基于路由欺骗的内网非法外联监控系统设计

摘 要：随着信息技术的迅猛发展，计算机网络已经渗透到政治、军事、教育、生活等领域的各个角落。目前，很多政府部门和企事业单位的机构，都存在着一种专用网络，也就是内网，这种网络的安全防范措施相对简单、薄弱，为防止内部网络中的重要信息和数据受到破坏，笔者与课题成员采用路由欺骗技术进行内网非法外联的监控系统的设计。

关键词：路由欺骗；内网；非法外联

中图分类号：TP393.08

随着信息技术的迅猛发展，计算机网络已经渗透到政治、军事、教育、生活等领域的各个角落。目前，很多政府部门和企事业单位的机构，都存在着一种专用网络。顾名思义，就是该机构的内网，不允许与互联网等外网相连接，用于避免来自外部网络的攻击，但这种网络的安全防范措施相对简单、薄弱，使得内部人员因自己的一时之需，使内网与互联网连接，从而使内部网络中的重要信息和数据受到破坏[1]。非法外联即：内网人员因有意或无意的疏忽，使内部网络计算机通过拨号、双网卡等方式接入外网，从而造成内网中的信息泄露或数据破坏等，从而给信息安全带来隐患。

1 路由欺骗

TCP/TP网络中，完全由路由进行决定IP数据包的传输路径。不管攻击者采用什么样的攻击手段来改变路由[2]，目标主机都能发送IP包给能控制的主机或者路由器，用以监听，防止其篡改等。

2 系统总体设计

在内网路由器中配置外网IP路由是基于路由欺骗的非法外联监控技术的基础，设计出一种达到内部网络物理封闭且安全，并能够实现一旦出现内网非法外联时，系统自动提供报警、审计和阻断的功能。故本系统设计目标如下：

1.具有探测内网中非法外联并且没有安装防火墙的主机。

2.系统以后台服务的方式运行。

3.系统具有图形配置界面。

4.基于Windows XP操作系统。

5.系统的配置文使用XML格式，系统管理员可以直接修改配置文件进行系统配置

6.定期探测被监控的主机，并且生成监控日志。

7.通过Email服务器实时向管理员告警邮件

8.ARP阻断和分布式部署

3 系统的模块设计

系统主要有系统配置和非法外联监控中心两大模块组成。

3.1 系统配置模块

系统配置模块主要有系统服务配置、用户界面、系统配置文件处理、系统日志分析等模块组成，模块之间的关系如图1所示。

图1 系统配置模块关系图

各个模块的功能如下：

（1）系统服务配置

因为系统采用后台服务的方式运行，本模块主要是具有启动和退出该服务的功能。

（2）用户界面

系统为用户提供图形化的界面，该配置界面主要包括被监控主机IP地址的配置、多块网卡的检测与配置、监控日志文件的属性配置、报警邮件的地址配置等。

（3）系统配置文件处理

为系统用户界面模块提供写系统配置文件的配置信息接口。

（4）系统日志分析

分析系统监控日志数据，并且将监控结果通过用户界面提供给用户。

3.2 非法外联监控中心模块

非法外联监控中心主要有后台服务控制、系统配置文件处理、检测、状态分析、日志处理、报警和ARP阻断七大模块组成，模块之间的关系如图2所示。

图2 非法外联监控中心模块关系图

各个模块的功能如下：

（1）后台服务控制

属于非法外联监控中心的控制模块，主要是对其他的模块进行控制。比如对系统配置文件进行系统配置，定时启动探测模块等控制操作。

（2）系统配置文件处理

是其他模块读取系统配置文件中系统配置信息的接口。

（3）检测

使用两张网卡发送检测报文，使用端口扫描机制检测内网中被监控的主机，并将检测结果交给状态分析模块进行分析处理。

（4）状态分析

对检测的结果进行分析，判断被检测主机的状态，该主机的状态主要有三种，即正常、非法外联、关机（或已经安装防火墙）。

（5）日志处理

将检测模块检测的结果与状态分析模块分析的结果，分别写入日志处理中的日志数据库中。

（6）报警

当系统异常时，通过邮件服务器向系统管理员发送报警邮件。

（7）APR阻断

通过发送APR伪造报文的形式，阻止非法外联的主机和内部网络进行互联。

4 结束语

本文确立了系统的总体设计目标，对系统的模块进行总体设计，系统主要有系统配置和非法外联监控中心两个子系统组成，对子系统进行了细化，把每个子系统中的每个模块的功能进行了说明，为下一步系统的实现打下了基础。

参考文献：

[1]周晴伦，石恒，高明.一种非法主机接入内部网络监视系统的设计与实现[J].桂林电子科技大学学报，2011（04）：34-36.

[2]苏磊.浅谈上网行为管理在网络中应用[J].中小企业管理与科技，2009（34）：277-278.

作者简介：韩利娟（1977.6-），女，高校讲师，毕业于河南师范大学计算机科学与技术专业，硕士学位，从事计算机教学工作。

作者单位：濮阳职业技术学院，河南濮阳 457000