技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，尤其涉及一種局域網(wǎng)內(nèi)部攻擊源的自動定位、隔離方法。

背景技術(shù)

局域網(wǎng)的安全是網(wǎng)絡(luò)安全中非常重要的一環(huán)，在局域網(wǎng)中存在各種各樣的網(wǎng)絡(luò)威脅：例如ARP（Address Resolution Protocol）欺騙、DHCP（Dynamic Host Configuration Potocal）服務(wù)器干擾、UDP Flood洪水攻擊等，外部黑客入侵后也會在局域網(wǎng)內(nèi)興風(fēng)作浪。在網(wǎng)絡(luò)的日常運(yùn)維過程中，用戶端的ARP防火墻、入侵檢測系統(tǒng)IDS（Intrusion Detection System）、上網(wǎng)行為管理以及人工抓包都能夠發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為，并獲得攻擊者的IP （Internet Protocol）地址或者M(jìn)AC(Media Access Control)地址，然后網(wǎng)絡(luò)管理員需要定位攻擊源的網(wǎng)絡(luò)端口和計(jì)算機(jī)，關(guān)閉或者隔離交換機(jī)端口并通知機(jī)主。

這個(gè)過程如果依靠人工操作的話非常困難，首先大型網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)非常復(fù)雜，往往有多個(gè)甚至數(shù)十個(gè)三層設(shè)備、成百上千個(gè)二層設(shè)備，網(wǎng)絡(luò)管理員需要一臺一臺登錄到三層設(shè)備，執(zhí)行查看ARP表的命令，根據(jù)攻擊者的IP地址確定其MAC地址，然后一臺一臺登錄到二層設(shè)備，執(zhí)行查看MAC地址表的命令，根據(jù)MAC地址確定其接入交換機(jī)端口，然后登錄到接入交換機(jī)手工執(zhí)行命令隔離其端口。特別是通常情況下IP地址和MAC地址以及MAC地址和交換機(jī)端口的對應(yīng)關(guān)系是復(fù)雜的多對多關(guān)系，需要進(jìn)行復(fù)雜的判斷才能建立正確的對應(yīng)關(guān)系，判斷過程很繁瑣并且容易出錯(cuò)。

現(xiàn)有的網(wǎng)絡(luò)協(xié)議無法解決上述問題，例如某些局域網(wǎng)啟用802.1x協(xié)議，可以實(shí)現(xiàn)基于MAC地址和端口的認(rèn)證，管理員也可以控制是否允許某個(gè)MAC地址接入網(wǎng)絡(luò)，但是不適合用于局域網(wǎng)攻擊源的定位和隔離，有以下三個(gè)原因：首先部分老舊交換機(jī)不支持802.1x協(xié)議，其次802.1x配置復(fù)雜，需要Radius、AD等后臺支持，最重要的是802.1x是純二層協(xié)議，而網(wǎng)絡(luò)攻擊的定位需要結(jié)合二層協(xié)議和三層協(xié)議。

現(xiàn)在有一些軟件能夠解決上述問題的某一個(gè)環(huán)節(jié)，但是沒有給出整體的解決方案。例如一些軟件實(shí)現(xiàn)了自動采集三層設(shè)備的ARP表或者二層設(shè)備的MAC地址表并保存到數(shù)據(jù)庫，一些軟件例如CiscoWorks的LAN Management Solution (LMS)的User Tracking實(shí)現(xiàn)了IP、MAC、端口定位功能，一些軟件提供了自動操作交換機(jī)端口的功能（通過CLI命令行或者SNMP）等，但是沒有一個(gè)系統(tǒng)把網(wǎng)絡(luò)設(shè)備數(shù)據(jù)采集、IP-MAC定位、MAC-交換機(jī)端口定位、隔離攻擊源這幾個(gè)過程自動整合起來，特別是由于沒有處理IP地址和MAC地址以及MAC地址和交換機(jī)端口的復(fù)雜多對多對應(yīng)關(guān)系，因而無法實(shí)現(xiàn)局域網(wǎng)攻擊源的自動定位和隔離。

為了解決局域網(wǎng)中IP-MAC、MAC-交換機(jī)端口的復(fù)雜對應(yīng)關(guān)系，一些局域網(wǎng)采取了“綁定”方法，包括在路由器綁定IP-MAC地址，在DHCP服務(wù)器綁定IP-MAC地址，在接入交換機(jī)綁定MAC地址和交換機(jī)端口等，這樣做雖然能夠?qū)崿F(xiàn)IP地址和MAC地址以及MAC地址和交換機(jī)端口的一一對應(yīng)，但是會導(dǎo)致使用網(wǎng)絡(luò)非常不靈活，特別是綁定的維護(hù)工作量巨大并且很容易出錯(cuò)。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例所要解決的技術(shù)問題在于，提供一種局域網(wǎng)內(nèi)部攻擊源的自動定位、隔離方法及系統(tǒng)。可自動對局域網(wǎng)內(nèi)部攻擊源進(jìn)行定位隔離。

為了解決上述技術(shù)問題，本發(fā)明實(shí)施例提供了一種局域網(wǎng)內(nèi)部攻擊源的自動定位、隔離方法，包括：

采集網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)并保存到數(shù)據(jù)庫的步驟，根據(jù)攻擊者的IP地址定位MAC地址的步驟，根據(jù)MAC地址定位交換機(jī)端口的步驟，操作接入交換機(jī)以隔離攻擊源的步驟。

進(jìn)一步地，所述根據(jù)攻擊者的IP地址定位MAC地址的步驟還包括處理一個(gè)IP地址對應(yīng)多個(gè)MAC地址的步驟：

通過分析一個(gè)MAC地址對應(yīng)多個(gè)不同IP地址來檢測假冒主機(jī)的ARP欺騙，如果存在假冒主機(jī)的ARP欺騙并且有假冒該IP地址則將IP對應(yīng)到ARP欺騙者的MAC地址，如果不存在假冒主機(jī)的ARP欺騙，對于IP地址正常切換所導(dǎo)致的一個(gè)IP在不同時(shí)刻對應(yīng)不同MAC的情況，通過匹配局域網(wǎng)攻擊發(fā)生的時(shí)間和ARP表中IP-MAC條目的時(shí)間戳，將IP對應(yīng)到一個(gè)MAC地址，對于在IP地址切換過程中ARP表過期時(shí)間內(nèi)會出現(xiàn)新老IP-MAC條目同時(shí)出現(xiàn)的情況，通過依次匹配多個(gè)時(shí)間點(diǎn)的數(shù)據(jù)，等待網(wǎng)絡(luò)設(shè)備舊的ARP表?xiàng)l目過期并且數(shù)據(jù)采集程序更新數(shù)據(jù)后，將IP對應(yīng)到一個(gè)MAC地址。