??IP地址沖突檢測方法研究與實踐 - 網安 - 專業的網絡安全產業、社區、知識平臺

IP地址沖突是指在局域網中某主機配置了與其他主機相同的IP地址導致原主機無法正常處理業務，這種信息故障事件對于實時交易業務尤其是金融行業業務會帶來嚴重影響，快速檢測網絡中IP地址沖突并定位至關重要。下文將分析不同IP地址沖突場景，整理傳統日志監控方式以及研究兩種報文采集定位方法，旨在實現快速檢測定位，提高運維效率。

數據報文轉發與IP地址沖突過程測試

ARP地址解析是主機發現從網絡層IP地址到鏈路層MAC地址之間映射關系的過程。地址解析協議ARP運行的關鍵是維護每個主機和路由器上記錄了IP地址與MAC地址映射關系的ARP高速緩存表。下圖中當主機B需要給主機C發送數據包時，B只知道C的IP地址，通過查詢主機B的ARP高速緩存表未找到IP對應的MAC地址，導致主機B的數據連路層無法封裝MAC幀，無法給主機C發送數據包。

圖1 主機B通過ARP高速緩存表

查找主機C的MAC地址

為獲取主機C的MAC地址以便于給主機C發送報文，主機B需要廣播一條ARP請求報文，來請求目的IP地址的MAC地址。主機C在接收到B的廣播幀之后，首先將B的IP與MAC映射關系記錄到其ARP高速緩存表中，隨后發送ARP響應告知自己的MAC地址。

圖2 主機B廣播ARP請求報文

主機B在接收到C的ARP響應后將MAC地址記錄在自己的ARP高速緩存表中，隨后就可以封裝MAC幀給主機C發送數據包，其他主機接收到之后不予理會。

圖3 主機C發送ARP響應報文

地址解析協議ARP還有另外一個功能免費ARP，此功能的主要作用是為了檢測IP地址沖突。免費ARP是一種特殊的ARP請求，當主機啟動的時候，發送一個免費ARP請求，請求自己的IP地址的MAC地址。

圖4 免費ARP請求報文

免費ARP請求通常有兩個目的，第一個目的是當IP地址更改了對應的MAC地址時通過該ARP請求告知局域網內其他主機更新ARP高速緩存表。第二個目的則是確定局域網中是否有主機配置了與自己相同的IP地址。對于第二個目的來說，主機并不希望收到此請求的響應，因為一旦收到響應就證明有另一臺主機也配置了相同的IP地址，網絡中發生了IP地址沖突。

圖5 免費ARP響應報文

基于免費ARP報文可以檢測是否存在IP地址沖突。為測試不同操作系統在IP地址沖突時ARP交互情況，我們搭建如下測試環境，通過更改主機的IP地址配置來模擬IP地址沖突。

圖6 ARP交互實驗環境示意圖

下文以測試Linux系統下IP地址沖突時ARP交互情況實驗為例，實驗如下。

1.實驗過程

（1）使用Linux B（192.168.198.130）長ping Linux C（192.168.198.131），同時Linux C 長ping Linux B來模擬B主機與C主機之間正常的網絡通訊。

圖7 B主機與C主機互相發送

ping包模擬網絡通訊

（2）將Linux A（192.168.198.129）的IP地址修改為192.168.198.130，以此模擬Linux A主動制造了與Linux B的IP地址沖突。

圖8 A主機主動制造與B主機的IP地址沖突

（3）在局域網中抓包，使用wireshark分析IP地址沖突下各主機的的交互情況。

2.實驗分析

（1） Linux A進行地址修改后，A主機立馬以A主機MAC為源MAC，FF:FF:FF:FF:FF:FF為目的MAC發送免費ARP廣播，進行全網通告A主機的IP地址為192.168.198.130。

（2）B主機收到A主機的免費ARP后，以B主機MAC為源MAC，FF:FF:FF:FF:FF:FF為目的MAC響應，進行通告，告知全網B主機的IP才是192.168.198.130。

（3）A主機連續發送4個免費ARP通告，但B主機只會在第一次進行響應。

（4）由于A主機多次發送免費ARP，此時C主機ARP高速緩存表中記錄的192.168.198.130為A主機，C主機與192.168.198.130通訊未中斷。

圖9 主機IP地址沖突后ARP交互情況

（5）B主機（此時IP地址被沖突）與C主機（192.168.198.131）通訊有中斷現象，通過數據包可以發現B主機（IP：192.168.198.130；MAC：00:0c:29:ff:12:87）訪問C主機(IP：192.168.198.131；MAC：00:0c:29:38:83:18）時，C主機回包給A主機（IP：192.168.198.130；MAC：00:0c:29:34:eb:e2）。

圖10 B主機與C主機網絡通訊中斷

（6）B主機與C主機通訊超時后會重新請求一次ARP，請求192.168.198.131的MAC地址。當C主機收到此ARP后會更新ARP高速緩存表中192.168.198.130對應的MAC地址為B主機MAC地址，隨后B主機恢復與C主機的通訊。

圖11 B主機與C恢復通訊

3.實驗結論

主動制造IP地址沖突的Linux主機會發送多次免費ARP，被沖突的Linux主機會返回1個免費ARP，通訊過程中存在通過ARP請求互相搶IP的現象。

隨后，以相同的方式模擬了SUSE系統IP地址被沖突、Windows系統IP地址被沖突、Windows系統主動制造IP地址沖突三組實驗，得出實驗結論如下。

表1 不同系統在IP地址沖突時的ARP交互情況

IP地址沖突反應機制總結

經過上述測試以及其它技術了解，我們總結了宿主機（凡是配置了ip地址并存活于網絡中的產品）對ip地址沖突的反應機制，下表列出部分涉及到的產品。

表2 不同產品在IP地址沖突時日志記錄

及ARP交互情況

注：表中“是”與“否”只針對對測試過的版本與產品型號有效，不確保對該產品不同系列或不同版本有效

IP地址沖突檢測方案

1.方案一：主機日志與網絡syslog監控

針對可進行ip地址沖突日志記錄的宿主機，可對其產生的對應日志進行監控分析并產生告警；針對可發出ip地址沖突syslog的網絡設備，可對syslog進行解析監控與告警。

圖12 SUSE系統在IP地址沖突時的日志樣例

2.方案二：報文MAC檢測

通過流量采集設備采集網絡中所有流量，并將ip及對應MAC地址解析出來后，發送至大數據分析平臺，將其中網絡設備的MAC地址進行過濾后，如果發現1個ip地址對應多個不同MAC地址，則判定可能存在ip地址沖突。

圖13 TCP/IP網絡模型幀封裝示意圖

在TCP/IP網絡模型中，不同的分層封裝了不同的信息。數據鏈路層主要封裝了源MAC及目的MAC地址等信息，網絡層主要封裝了源IP與目的IP等信息。因此，通過對網絡中報文進行解包，可以獲取到網絡中正在進行通信的所有IP與MAC映射關系，通過計算可以分析出是否存在IP地址沖突（即不同MAC地址映射為相同IP地址）。但是由于企業級網絡環境復雜且報文數據量較大，該方法的實現成本較高。

3.方案三：ARP報文檢測

通過網絡流量采集，對所有ARP流量進行實時推送至大數據分析平臺，發現同段時間內，存在宣告同個IP對應多個不同MAC地址，則判定為IP地址沖突。具體實現方法：網絡采集設備精準過濾ARP流量并推送出來，推送的報文格式為：發送者MAC（宿主機）、目標MAC全為F（廣播）、通告IP、時間戳、交換機名稱。大數據平臺接受到此數據后，判定同秒（或更短）之內是否存在同個通告IP對應多個不同MAC，因在數據采集與推送時帶有交換機名稱或id的標識，因此，能迅速定位沖突IP所在的網絡位置，便于進行相關處置操作，隔離故障源，恢復業務。

4.三種方案優缺點比較

表3 三種不同方案優缺點比較