SNMP與實驗變數

簡易網路管理協定(Simple Network Management Protocol，簡稱 SNMP)是管理網路 上各種裝置的一種 Internet 標準協定[12]。在複雜且龐大的網路環境下，網路管理人員 要有效的掌握各路由器(Router)、交換器(Switch)以及伺服器(Server)的狀況並使其維持 正常運作並不是一件容易的事情。為了能有效的管理上述之設備，SNMP 協定在 1988 年問世，使網路管理人員可藉其控管任一支援 SNMP 協定之網路設備。

17

在 SNMP 運作的世界中，可分為兩個實體。第一個為管理者(Manager)，通常又稱 為網路管理工作站(Network Management Station, NSM)。網路管理人員透過管理工作站 對於其管轄之網路設備以輪詢(Poll)的方式，取得各個網路設備的資訊。第二個實體為 代理者(Agent)，即是支援 SNMP 協定之網路設備。通常網路管理人員會對其轄下主機 在遠端定時的輪詢以取得網路設備的情況，如網路設備之運作是否正常，管轄的區域網 路內之網路流量是否有異常狀態等。SNMP 以 User Datagram Protocol(簡稱 UDP)作為管 理者與代理者之間遞送資料的傳輸協定，雖然 UDP 為不可靠協定[21]，然而其好處為 低虛耗(Overhead)，當我們監控一個有問題的網路時，其可降低對網路效能的影響，且 當網路發生問題而使其無法取得資料時，以 UDP 為通訊協定之傳輸便會放棄重複傳送 對於網路設備的輪詢封包，不至於不斷的重送造成網路上的封包更加氾濫。

每一個代理者皆擁有一份其追蹤之待管物件(Managed objects)清單，其內容包含如 路由器的資訊、網路設備的狀態…等。該清單所定義之資訊可提供管理者作為查詢代理 者狀態之用。管理資訊庫(Management Information Base，簡稱 MIB)為一個存放代理者 其所追蹤之待管物件的資料庫，階層性地描述所有待管物件之屬性。所有的代理者皆可 實作多種 MIB，不同廠牌的網路通訊設備廠商可針對其產品設計自有特殊的 MIB，其 中最為重要也普遍為所有網路設備所接受的為 MIB-II [20]的標準，此標準 MIB 中主要 的項目為提供一般網路傳輸管理資訊，例如介面的封包傳輸量或介面是否使用中…等，

在本研究中所採用的網路流量變數即為取自 MIB-II 標準的資訊。

在本研究所使用之六項 SNMP 網路流量變數參考了 M. Carnut and J. Gondim 在其研 究[4]中所使用之六項 SNMP 網路流量變數。對於偵測 ARP 欺騙攻擊所使用的方法則採 用了資料探勘的分類分析技術，區分出正常使用流量與攻擊流量之間的差異。我們認為 當 ARP 欺騙攻擊發動時，該六項 SNMP 網路流量變數將會反應出正常使用者與攻擊者 間網路流量上的差異性。而該六項 SNMP 網路流量變數係來自 MIB-II 底下之 Interface

18

子樹。Interface 子樹所包含的資訊為網路實體介面在實體層(Physical Layer)之網路設備 資訊，如該實體介面網路流量 Byte 數、單一目的地封包數量、非單一目的地封包(包含 封包以確立攻擊目標，所以在本研究中，我們取用了流出 (ifOutNUcastPkts)與流進 (IfInUcastPkts)該網路介面的 SNMP 網路流量變數來探究此兩變數在本研究之偵測分類 模組中，對於區分 ARP 欺騙攻擊流量與正常使用流量的分類效力。

此外，ARP 欺騙攻擊是利用 ARP 協定設計上的漏洞來騙取受害主機使其封包傳送 至中介人(攻擊者)的主機，因此攻擊主機須對區域網路內的受害主機發送 ARP-Reply 封 包，藉由將錯誤的 IP 位址與 MAC 位址之對應資訊寫入受害主機的 ARP Table 中，以達

變數名稱 變數說明

ifInOctets 該實體介面發送之所有封包的 Byte 量總合

ifInUcastPkts 該實體介面發送之單一目的封 包數量總合

ifInNUcastPkts 該實體介面發送之非單一目的 地封包數量總合

ifOutOctets 該實體介面接收之所有封包的 Byte 量總合

ifOutUcastPkts 該實體介面接收之單一目的封 包數量總合

ifOutNUcastPkts 該實體介面接收之非單一目的 地封包數量總合

19

到 ARP 欺騙攻擊的效果。由於此種攻擊行為須發送大量的 ARP-Reply 封包，而 ARP-Reply 封包屬於單一目的封包，因此我們也使用 ifInUcastPkts 與 ifOutUcastPkts 作 為本研究分類預測模組之分類變數。

由於目前盛行於網際網路上的攻擊技巧，在其發動攻擊時多半會使網路流量暴增，

因此本研究分別使用了流入總流量(ifInOctets)與流出總流量(ifOutOctets)此兩項流量變 數來探討當 ARP 欺騙攻擊發動時，是否會如網路蠕蟲病毒(Internet Worm)發作或阻斷服 務攻擊(Denial of Service)發動時產生大量的網路流量以影響到正常的網路使用。