如果网络内部的***检测系统(NIDS)、SOC或上网行为审计系统报告在过去的某段时间,有主机感染蠕虫病毒、或在网上发表违法言论、或有重大泄密嫌疑,是否能够根据报警信息中所关联的IP地址或(IP+MAC)地址及时追踪及定位到涉案主机?如果报警信息中关联的IP地址是临时修改,是否能够还原事发时段该IP地址所对应真实的MAC地址?如果有人克隆(即同时冒用IPMAC地址)别人进行蓄意栽赃,是否能够区分及最终定位到背后的克隆者?
事件追溯的一个主要特点就是时间性,过去某时间点的某IP地址的使用者跟现在的IP地址的使用者,可能是同一终端也可能不是,即使是同一台终端由于缺乏相应的审计依据也难进行确认,再加上IP地址和MAC地址的易修改性,因此没有其他辅助手段如认证手段,是很难进行准确有效定位的,这里所说的准确和有效主要是指在抗抵赖方面。
事实上,除采用认证手段外,还有一种简单有效的方法,可让事件关联的IPMAC能够发挥追踪定位作用,那就是对IP进行全程的跟踪审计,审计的内容包括:
IP地址的使用审计和MAC地址的网络接入审计。
IP地址使用审计的主要目的是能够详细记录每一个MAC地址使用不同IP地址的时间段,即能够根据事件关联的IP地址及其发生的时段,反推出该IP地址在那个相应时段所对应的MAC地址,这是IP地址审计的第一步。
MAC地址的网络接入审计的主要目的是详细记录每一MAC地址在不同时间段的网络接入点,即每一MAC地址在不同时段接入的交换设备端口。这样就可以根据第一步的关联的MAC地址结合时间段,反推出该MAC地址的接入交换机端口,即定位到事件关联IP的物理终端上。
因此即使发生IP冒用,MAC地址的篡改,甚至有人“克隆”, IP地址审计仍可进行追踪定位。