时的网络端口流量监测数据和历史日志文件,有助于网管员分析网络异常情况及性能。采取良好的算法优化和数据处理机制保证系统快速高效运行。 检测服务器在检测到有非法行为的用户时,通过读认证服务器上的用户在线表,获取该用户所在的交换机IP信息,通过SNMP协议给交换机发送相应的命令。交换机收到处理命令后,及时限制问题用户接入网络,直至网络管理员判定其为正常合法用户后解除其处理操作才能重新认证上网。同时发送下线包给认证服务器,认证服务器从用户在线管理表中删除该用户记录以保障网络秩序和安全,并记录日志备份,方便日后查看

作品图片

  • 校园网IP盗用及ARP攻击检测系统设计与实现(多语种)
  • 校园网IP盗用及ARP攻击检测系统设计与实现(多语种)
  • 校园网IP盗用及ARP攻击检测系统设计与实现(多语种)
  • 校园网IP盗用及ARP攻击检测系统设计与实现(多语种)
  • 校园网IP盗用及ARP攻击检测系统设计与实现(多语种)

作品专业信息

设计、发明的目的和基本思路、创新点、技术关键和主要技术指标

针对目前在校园网用户访问控制中存在的IP和MAC地址盗用、冲突和ARP攻击泛滥等问题,本课题组结合校园网络的特点查阅相关资料和文献提出更为有效的服务器端综合检测解决方案:利用SNMP协议定期读取核心交换机内的ARP表信息、Radius认证服务器中的T-ONLINE表信息和接入层交换机内的转发表等信息,通过主机ARP流量排序、网络设备端口流量监测以及ARP表表内比对、表间比对等多种技术手段相结合及时发现IP盗用、MAC搭载和ARP攻击。 检测到网络中有非法行为时,通过读取认证服务器上的用户在线表表信息,获取该用户所在的交换机IP信息,通过SNMP协议向接入层交换机发送相应的处理措施命令,及时限制问题用户接入网络,直至网络管理员判定其为正常合法用户后解除其处理方可重新认证上网。并记录日志备份方便日后查看。 本系统检测范围为:认证区5000个信息点和非认证15000个信息点。检测数据每15分钟读取一次,处理一轮只需80秒,所有日志文件保存60天,定期生成报表,各项性能均达到了国内较先进水平。 开发语言:Java,服务器:浪潮NF280G2(Intel Xeon 3.6GHz/4G),操作系统:Red Hat Enterprise AS 4.0,数据库:Oracle 10g,系统开发工具:MyEclipse 6.0.1。

科学性、先进性

1、主动灵活性:基于SNMP的校园网ARP攻击检测系统相对独立于校园网络,不会影响正常网络业务,增强了主动管理的优势,处理有多种备选方案可供选择,可完全隔离局域网内的非法行为用户,有效防止二次攻击;解决校园网内IP地址盗用和冲突及ARP病毒和变种攻击等问题,针对性强、作用效果明显。 2、高效安全性:后台检测程序采取高效的数据处理与算法结构,性能较常规算法提升40%以上,保证系统快速高效运行,数据实时读取,检测结果时效性强;开设独立VLAN和服务器进行检测,避免了轮询机制所造成的网络拥塞;使用淘汰的低端服务器配以高效安全的LINUX操作系统和数据处理机制,合理有效地使用了闲置资源有利于构建和谐节约型社会。 3、通用适应性:无需安装客户端软件和其他硬件设备,无需对现有网络基础设施做任何调整,利于今后服务器功能的扩展同时回避了客户端易被破解的问题;检测范围可由程序控制,检测服务器对所有宽带园区网的用户行为检测具有通用性,可移植性和扩展性强。

获奖情况及鉴定结果

2009年4月在我校网络中心投入测试使用,用于检测校本部内的IP盗用、MAC搭载及ARP攻击行为。 鉴定结果:系统投入成本低、性能高、运行稳定,可使校园网络安全秩序进一步完善,有效防治网络滥用和ARP攻击现象,增强校园网的可管理性,保障校园网安全和运行稳定。(附有相关单位签章证明)

作品所处阶段

中试阶段

技术转让方式

作品可展示的形式

图片、现场演示

使用说明,技术特点和优势,适应范围,推广前景的技术性说明,市场分析,经济效益预测

本系统对于高校校园网IP盗用、MAC搭载及ARP攻击进行实时在线监测,系统投入成本低、性能高、运行稳定。可使校园网络安全秩序进一步完善,有效防治网络滥用和ARP攻击现象,增强校园网的可管理性,保障校园网安全和运行稳定。 系统具有良好的实际应用价值,对类似宽带园区网亦可实施检测、处理等服务,具有广泛的应用和推广前景。

同类课题研究水平概述

当前国内外校园网对“ARP欺骗”攻击类病毒、木马的常用防御技术主要包括:Private VLAN/Super VLAN、接入设备端口绑定、专杀软件工具、网络双向绑定等。 几种技术手段各有优缺点,不同的网络应用环境可以采用不同的技术手段,但就校园网环境而言,最好的是Private VLAN/Super VLAN,无需用户端配合,对网络的影响小,工作量较小,但需要网络设备的支持,在原有网络基础之上投入巨大;接入端口绑定也需要通过网络设备的支持来实现;专杀/防病毒工具是最简单易行的,客户端安装后即可,但依靠的是工具更新,可靠性不佳,工作量大;双向绑定技术在简单的校园网中能有效的防治,但随着网络规模的扩大,网络设备的复杂,就显得力不从心了,尤其是必须得到网络设备的支持,会大大增加网络成本。 因此,这些解决方案仍然不很理想,为避免网络设备的再投入,如何充分发挥其优势,尽可能克服其不足,是值得我们进一步研究的课题,这也正是本课题的研究重点所在。 从现有网络基础设施和升级成本考虑,利用淘汰的低端服务器配以高效安全的数据结构和算法、操作系统以及数据库,既解决了校园网IP盗用及ARP攻击问题,又合理有效地使用闲置资源,有利于构建和谐节约型社会。 [1] Goyal V, Tripathy R. An efficient solution to the ARP cache poisoning problem[C ] / /10th Australasian Conference on Information Security and Privacy (ACISP . 2005 ) . LNCS 3574, Springer Verlag, 2005 . [2] Li Haiying, Chen Hao, Zhuang Zhenquan. Design and implementation of defense system for ARP attack [ J ]. Computer Engineering , 2005, 31 ( 05) : 170 - 171 .
建议反馈 返回顶部