淺論校園網(wǎng)絡(luò)中存在嗅探器的解決方案

　　[論文關(guān)鍵詞]嗅探器 信息安全校園網(wǎng)

　　[論文摘要]將簡(jiǎn)單討論網(wǎng)絡(luò)嗅探原理以及校園網(wǎng)中為防范網(wǎng)絡(luò)嗅探所采取的措施。同時(shí)為了確保網(wǎng)絡(luò)的可用性和安全性?以及不必要的恐慌?系統(tǒng)人員應(yīng)該悉部分探測(cè)工具的使用和其局限性?并在碰到相關(guān)問(wèn)題時(shí)能采取正確的應(yīng)對(duì)。

　　一、引言

　　雖然IPv6相對(duì)IPv4在數(shù)據(jù)安全上做了很多修改?且逐漸成為互聯(lián)網(wǎng)發(fā)展的必然趨勢(shì)。但在很長(zhǎng)時(shí)間內(nèi)，IPv4仍將存在，即使一些網(wǎng)絡(luò)已升級(jí)到IPv6，升級(jí)系統(tǒng)也將保持與IPv4系統(tǒng)的互操作能力。在現(xiàn)在的過(guò)渡階段網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包不再是單純的IPv4包，也不是單獨(dú)的IPv6包，而存在I Pv4、I Pv6以及各種格式的過(guò)渡策略數(shù)據(jù)包?但是主干網(wǎng)仍支持IPv4�？墒窃贗Pv4中，還存在很大的安全隱患，像信息的截獲就是一個(gè)很大的問(wèn)題，這就導(dǎo)致了丟包的發(fā)生。對(duì)于信息截獲導(dǎo)致丟包的解決方法在下面將進(jìn)行簡(jiǎn)單論述。

　　二、網(wǎng)絡(luò)信息蠢獲的原理

　　在目前的大多數(shù)局域網(wǎng)中，信息在網(wǎng)絡(luò)中是以廣播形式發(fā)送的，以太網(wǎng)卡收到報(bào)文后，通過(guò)對(duì)目的地址進(jìn)行檢查，來(lái)判斷是否是傳遞給自己的，如果是，則把報(bào)文傳遞給操作系統(tǒng)。否則，將報(bào)文丟棄不進(jìn)行處理。網(wǎng)絡(luò)信號(hào)截獲其目標(biāo)是在盡可能不影響網(wǎng)絡(luò)系統(tǒng)正常通訊的情況下，對(duì)網(wǎng)上數(shù)據(jù)進(jìn)行偵聽(tīng)截獲通過(guò)把部分?jǐn)?shù)據(jù)包存入數(shù)據(jù)庫(kù)并進(jìn)行有針對(duì)性的分析，及時(shí)發(fā)現(xiàn)有用信息或惡意攻擊和安全隱患，從而達(dá)到獲取信息和保障網(wǎng)絡(luò)安全的目的。當(dāng)信息經(jīng)過(guò)網(wǎng)絡(luò)時(shí)，嗅探器就將其截獲并將其感興趣的信息載入數(shù)據(jù)庫(kù)進(jìn)行分析處理。在以廣播形式發(fā)送的網(wǎng)絡(luò)中，只需對(duì)其中任意一臺(tái)的網(wǎng)卡驅(qū)動(dòng)程序進(jìn)行改造(安裝嗅探器)，任何兩個(gè)節(jié)點(diǎn)之間的數(shù)據(jù)包，不僅為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收，同時(shí)也為處在同一沖突域上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。因此，只要對(duì)接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽(tīng)，就可以捕獲發(fā)生在這個(gè)沖突域上的所有數(shù)據(jù)包，對(duì)其進(jìn)行解包分析，從而截取關(guān)鍵信息。

　　三、嗅探原理

　　以太網(wǎng)中是基于廣播方式傳送數(shù)據(jù)的，所有的信號(hào)都會(huì)被傳送到每一個(gè)主機(jī)節(jié)點(diǎn)，此外，網(wǎng)卡可以被設(shè)置成混雜接收模式，在該模式下，無(wú)論數(shù)據(jù)幀的目的地址如何，網(wǎng)卡都能夠予以接收。嗅探器的軟件實(shí)現(xiàn)方式網(wǎng)卡設(shè)置成混雜模式，所有數(shù)據(jù)幀都會(huì)被網(wǎng)卡驅(qū)動(dòng)程序上傳給網(wǎng)絡(luò)層。分組數(shù)據(jù)到了網(wǎng)絡(luò)層后，網(wǎng)絡(luò)層處理程序還要對(duì)其目的I P地址進(jìn)行判斷，如果是本地I P，則上傳給傳輸層處理(傳輸層再根據(jù)目的端口號(hào)來(lái)決定由哪個(gè)上層應(yīng)用處理數(shù)據(jù)報(bào)文)?否則丟棄。如果沒(méi)有特定的機(jī)制，即便網(wǎng)卡設(shè)置成了混雜模式，上層應(yīng)用也無(wú)法抓到本不屬于自己的數(shù)據(jù)包。這就需要一個(gè)直接與網(wǎng)卡驅(qū)動(dòng)程序接口的驅(qū)動(dòng)模塊?通過(guò)該模塊網(wǎng)卡上傳的數(shù)據(jù)幀就有了兩個(gè)去處，一個(gè)是正常的協(xié)議棧，另一個(gè)就是分組捕獲及過(guò)濾模塊，對(duì)于非本地的數(shù)據(jù)包，前者會(huì)丟棄，后者會(huì)根據(jù)上層應(yīng)用要求來(lái)決定上傳還是丟棄。

　　四、嗅探囂的安全防范機(jī)制

　　證明網(wǎng)絡(luò)有嗅探器有兩條經(jīng)驗(yàn)，一是網(wǎng)絡(luò)帶寬出現(xiàn)反常。通過(guò)某些帶寬監(jiān)控軟件或者設(shè)備，比如MRTG、pbwmeter等�？梢詫�(shí)時(shí)看到目前網(wǎng)絡(luò)帶寬的分布情況，如果某個(gè)端口長(zhǎng)時(shí)間的占用了較大的帶寬，這臺(tái)機(jī)器就有可能在監(jiān)聽(tīng)。二是網(wǎng)絡(luò)通訊丟包率非常高。通過(guò)一些網(wǎng)絡(luò)軟件，可以看到信息包傳送情況?最簡(jiǎn)單的就是ping命令，它會(huì)告訴你現(xiàn)在網(wǎng)絡(luò)的掉包情況。如果網(wǎng)絡(luò)中有人在Li st en，那么信息包傳送將無(wú)法每次都順暢的流到目的地。(這是由于sni ff er攔截每個(gè)包導(dǎo)致的)。如果你的網(wǎng)絡(luò)結(jié)構(gòu)正常，而又有10%以上的包無(wú)法正常達(dá)到目的地，這就有可能是由于嗅探器攔截包導(dǎo)致的。三是可以查看上當(dāng)前正在運(yùn)行的所有程序。在Unix系統(tǒng)下使用下面的命令：ps—aux或：ps—augx。這個(gè)命令列出當(dāng)前的所有進(jìn)程，啟動(dòng)這些進(jìn)程的用戶，它們占用CPU的時(shí)間，占用內(nèi)存的多少等等。Windows系統(tǒng)下，按下Ctr l+Alt+Del，看一下任務(wù)列表。不過(guò)，編程技巧高的SnifferHP使正在運(yùn)行，也不會(huì)出現(xiàn)在這里的。還有許多工具，能用來(lái)看看你的系統(tǒng)會(huì)不會(huì)在雜收模式。從而發(fā)現(xiàn)是否有一個(gè)Sniffer正在運(yùn)行。

　　因?yàn)樾崽狡餍枰獙⒕W(wǎng)絡(luò)中入侵的網(wǎng)卡設(shè)置為混雜模式才能工作，所以檢測(cè)嗅探器可以采用檢測(cè)混雜模式網(wǎng)卡的工具?比如Ant isniff等工具。

　　當(dāng)系統(tǒng)在混雜模式下，系統(tǒng)會(huì)對(duì)某些特定類型的數(shù)據(jù)包回應(yīng)，對(duì)其它的數(shù)據(jù)包則置之不理。在Antisniff進(jìn)行操作系統(tǒng)詳細(xì)測(cè)試時(shí)，Antisniff會(huì)通過(guò)廣播或非廣播方式發(fā)送一個(gè)并不存在的Ether地址，并對(duì)系統(tǒng)回應(yīng)進(jìn)行監(jiān)聽(tīng)。Antisniff發(fā)送虛假地址的請(qǐng)求ICMP回應(yīng)數(shù)據(jù)幀，如果系統(tǒng)在混雜模式下則會(huì)對(duì)該數(shù)據(jù)幀進(jìn)行應(yīng)答，否則放棄。

　　對(duì)于不同的操作系統(tǒng)，計(jì)算機(jī)采用的檢測(cè)工具也不盡相同。大多數(shù)LI NUX、UNI X操作系統(tǒng)都可以使用ifconf i g。利用ifconfig網(wǎng)絡(luò)人員可以知道網(wǎng)卡是否工作在混雜模式下。但是因?yàn)榘惭b未被授權(quán)的sniffer時(shí)，特洛伊木馬程序也有可能被同時(shí)安裝，因而ifconf ig的輸出結(jié)果就可能完全不可信。

　　大多數(shù)版本的UNI X都可以使用lsof來(lái)檢測(cè)嗅探器的存在。lsof的最初的設(shè)計(jì)目的并非為了防止嗅探器入侵?但因?yàn)樵诒蝗肭值南到y(tǒng)中，嗅探器會(huì)打開(kāi)其輸出文件，并不斷傳送信息給該文件?這樣該文件的內(nèi)容就會(huì)越來(lái)越大?因而lsof就有了用武之地。如果利用lsof發(fā)現(xiàn)有文件的內(nèi)容不斷的增大,我們就有理由懷疑系統(tǒng)被人裝了嗅探器。因?yàn)榇蠖鄶?shù)嗅探器都會(huì)把截獲的’TCP/IP”數(shù)據(jù)寫(xiě)入自己的輸出文件中,因而系統(tǒng)管理人員可以把lsof的結(jié)果輸出至grep來(lái)減少系統(tǒng)被破壞的可能性。

　　完全主動(dòng)的解決方案很難找到，我們可以采用一些被動(dòng)的防御措施。

　　安全的拓?fù)浣Y(jié)構(gòu)，嗅探器只能在當(dāng)前網(wǎng)絡(luò)段上進(jìn)行數(shù)據(jù)捕獲。這就意味著，將網(wǎng)絡(luò)分段工作進(jìn)行得越細(xì)，嗅探器能夠收集的信息就越少。有三種網(wǎng)絡(luò)設(shè)備是嗅探器不可能跨過(guò)的，交換機(jī)、路由器、網(wǎng)橋。我們可以通過(guò)靈活的運(yùn)用這些設(shè)備來(lái)進(jìn)行網(wǎng)絡(luò)分段。比如對(duì)網(wǎng)絡(luò)進(jìn)行分段，比如在交換機(jī)上設(shè)置VLAN，使得網(wǎng)絡(luò)隔離不必要的數(shù)據(jù)傳送。

　　會(huì)話加密，會(huì)話加密提供了另外一種解決方案。不用特別地?fù)?dān)心數(shù)據(jù)被嗅探，而是要想辦法使得嗅探器不認(rèn)識(shí)嗅探到的數(shù)據(jù)。這種方法的優(yōu)點(diǎn)是明顯的?即使攻擊者嗅探到了數(shù)據(jù)，這些數(shù)據(jù)對(duì)他也是沒(méi)有用的。在加密時(shí)有兩個(gè)主要的問(wèn)題?一個(gè)是技術(shù)問(wèn)題，一個(gè)是人為問(wèn)題。技術(shù)是指加密能力是否高。例如，32位的加密就可能不夠，而且并不是所有的應(yīng)用程序都集成了加密支持。而且?跨平臺(tái)的加密方案還不多，一般只在一些特殊的應(yīng)用之中才有。人為問(wèn)題是指有些用戶可能不喜歡加密，他們覺(jué)得這太麻煩。用戶可能開(kāi)始會(huì)使用加密，但他們很少能夠堅(jiān)持下。總之我們必須尋找一種友好的媒介使用支持強(qiáng)大這樣的應(yīng)用程序，還要具有一定的用戶友好性。使用secur e shell、secure copy或者IPv6協(xié)議都可以使得信息安全的傳輸。傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，SMTP、HTTP、FTP、POP3和Tel net等在本質(zhì)上都是不安全的?因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，嗅探器非常容易就可以截獲這些口令和。SSH的英文全稱是Secur e Shell。通過(guò)使用SSH，你可以把所有傳輸?shù)倪M(jìn)行加密，這樣通過(guò)中間服務(wù)器的攻擊方式就不可能實(shí)現(xiàn)了，而且也能夠防止DNS和IP欺騙。還有一個(gè)額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮的，所以可以加快傳輸?shù)乃俣取?/P>

　　用靜態(tài)的ARP或者IP—MAc對(duì)應(yīng)表代替動(dòng)態(tài)的APR或者I P—MAC對(duì)應(yīng)表。該措施主要是進(jìn)行滲透嗅探的防范，采用諸如ARP欺騙手段能夠讓入侵者在交換網(wǎng)絡(luò)中順利完成嗅探。網(wǎng)絡(luò)員需要對(duì)各種欺騙手段進(jìn)行深入了解，比如嗅探中通常使用的ARP欺騙，主要是通過(guò)欺騙進(jìn)行ARP動(dòng)態(tài)緩存表的修改。在重要的主機(jī)或者工作站上設(shè)置靜態(tài)的ARP對(duì)應(yīng)表，比如WINDOWS2003系統(tǒng)使用a r p命令設(shè)置，在交換機(jī)上設(shè)置靜態(tài)的I P一M AC對(duì)應(yīng)表等，防止利用欺騙手段進(jìn)行嗅探的手法。

　　系統(tǒng)管理人員還應(yīng)該堅(jiān)決阻止系統(tǒng)內(nèi)核的重新載入。為了把嗅探器隱藏在服務(wù)級(jí)，惡意攻擊者可能更改內(nèi)核的代碼內(nèi)容并重新載入該內(nèi)核。系統(tǒng)管理人員應(yīng)該生成靜態(tài)的系統(tǒng)內(nèi)核，并禁止核心相關(guān)模塊的重新的卸載和載入。

　　除了以上五點(diǎn)另外還要重視關(guān)鍵區(qū)域的安全防范。這里說(shuō)的關(guān)鍵區(qū)域，主要是針對(duì)嗅探器的放置位置而言。入侵者要讓嗅探器發(fā)揮較大功效，通常會(huì)把嗅探器放置在數(shù)據(jù)交匯集中區(qū)域，比如網(wǎng)關(guān)、交換機(jī)、路由器等附近，以便能夠捕獲更多的數(shù)據(jù)。因此，對(duì)于這些區(qū)域就應(yīng)該加強(qiáng)防范，防止在這些區(qū)域存在嗅探器。

　　五、結(jié)束語(yǔ)

　　通過(guò)以上的策略，使得內(nèi)部網(wǎng)絡(luò)中通過(guò)嗅探器進(jìn)行截獲信息的網(wǎng)絡(luò)包減少了，使得網(wǎng)絡(luò)丟包率也得到降低，雖然不能完全解決信息安全問(wèn)題，但是使網(wǎng)絡(luò)的安全性有了提高。

　　嗅探器技術(shù)并非尖端科技，也不要求太多底層的知識(shí)，只能說(shuō)是安全領(lǐng)域的簡(jiǎn)單技術(shù)�；�本上我們的所有網(wǎng)管軟件都使用了嗅探器技術(shù)，只是許多軟件供應(yīng)商對(duì)其一直諱莫如深。但迄今并沒(méi)有一個(gè)切實(shí)可行的方法能夠一勞永逸的阻止嗅探器的安裝或其他設(shè)備對(duì)系統(tǒng)的侵害。作為一種工具，網(wǎng)絡(luò)嗅探技術(shù)扮演著正反兩方面的角色。對(duì)于攻擊者來(lái)說(shuō)，最喜歡的莫過(guò)于得到用戶的賬號(hào)和口令信息，通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)可以很容易地獲得這些關(guān)鍵信息。而對(duì)于入侵檢測(cè)和追蹤者來(lái)說(shuō)，網(wǎng)絡(luò)嗅探技術(shù)又能夠在與攻擊者的斗爭(zhēng)中發(fā)揮重要的作用。鑒于目前的網(wǎng)絡(luò)安全現(xiàn)狀，我們應(yīng)該進(jìn)一步挖掘網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)的細(xì)節(jié)，只有從技術(shù)基礎(chǔ)上掌握先機(jī)，才能在與入侵者的斗爭(zhēng)中取得勝利。

【淺論校園網(wǎng)絡(luò)中存在嗅探器的解決方案】相關(guān)文章：

淺論經(jīng)濟(jì)責(zé)任審計(jì)中存在的問(wèn)題及對(duì)策03-02

淺論當(dāng)前軟件抗衰技術(shù)中存在的幾點(diǎn)問(wèn)題03-22

淺探大學(xué)生網(wǎng)絡(luò)社團(tuán)存在的問(wèn)題與對(duì)策03-20

淺論網(wǎng)絡(luò)營(yíng)銷(xiāo)中的顧客讓渡價(jià)值03-22

淺探在項(xiàng)目工程施工現(xiàn)場(chǎng)管理中存在的問(wèn)題03-28

憶阻器在神經(jīng)網(wǎng)絡(luò)中的應(yīng)用12-09

變頻器運(yùn)行過(guò)程中存在的問(wèn)題及其對(duì)策03-18

淺論舞蹈在校園文化中的發(fā)展的論文12-11

淺論網(wǎng)絡(luò)教育資源在英語(yǔ)主動(dòng)性學(xué)習(xí)中的應(yīng)用03-19