实战|​​IP地址抵触检测方式研讨与理论

[db:作者]

文/中国光大银行信息技术部刘毅勇魏姚辉
IP地址抵触是指一台主机被设置了与局域网内其他主机不异的IP地址，使得原主机没法一般打点营业他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。这类信息生效事务会对实时买卖营业，特别是金融行业营业形成严重影响他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。快速检测和定位收集合的IP地址抵触是很是重要的他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。下面将对分歧的IP地址抵触场景停止分析，对传统的日志监控方式停止梳理，研讨两种报文收集和定位的方式，旨在实现快速检测和定位，进步运维效力他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
数据转发和ip地址抵触进程的测试ARP地址剖析是主机发现收集层IP地址和链路层MAC地址的映照关系的进程他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。ARP运转的关键是保护ARP缓存表，该表记录了每台主机和路由器上ip地址和MAC地址的映照关系他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。下图中，当主机B需要向主机C发送一个数据包时，B只晓得C的IP地址，经过查询主机B的ARP缓存表，找不到该IP对应的MAC地址，所以主机B的数据链路层没法封装MAC帧，将数据包发送给主机C他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
图1主机B经过ARP缓存表查找主机C的MAC地址
为了获得主机C的MAC地址以便向主机C发送消息，主机B需要广播ARP请求消息来请求目标IP地址的MAC地址他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。主机C收到B的广播帧后，首先在其ARP缓存表中记录B的ip和MAC的映照关系，然后发送ARP响应告诉自己的MAC地址他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
图2主机B广播ARP请求消息
主机B收到C的ARP响应后，将MAC地址记录在自己的ARP缓存表中，然后便可以封装MAC帧，将数据包发送给主机C，其他主机收到后会疏忽他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
图3主机C发送ARP响应消息
地址剖析协议ARP还有一个功用，免费ARP他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。该函数的首要功用是检测IP地址抵触他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。免费ARP是一种特别的ARP请求他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。当主机启动时，它发送一个免费的ARP请求来请求自己IP地址的MAC地址他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
图4免费ARP请求消息
免费ARP请求凡是有两个目标他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。第一个目标是当IP地址变动成对应的MAC地址时，经过ARP请哀告诉局域网中的其他主机更新ARP缓存表他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。第二个目标是肯定LAN中能否有主机设置了与自己不异的IP地址他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。对于第二个目标，主机不希望收到对这个请求的响应，由于一旦收到响应，就证实另一台主机也设置了不异的IP地址，收集合存在IP地址抵触他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
图5免费ARP响应消息
免费ARP报文可以用来检测能否存在IP地址抵触他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。为了测试IP地址抵触时分歧操纵系统的ARP交互，我们设备了以下测试情况，经过变动主机的IP地址设置来模拟IP地址抵触他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
图6 ARP交互尝试情况表示图
以Linux系统下测试IP地址抵触时ARP交互的尝试为例他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。尝试以下他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
1.尝试进程
(1)利用Linux B(192 . 168 . 198 . 130)ping Linux C(192 . 168 . 198 . 131)和Linux C ping Linux B，模拟主机B和主机C之间的一般收集通讯..
图7主机B和主机C相互发送ping数据包以模拟收集通讯
(2)将Linux A的IP地址(192.168.198.129)改成192.168.198.130，以模拟Linux A自动制造与Linux B的IP地址抵触他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
图8主机A的活动制造和主机b之间的IP地址抵触他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
(3)在局域网中捕捉数据包，利用wireshark分析IP地址抵触下主机的交互他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
2.尝试分析
(Linux a点窜地址后，主机a立即发送以主机a的MAC为源MAC，ff: ff: ff: ff: ff为目标MAC的免费ARP广播，经过全网告诉主机a其IP地址为192.168.198.130他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
(2)主机B收到主机A的免费ARP后，以主机B的MAC为源MAC，FF: FF: FF: FF: FF为目标MAC停止响应，公布主机B在全网的IP为192.168.198.130他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
(3)主机A持续发送4次免费ARP通告，但主机B只会在第一时候响应他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
(4)由于主机A屡次发送免费ARP，主机C的ARP缓存表中记录的192.168.198.130此时为主机A，主机C与192.168.198.130之间的通讯不中断他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
图9主机IP地址抵触后的ARP交互
(5)主机B(此时IP地址抵触)与主机C (192.168.198.131)的通讯中断，经过数据包可以找到主机B(IP:192 . 168 . 198 . 130)；Mac: 00: 0C: 29: FF: 12: 87)拜候C主机(IP:192 . 168 . 198 . 131；Mac: 00: 0c: 29: 38: 83: 18)，C主机向A主机发回一个数据包(IP:192 . 168 . 198 . 130；MAC:00:0c:29:34:eb:e2).
图10 B主计较机和主计较机C之间的收集通讯被中断他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
(6)主机B和主机C通讯超时后，主机C会再次请求ARP，请求192.168.198.131的MAC地址他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。当主机C收到这个ARP时，会将ARP缓存表中192.168.198.130对应的MAC地址更新为主机B的MAC地址，然后主机B会规复与主机C的通讯他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
图11 B主机规复与c的通讯他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
3.尝试结论
自动制造IP地址抵触的Linux主机遇屡次发送免费ARP，抵触的Linux主机遇返回一个免费ARP他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。在通讯进程中，存在经过ARP请求从对方手中掠取IP的现象他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
然后，用一样的方式模拟了三组尝试:SUSE系统IP地址抵触、Windows系统IP地址抵触和Windows系统自动制造IP地址抵触，尝试结论以下他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
表1 IP地址抵触时分歧系统的ARP交互
ip地址抵触响应机制总结经过以上测试和其他技术上的领会，我们总结了主机(一切设置了ip地址并生活在收集合的产物)对IP地址抵触的响应机制他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。下表列出了一些触及的产物他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
表2 IP地址抵触平分歧产物的日志记录和ARP交互
注:表中“是”和“否”只对测试版本和产物型号有用，不保证对本产物分歧系列或版本有用他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
IP抵触检测计划1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。计划1:主机日志和收集系统日志监控
对于可以记录ip地址抵触日志的主机，可以对主机发生的响应日志停止监控和分析，并发生报警；对于可以发出ip地址抵触的syslog的收集装备，可以对syslog停止分析、监控和告警他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
图12 IP地址抵触时SuSE系统的日志示例
2.计划2:消息MAC检测
经过流量收集装备收集收集合的一切流量，分析ip和对应的MAC地址，发送到大数据分析平台他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。在过滤收集装备的MAC地址后，假如一个ip地址对应多个分歧的MAC地址，则肯定能够存在ip地址抵触他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
图13 TCP/IP收集模子的帧封装图
在TCP/IP收集模子中，分歧的层封装了分歧的信息他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。数据链路层首要封装源MAC和目标MAC地址，收集层首要封装源IP和目标IP他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。是以，经过对收集合的报文停止解包，可以获得收集合一切的IP-MAC映照关系，经过计较可以分析能否存在IP地址抵触(即分歧的MAC地址映照到同一个IP地址)他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。但由于企业收集情况复杂，消息数据量大，这类方式的实现本钱较高他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
3.计划3: ARP报文检测
经过收集流量收集，将一切ARP流量实时推送到大数据分析平台他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。假如发现有多个分歧的MAC地址声明同一个IP对应同一时候段，则判定为IP地址抵触他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。具体实现方式:收集收集装备精准过滤ARP流量并推送进来他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。推送的消息格式为:发送方MAC(主机)，一切方针MAC为F(广播)，通告IP，时候戳，交换机称号他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。大数据平台收到这些数据后，会在同一秒(或更短)内判定能否有多个分歧的MAC对应同一个广告IP他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。由于数据收集推送带有交换机称号或id的标识，可以快速定位抵触IP地点的收集位置，便于相关处置操纵、隔离故障源、规复营业他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
4.三种计划的优弱点比力
表3三种分歧计划的优弱点比力
以上三种计划各有益弊他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。我们倡议“计划一:主机和Syslog监控”和“计划三:ARP报文检测”的组合计划，希望实现IP地址抵触和故障定位的快速发现他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。