本發(fā)明涉及網(wǎng)絡(luò)通信
技術(shù)領(lǐng)域:
:�����,尤其涉及一種局域網(wǎng)內(nèi)部攻擊源的自動(dòng)定位���、隔離方法。
背景技術(shù):
::局域網(wǎng)的安全是網(wǎng)絡(luò)安全中非常重要的一環(huán)�,在局域網(wǎng)中存在各種各樣的網(wǎng)絡(luò)威脅:例如arp(addressresolutionprotocol)欺騙、dhcp(dynamichostconfigurationpotocal)服務(wù)器干擾、udpflood洪水攻擊等��,外部黑客入侵后也會(huì)在局域網(wǎng)內(nèi)興風(fēng)作浪�。在網(wǎng)絡(luò)的日常運(yùn)維過程中,用戶端的arp防火墻�����、入侵檢測(cè)系統(tǒng)ids(intrusiondetectionsystem)�、上網(wǎng)行為管理以及人工抓包都能夠發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為,并獲得攻擊者的ip(internetprotocol)地址或者mac(mediaaccesscontrol)地址�,然后網(wǎng)絡(luò)管理員需要定位攻擊源的網(wǎng)絡(luò)端口和計(jì)算機(jī),關(guān)閉或者隔離交換機(jī)端口并通知機(jī)主��。這個(gè)過程如果依靠人工操作的話非常困難��,首先大型網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)非常復(fù)雜����,往往有多個(gè)甚至數(shù)十個(gè)三層設(shè)備、成百上千個(gè)二層設(shè)備�����,網(wǎng)絡(luò)管理員需要一臺(tái)一臺(tái)登錄到三層設(shè)備����,執(zhí)行查看arp表的命令�����,根據(jù)攻擊者的ip地址確定其mac地址�����,然后一臺(tái)一臺(tái)登錄到二層設(shè)備�����,執(zhí)行查看mac地址表的命令�,根據(jù)mac地址確定其接入交換機(jī)端口��,然后登錄到接入交換機(jī)手工執(zhí)行命令隔離其端口���。特別是通常情況下ip地址和mac地址以及mac地址和交換機(jī)端口的對(duì)應(yīng)關(guān)系是復(fù)雜的多對(duì)多關(guān)系���,需要進(jìn)行復(fù)雜的判斷才能建立正確的對(duì)應(yīng)關(guān)系,判斷過程很繁瑣并且容易出錯(cuò)?����,F(xiàn)有的網(wǎng)絡(luò)協(xié)議無法解決上述問題�,例如某些局域網(wǎng)啟用802.1x協(xié)議,可以實(shí)現(xiàn)基于mac地址和端口的認(rèn)證�,管理員也可以控制是否允許某個(gè)mac地址接入網(wǎng)絡(luò),但是不適合用于局域網(wǎng)攻擊源的定位和隔離����,有以下三個(gè)原因:首先部分老舊交換機(jī)不支持802.1x協(xié)議,其次802.1x配置復(fù)雜����,需要radius、ad等后臺(tái)支持��,最重要的是802.1x是純二層協(xié)議��,而網(wǎng)絡(luò)攻擊的定位需要結(jié)合二層協(xié)議和三層協(xié)議?�,F(xiàn)在有一些軟件能夠解決上述問題的某一個(gè)環(huán)節(jié)�����,但是沒有給出整體的解決方案���。例如一些軟件實(shí)現(xiàn)了自動(dòng)采集三層設(shè)備的arp表或者二層設(shè)備的mac地址表并保存到數(shù)據(jù)庫����,一些軟件例如ciscoworks的lanmanagementsolution(lms)的usertracking實(shí)現(xiàn)了ip、mac�、端口定位功能,一些軟件提供了自動(dòng)操作交換機(jī)端口的功能(通過cli命令行或者snmp)等����,但是沒有一個(gè)系統(tǒng)把網(wǎng)絡(luò)設(shè)備數(shù)據(jù)采集、ip-mac定位�、mac-交換機(jī)端口定位、隔離攻擊源這幾個(gè)過程自動(dòng)整合起來��,特別是由于沒有處理ip地址和mac地址以及mac地址和交換機(jī)端口的復(fù)雜多對(duì)多對(duì)應(yīng)關(guān)系��,因而無法實(shí)現(xiàn)局域網(wǎng)攻擊源的自動(dòng)定位和隔離�����。為了解決局域網(wǎng)中ip-mac���、mac-交換機(jī)端口的復(fù)雜對(duì)應(yīng)關(guān)系�,一些局域網(wǎng)采取了“綁定”方法����,包括在路由器綁定ip-mac地址����,在dhcp服務(wù)器綁定ip-mac地址�����,在接入交換機(jī)綁定mac地址和交換機(jī)端口等�����,這樣做雖然能夠?qū)崿F(xiàn)ip地址和mac地址以及mac地址和交換機(jī)端口的一一對(duì)應(yīng)���,但是會(huì)導(dǎo)致使用網(wǎng)絡(luò)非常不靈活,特別是綁定的維護(hù)工作量巨大并且很容易出錯(cuò)���。技術(shù)實(shí)現(xiàn)要素:本發(fā)明實(shí)施例所要解決的技術(shù)問題在于�����,提供一種局域網(wǎng)內(nèi)部攻擊源的自動(dòng)定位�、隔離方法及系統(tǒng)���?���?勺詣?dòng)對(duì)局域網(wǎng)內(nèi)部攻擊源進(jìn)行定位隔離。為了解決上述技術(shù)問題�,本發(fā)明實(shí)施例提供了一種局域網(wǎng)內(nèi)部攻擊源的自動(dòng)定位、隔離方法����,包括:采集網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)并保存到數(shù)據(jù)庫的步驟,根據(jù)攻擊者的ip地址定位mac地址的步驟�����,根據(jù)mac地址定位交換機(jī)端口的步驟��,操作接入交換機(jī)以隔離攻擊源的步驟����。進(jìn)一步地,所述根據(jù)攻擊者的ip地址定位mac地址的步驟還包括處理一個(gè)ip地址對(duì)應(yīng)多個(gè)mac地址的步驟:通過分析一個(gè)mac地址對(duì)應(yīng)多個(gè)不同ip地址來檢測(cè)假冒主機(jī)的arp欺騙�����,如果存在假冒主機(jī)的arp欺騙并且有假冒該ip地址則將ip對(duì)應(yīng)到arp欺騙者的mac地址��,如果不存在假冒主機(jī)的arp欺騙,對(duì)于ip地址正常切換所導(dǎo)致的一個(gè)ip在不同時(shí)刻對(duì)應(yīng)不同mac的情況��,通過匹配局域網(wǎng)攻擊發(fā)生的時(shí)間和arp表中ip-mac條目的時(shí)間戳�,將ip對(duì)應(yīng)到一個(gè)mac地址,對(duì)于在ip地址切換過程中arp表過期時(shí)間內(nèi)會(huì)出現(xiàn)新老ip-mac條目同時(shí)出現(xiàn)的情況�,通過依次匹配多個(gè)時(shí)間點(diǎn)的數(shù)據(jù),等待網(wǎng)絡(luò)設(shè)備舊的arp表?xiàng)l目過期并且數(shù)據(jù)采集程序更新數(shù)據(jù)后�����,將ip對(duì)應(yīng)到一個(gè)mac地址��。更進(jìn)一步地����,所述根據(jù)mac地址定位交換機(jī)端口的步驟還包括:首先過濾掉交換機(jī)的級(jí)聯(lián)口���,對(duì)于端口正常切換所導(dǎo)致一個(gè)mac在不同時(shí)刻對(duì)應(yīng)不同的接入交換機(jī)端口的情況���,通過匹配局域網(wǎng)攻擊發(fā)生的時(shí)間和mac地址表中mac-交換機(jī)端口條目的時(shí)間戳,將mac地址對(duì)應(yīng)到一個(gè)接入交換機(jī)端口���,對(duì)于在網(wǎng)絡(luò)端口切換過程中mac地址表過期時(shí)間內(nèi)會(huì)出現(xiàn)新老mac-交換機(jī)端口條目同時(shí)出現(xiàn)的情況���,通過依次匹配多個(gè)時(shí)間點(diǎn)的數(shù)據(jù)����,等待網(wǎng)絡(luò)設(shè)備舊的mac地址表?xiàng)l目過期并且數(shù)據(jù)采集程序更新后�����,將mac對(duì)應(yīng)到一個(gè)交換機(jī)端口���。更進(jìn)一步地�����,所述操作接入交換機(jī)以隔離攻擊源的步驟包括根據(jù)預(yù)先設(shè)置的管理策略選擇采取物理隔離或者邏輯隔離��,然后使用snmpset操作接入交換機(jī)設(shè)置相應(yīng)oid的值實(shí)現(xiàn)隔離操作��,所述物理隔離為關(guān)閉交換機(jī)端口�����,所屬邏輯隔離為將交換機(jī)端口設(shè)置成某一個(gè)隔離的vlan�����。實(shí)施本發(fā)明實(shí)施例�����,具有如下有益效果:本發(fā)明能夠適應(yīng)于各種網(wǎng)絡(luò)環(huán)境���,不需要任何人工操作�,網(wǎng)絡(luò)規(guī)模越大����、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)越復(fù)雜本發(fā)明的效果越明顯,采用本發(fā)明能夠大大縮短網(wǎng)絡(luò)安全事件的處理時(shí)間���,提高網(wǎng)絡(luò)管理員的工作效率,保證局域網(wǎng)的網(wǎng)絡(luò)安全�。附圖說明圖1是攻擊源定位、隔離的流程圖����;圖2是數(shù)據(jù)采集程序的拓?fù)浣Y(jié)構(gòu)圖;圖3是數(shù)據(jù)庫的部分?jǐn)?shù)據(jù)字典��;圖4是數(shù)據(jù)庫的部分?jǐn)?shù)據(jù)字典�����。具體實(shí)施方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚�,下面將結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步地詳細(xì)描述。本發(fā)明實(shí)施例的一種局域網(wǎng)內(nèi)部攻擊源的自動(dòng)定位�、隔離方法包括以下步驟。結(jié)合圖1所示�����。數(shù)據(jù)采集步驟:數(shù)據(jù)采集程序自動(dòng)采集網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)并保存到數(shù)據(jù)庫����。數(shù)據(jù)采集程序使用snmp獲取網(wǎng)絡(luò)設(shè)備mib(managementinformationbase)的數(shù)據(jù),目前的網(wǎng)絡(luò)設(shè)備都支持snmp協(xié)議����,通過snmp的方式操作網(wǎng)絡(luò)設(shè)備和設(shè)備的廠商型號(hào)(私有mib除外)及軟件配置無關(guān),snmpv2提供了get-bulk原語(絕大多數(shù)網(wǎng)絡(luò)設(shè)備都支持snmpv2)���,一次請(qǐng)求就可以獲取mib的一個(gè)表結(jié)構(gòu)數(shù)據(jù)����,大大減少了程序和網(wǎng)絡(luò)設(shè)備的交互次數(shù)���,提高了性能并簡化了編程���。數(shù)據(jù)采集程序使用get-bulk向網(wǎng)絡(luò)設(shè)備發(fā)起snmp請(qǐng)求(如果設(shè)備不支持snmpv2則使用get和get-next)���,網(wǎng)絡(luò)設(shè)備返回所請(qǐng)求的數(shù)據(jù),采集程序接收并解析數(shù)據(jù)后調(diào)用存儲(chǔ)過程寫數(shù)據(jù)庫���,數(shù)據(jù)采集模塊的結(jié)構(gòu)圖如圖2所示��。需要采集以下的mib數(shù)據(jù)項(xiàng):ipnettomediatable(新標(biāo)準(zhǔn)是ipnettophysicaltable)����、iftable���、dot1dbaseport�����、dot1qvlan(cisco設(shè)備是vtpvlan)、dot1dtpfdbtable和dot1qtpfdbtable����。這些數(shù)據(jù)項(xiàng)的更新頻率差別很大��,dot1dbaseport�、dot1qvlan等數(shù)據(jù)幾乎不會(huì)改變���,而通常arp表的過期時(shí)間是20分鐘����,mac地址表的過期時(shí)間是300秒����,數(shù)據(jù)采集程序采集的時(shí)間間隔要小于過期時(shí)間才能保證不會(huì)丟失數(shù)據(jù)。數(shù)據(jù)庫的設(shè)計(jì):數(shù)據(jù)庫系統(tǒng)采用傳統(tǒng)的關(guān)系數(shù)據(jù)庫���,由于攻擊源的定位需要多表連接等復(fù)雜查詢�����,不能使用nosql數(shù)據(jù)庫�,推薦使用mysql等開源數(shù)據(jù)庫�����。在數(shù)據(jù)庫中建立網(wǎng)絡(luò)設(shè)備基礎(chǔ)信息表�、arp表�����、網(wǎng)絡(luò)設(shè)備接口表�、橋端口表�、vlan表、mac地址表���、操作日志表等數(shù)據(jù)表�,數(shù)據(jù)字典如圖3���、圖4所示�。其中表tb_network_device存放網(wǎng)絡(luò)設(shè)備基礎(chǔ)信息��,網(wǎng)絡(luò)設(shè)備的基礎(chǔ)信息可以手工輸入��,也可以根據(jù)設(shè)置的ip地址范圍自動(dòng)搜索�����,或者使用鄰居發(fā)現(xiàn)協(xié)議自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備�����。日志表記錄數(shù)據(jù)采集日志�、隔離端口操作日志等,日志數(shù)據(jù)由系統(tǒng)自動(dòng)生成�����。其他的數(shù)據(jù)從網(wǎng)絡(luò)設(shè)備自動(dòng)采集�����,這些表每一個(gè)都對(duì)應(yīng)snmpmib的一個(gè)表數(shù)據(jù)�����,數(shù)據(jù)表的設(shè)計(jì)(表名���、字段名和數(shù)據(jù)類型)建議完全參照mib的數(shù)據(jù)項(xiàng)��,忽略一些用不到的數(shù)據(jù)項(xiàng)����,并且增加了設(shè)備ip�����、時(shí)間戳等字段。數(shù)據(jù)保存到數(shù)據(jù)庫的策略:如果只需要查詢當(dāng)前ip-mac��、mac-交換機(jī)端口對(duì)應(yīng)關(guān)系�,只需要在數(shù)據(jù)庫中保存最新的數(shù)據(jù),如果只是檢測(cè)假冒主機(jī)的arp欺騙���,只需要在數(shù)據(jù)庫中保存發(fā)生變化的mac-ip�。有些網(wǎng)絡(luò)攻擊是當(dāng)前正在發(fā)生的�,例如網(wǎng)絡(luò)抓包發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊,也有些網(wǎng)絡(luò)攻擊是過去某一個(gè)時(shí)刻或者某一個(gè)時(shí)間段發(fā)生的����,例如通過分析網(wǎng)絡(luò)設(shè)備日志發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊,用戶端arp防火墻上報(bào)的網(wǎng)絡(luò)攻擊等�。本發(fā)明必須準(zhǔn)確查詢當(dāng)前和過去某一個(gè)時(shí)刻的ip-mac、mac-交換機(jī)對(duì)應(yīng)關(guān)系���,因此必須在數(shù)據(jù)庫中保存所有采集到的ip-mac�����、mac-交換機(jī)端口數(shù)據(jù)�。由于ip-mac、mac-交換機(jī)端口的數(shù)據(jù)量很大���,并且不會(huì)用到太久以前的數(shù)據(jù),系統(tǒng)只保存最近一個(gè)月的數(shù)據(jù)���,定期清除過期的歷史數(shù)據(jù)�。根據(jù)攻擊者的ip地址定位mac地址的步驟:如果只知道攻擊者的ip地址而不知道其mac地址(ids����、上網(wǎng)行為管理系統(tǒng)等三層設(shè)備上報(bào)的網(wǎng)絡(luò)攻擊),需要根據(jù)ip地址查詢數(shù)據(jù)庫得到mac地址�����,如果已經(jīng)知道攻擊者的mac地址(例如用戶端arp防火墻發(fā)現(xiàn)的攻擊源��,同一個(gè)網(wǎng)段內(nèi)人工抓包發(fā)現(xiàn)的攻擊源)則跳過這一步����。根據(jù)ip地址定位mac地址的時(shí)候,要區(qū)分一個(gè)ip地址對(duì)應(yīng)一個(gè)mac地址和一個(gè)ip地址對(duì)應(yīng)多個(gè)mac地址的不同情況����,一個(gè)ip地址對(duì)應(yīng)多個(gè)mac地址又分為假冒主機(jī)的arp欺騙和ip地址的正常切換等不同情況。當(dāng)網(wǎng)絡(luò)攻擊者的ip地址對(duì)應(yīng)到多個(gè)mac地址時(shí)候,首先檢測(cè)網(wǎng)絡(luò)中是否存在假冒主機(jī)的arp欺騙�����。具體方法是:通過累加每一個(gè)mac地址的不同ip數(shù)目�����,如果某個(gè)mac地址的不同ip數(shù)目大于某個(gè)閾值(通常設(shè)置為3)���,就認(rèn)為其是假冒主機(jī)的arp欺騙�����,對(duì)于這種情況��,將ip地址對(duì)應(yīng)到arp欺騙者的mac地址���。這樣做的依據(jù)是如果已經(jīng)確定攻擊源本身進(jìn)行了arp欺騙(例如通過arp防火墻上報(bào)的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)抓包發(fā)現(xiàn)的arp欺騙等)��,則將ip地址對(duì)應(yīng)到arp欺騙者的mac地址是完全正確的�。即使是某種極端情況(理論上存在,現(xiàn)實(shí)中幾乎不存在)����,某一個(gè)時(shí)段內(nèi)同一個(gè)ip地址對(duì)應(yīng)的多個(gè)mac地址�����,其中一個(gè)mac地址進(jìn)行arp欺騙�����,而其他的mac地址進(jìn)行其他網(wǎng)絡(luò)攻擊(例如dhcp服務(wù)器干擾等),針對(duì)這種情況也要先處理arp欺騙��,因?yàn)橐话闱闆r下arp欺騙對(duì)網(wǎng)絡(luò)影響最大����。排除了假冒主機(jī)的arp欺騙之后,也可能存在網(wǎng)絡(luò)攻擊者的ip地址對(duì)應(yīng)到多個(gè)mac地址����,然后區(qū)分是不同時(shí)刻對(duì)應(yīng)多個(gè)mac地址還是同一個(gè)時(shí)刻對(duì)應(yīng)多個(gè)mac地址兩種情況。對(duì)于ip地址正常切換的情況����,由于數(shù)據(jù)庫中保存了ip-mac的歷史記錄,一個(gè)ip地址會(huì)查詢到多個(gè)mac地址���,通過匹配網(wǎng)絡(luò)攻擊發(fā)生的時(shí)間和arp條目的時(shí)間戳就可以將ip對(duì)應(yīng)到一個(gè)mac地址��。由于在ip地址切換過程中arp表緩存期間內(nèi)會(huì)出現(xiàn)新老ip-mac同時(shí)出現(xiàn)的情況��,導(dǎo)致同一個(gè)時(shí)刻一個(gè)ip地址對(duì)應(yīng)多個(gè)mac地址(也就是網(wǎng)絡(luò)攻擊發(fā)生的時(shí)間和ip地址正常切換的時(shí)間剛好重合�����,只是理論上存在這種可能���,現(xiàn)實(shí)中幾乎不存在)���,通過匹配多個(gè)時(shí)間點(diǎn)的數(shù)據(jù)(多個(gè)時(shí)間點(diǎn)之間的時(shí)間間隔大于arp表的過期時(shí)間)就可以處理這種情況,過濾無關(guān)數(shù)據(jù)����,從而達(dá)到ip-mac一一對(duì)應(yīng)。根據(jù)mac地址定位交換機(jī)端口的步驟:以下幾種原因會(huì)導(dǎo)致一個(gè)mac地址對(duì)應(yīng)多個(gè)交換機(jī)端口:由于交換機(jī)之間的級(jí)聯(lián)�����,級(jí)聯(lián)口會(huì)包括其下面連接的所有mac地址���;計(jì)算機(jī)更換端口�。首先需要排除交換機(jī)的級(jí)聯(lián)口,主要有三種方法:事先手工標(biāo)注交換機(jī)的級(jí)聯(lián)口(既包括上聯(lián)口也包括下聯(lián)口)���,利用鄰居發(fā)現(xiàn)協(xié)議自動(dòng)建立網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�,累計(jì)每個(gè)交換機(jī)端口下面的mac地址數(shù)自動(dòng)判斷出接入交換機(jī)端口和級(jí)聯(lián)口���。對(duì)于計(jì)算機(jī)更換交換機(jī)端口的情況�,處理方法和處理ip-mac地址正常切換的方法一樣���,對(duì)于同一個(gè)mac地址不同時(shí)刻對(duì)應(yīng)不同的接入交換機(jī)端口,通過匹配網(wǎng)絡(luò)攻擊發(fā)生的時(shí)間和mac地址表?xiàng)l目的時(shí)間戳就可以處理這種情況�����,從而達(dá)到mac地址和接入交換機(jī)端口的一一對(duì)應(yīng)�����。由于在端口切換過程中mac地址表緩存期間內(nèi)會(huì)出現(xiàn)新老mac-交換機(jī)端口同時(shí)出現(xiàn)的情況�����,導(dǎo)致同一個(gè)時(shí)刻一個(gè)mac地址對(duì)應(yīng)多個(gè)接入交換機(jī)端口(也就是網(wǎng)絡(luò)攻擊發(fā)生的時(shí)間和端口切換的時(shí)間剛好重合��,只是理論上存在這種可能,現(xiàn)實(shí)中幾乎不存在)����,通過匹配多個(gè)時(shí)間點(diǎn)的數(shù)據(jù)(多個(gè)時(shí)間點(diǎn)之間的時(shí)間間隔大于mac地址表的過期時(shí)間)就可以處理這種情況,過濾無關(guān)數(shù)據(jù)��,從而達(dá)到mac-交換機(jī)端口一一對(duì)應(yīng)����。在snmp的mib中mac地址表對(duì)應(yīng)dot1dtpfdbtable和dot1qtpfdbtable,其中mac地址對(duì)應(yīng)數(shù)據(jù)項(xiàng)dot1dtpfdbaddress�,端口號(hào)對(duì)應(yīng)數(shù)據(jù)項(xiàng)dot1dtpfdpport,這里的端口號(hào)不是對(duì)應(yīng)到網(wǎng)絡(luò)設(shè)備接口iftable的索引號(hào)ifindex�,而是對(duì)應(yīng)到橋端口表dot1dbaseport的端口號(hào),然而操作交換機(jī)端口(關(guān)閉或者打開)是通過索引號(hào)ifindex操作網(wǎng)絡(luò)設(shè)備接口表iftable���,所以需要連接橋端口表dot1dbaseport和接口索引表iftable����,將mac地址對(duì)應(yīng)到交換機(jī)端口的索引號(hào)ifindex和端口描述ifdescr���。操作交換機(jī)隔離攻擊源的步驟:當(dāng)定位攻擊源的接入交換機(jī)端口后�,接下來操作交換機(jī)隔離攻擊源��,隔離的方法有兩種:物理隔離(關(guān)閉接入交換機(jī)端口)和邏輯隔離(把交換機(jī)端口設(shè)置為一個(gè)特殊的vlan)。推薦采用物理隔離����,簡單粗暴有效,邏輯隔離實(shí)現(xiàn)相對(duì)復(fù)雜�,并且udp洪水攻擊等依然有可能影響網(wǎng)絡(luò)設(shè)備,邏輯隔離唯一的優(yōu)點(diǎn)是可以實(shí)現(xiàn)當(dāng)被隔離電腦打開瀏覽器上網(wǎng)的時(shí)候系統(tǒng)重定向到一個(gè)提示網(wǎng)頁�,告訴用戶因?yàn)榫W(wǎng)絡(luò)安全原因其端口被隔離,而物理隔離對(duì)于用戶而言沒有提示信息���,用戶很可能以為是網(wǎng)卡�����、網(wǎng)線、操作系統(tǒng)等其他原因?qū)е戮W(wǎng)絡(luò)故障�����。操作交換機(jī)端口可以使用snmp或者cli命令�����,推薦采用snmp的方式���,通過操作標(biāo)準(zhǔn)的mib就可以實(shí)現(xiàn)關(guān)閉交換機(jī)端口實(shí)現(xiàn)物理隔離����,而邏輯隔離設(shè)置端口的vlan會(huì)涉及到私有mib。通過設(shè)置iftable.ifentry的ifadminstatus的值就可以關(guān)閉或者打開端口�����,以下是ifadminstatus的值和含義�����。1:up2:down3:testing操作ifadminstatus的時(shí)候需要通過接口索引ifindex來進(jìn)行�,例如關(guān)閉交換機(jī)10.1.1.1的接口索引是5的端口的命令如下:snmpset-v2c-cpublic10.1.1.1.1.3.6.1.2.1.2.1.7.52關(guān)閉交換機(jī)端口后,在數(shù)據(jù)庫中記錄操作日志����,提供以后查詢使用。各個(gè)流程之間的銜接步驟:網(wǎng)絡(luò)管理員只需要提供網(wǎng)絡(luò)攻擊發(fā)生的時(shí)間��、攻擊者的ip地址或者mac地址�,系統(tǒng)會(huì)自動(dòng)進(jìn)行查詢定位、隔離操作����、并記錄日志���,管理員通過查看日志監(jiān)控系統(tǒng)運(yùn)行。系統(tǒng)能自動(dòng)處理ip地址到mac地址�����、mac地址到接入交換機(jī)端口的各種復(fù)雜對(duì)應(yīng)關(guān)系��,確保任何情況下都不會(huì)發(fā)生誤操作�����。以上所揭露的僅為本發(fā)明一種較佳實(shí)施例而已����,當(dāng)然不能以此來限定本發(fā)明之權(quán)利范圍,因此依本發(fā)明權(quán)利要求所作的等同變化��,仍屬本發(fā)明所涵蓋的范圍�。當(dāng)前第1頁12當(dāng)前第1頁12