淺論校園網(wǎng)絡(luò )中存在嗅探器的解決方案

　　[論文關(guān)鍵詞]嗅探器 信息安全校園網(wǎng)

　　[論文摘要]將簡(jiǎn)單討論網(wǎng)絡(luò )嗅探原理以及校園網(wǎng)中為防范網(wǎng)絡(luò )嗅探所采取的措施。同時(shí)為了確保網(wǎng)絡(luò )的可用性和安全性?以及不必要的恐慌?系統人員應該悉部分探測工具的使用和其局限性?并在碰到相關(guān)問(wèn)題時(shí)能采取正確的應對。

　　一、引言

　　雖然IPv6相對IPv4在數據安全上做了很多修改?且逐漸成為互聯(lián)網(wǎng)發(fā)展的必然趨勢。但在很長(cháng)時(shí)間內，IPv4仍將存在，即使一些網(wǎng)絡(luò )已升級到IPv6，升級系統也將保持與IPv4系統的互操作能力。在現在的過(guò)渡階段網(wǎng)絡(luò )中傳輸的數據包不再是單純的IPv4包，也不是單獨的IPv6包，而存在I Pv4、I Pv6以及各種格式的過(guò)渡策略數據包?但是主干網(wǎng)仍支持IPv4�？墒窃贗Pv4中，還存在很大的安全隱患，像信息的截獲就是一個(gè)很大的問(wèn)題，這就導致了丟包的發(fā)生。對于信息截獲導致丟包的解決方法在下面將進(jìn)行簡(jiǎn)單論述。

　　二、網(wǎng)絡(luò )信息蠢獲的原理

　　在目前的大多數局域網(wǎng)中，信息在網(wǎng)絡(luò )中是以廣播形式發(fā)送的，以太網(wǎng)卡收到報文后，通過(guò)對目的地址進(jìn)行檢查，來(lái)判斷是否是傳遞給自己的，如果是，則把報文傳遞給操作系統。否則，將報文丟棄不進(jìn)行處理。網(wǎng)絡(luò )信號截獲其目標是在盡可能不影響網(wǎng)絡(luò )系統正常通訊的情況下，對網(wǎng)上數據進(jìn)行偵聽(tīng)截獲通過(guò)把部分數據包存入數據庫并進(jìn)行有針對性的分析，及時(shí)發(fā)現有用信息或惡意攻擊和安全隱患，從而達到獲取信息和保障網(wǎng)絡(luò )安全的目的。當信息經(jīng)過(guò)網(wǎng)絡(luò )時(shí)，嗅探器就將其截獲并將其感興趣的信息載入數據庫進(jìn)行分析處理。在以廣播形式發(fā)送的網(wǎng)絡(luò )中，只需對其中任意一臺的網(wǎng)卡驅動(dòng)程序進(jìn)行改造(安裝嗅探器)，任何兩個(gè)節點(diǎn)之間的數據包，不僅為這兩個(gè)節點(diǎn)的網(wǎng)卡所接收，同時(shí)也為處在同一沖突域上的任何一個(gè)節點(diǎn)的網(wǎng)卡所截取。因此，只要對接入以太網(wǎng)上的任一節點(diǎn)進(jìn)行偵聽(tīng)，就可以捕獲發(fā)生在這個(gè)沖突域上的所有數據包，對其進(jìn)行解包分析，從而截取關(guān)鍵信息。

　　三、嗅探原理

　　以太網(wǎng)中是基于廣播方式傳送數據的，所有的信號都會(huì )被傳送到每一個(gè)主機節點(diǎn)，此外，網(wǎng)卡可以被設置成混雜接收模式，在該模式下，無(wú)論數據幀的目的地址如何，網(wǎng)卡都能夠予以接收。嗅探器的軟件實(shí)現方式網(wǎng)卡設置成混雜模式，所有數據幀都會(huì )被網(wǎng)卡驅動(dòng)程序上傳給網(wǎng)絡(luò )層。分組數據到了網(wǎng)絡(luò )層后，網(wǎng)絡(luò )層處理程序還要對其目的I P地址進(jìn)行判斷，如果是本地I P，則上傳給傳輸層處理(傳輸層再根據目的端口號來(lái)決定由哪個(gè)上層應用處理數據報文)?否則丟棄。如果沒(méi)有特定的機制，即便網(wǎng)卡設置成了混雜模式，上層應用也無(wú)法抓到本不屬于自己的數據包。這就需要一個(gè)直接與網(wǎng)卡驅動(dòng)程序接口的驅動(dòng)模塊?通過(guò)該模塊網(wǎng)卡上傳的數據幀就有了兩個(gè)去處，一個(gè)是正常的協(xié)議棧，另一個(gè)就是分組捕獲及過(guò)濾模塊，對于非本地的數據包，前者會(huì )丟棄，后者會(huì )根據上層應用要求來(lái)決定上傳還是丟棄。

　　四、嗅探囂的安全防范機制

　　證明網(wǎng)絡(luò )有嗅探器有兩條經(jīng)驗，一是網(wǎng)絡(luò )帶寬出現反常。通過(guò)某些帶寬監控軟件或者設備，比如MRTG、pbwmeter等�？梢詫�(shí)時(shí)看到目前網(wǎng)絡(luò )帶寬的分布情況，如果某個(gè)端口長(cháng)時(shí)間的占用了較大的帶寬，這臺機器就有可能在監聽(tīng)。二是網(wǎng)絡(luò )通訊丟包率非常高。通過(guò)一些網(wǎng)絡(luò )軟件，可以看到信息包傳送情況?最簡(jiǎn)單的就是ping命令，它會(huì )告訴你現在網(wǎng)絡(luò )的掉包情況。如果網(wǎng)絡(luò )中有人在Li st en，那么信息包傳送將無(wú)法每次都順暢的流到目的地。(這是由于sni ff er攔截每個(gè)包導致的)。如果你的網(wǎng)絡(luò )結構正常，而又有10%以上的包無(wú)法正常達到目的地，這就有可能是由于嗅探器攔截包導致的。三是可以查看上當前正在運行的所有程序。在Unix系統下使用下面的命令：ps—aux或：ps—augx。這個(gè)命令列出當前的所有進(jìn)程，啟動(dòng)這些進(jìn)程的用戶(hù)，它們占用CPU的時(shí)間，占用內存的多少等等。Windows系統下，按下Ctr l+Alt+Del，看一下任務(wù)列表。不過(guò)，編程技巧高的SnifferHP使正在運行，也不會(huì )出現在這里的。還有許多工具，能用來(lái)看看你的系統會(huì )不會(huì )在雜收模式。從而發(fā)現是否有一個(gè)Sniffer正在運行。

　　因為嗅探器需要將網(wǎng)絡(luò )中入侵的網(wǎng)卡設置為混雜模式才能工作，所以檢測嗅探器可以采用檢測混雜模式網(wǎng)卡的工具?比如Ant isniff等工具。

　　當系統在混雜模式下，系統會(huì )對某些特定類(lèi)型的數據包回應，對其它的數據包則置之不理。在A(yíng)ntisniff進(jìn)行操作系統詳細測試時(shí)，Antisniff會(huì )通過(guò)廣播或非廣播方式發(fā)送一個(gè)并不存在的Ether地址，并對系統回應進(jìn)行監聽(tīng)。Antisniff發(fā)送虛假地址的請求ICMP回應數據幀，如果系統在混雜模式下則會(huì )對該數據幀進(jìn)行應答，否則放棄。

　　對于不同的操作系統，計算機采用的檢測工具也不盡相同。大多數LI NUX、UNI X操作系統都可以使用ifconf i g。利用ifconfig網(wǎng)絡(luò )人員可以知道網(wǎng)卡是否工作在混雜模式下。但是因為安裝未被授權的sniffer時(shí)，特洛伊木馬程序也有可能被同時(shí)安裝，因而ifconf ig的輸出結果就可能完全不可信。

　　大多數版本的UNI X都可以使用lsof來(lái)檢測嗅探器的存在。lsof的最初的設計目的并非為了防止嗅探器入侵?但因為在被入侵的系統中，嗅探器會(huì )打開(kāi)其輸出文件，并不斷傳送信息給該文件?這樣該文件的內容就會(huì )越來(lái)越大?因而lsof就有了用武之地。如果利用lsof發(fā)現有文件的內容不斷的增大,我們就有理由懷疑系統被人裝了嗅探器。因為大多數嗅探器都會(huì )把截獲的’TCP/IP”數據寫(xiě)入自己的輸出文件中,因而系統管理人員可以把lsof的結果輸出至grep來(lái)減少系統被破壞的可能性。

　　完全主動(dòng)的解決方案很難找到，我們可以采用一些被動(dòng)的防御措施。

　　安全的拓撲結構，嗅探器只能在當前網(wǎng)絡(luò )段上進(jìn)行數據捕獲。這就意味著(zhù)，將網(wǎng)絡(luò )分段工作進(jìn)行得越細，嗅探器能夠收集的信息就越少。有三種網(wǎng)絡(luò )設備是嗅探器不可能跨過(guò)的，交換機、路由器、網(wǎng)橋。我們可以通過(guò)靈活的運用這些設備來(lái)進(jìn)行網(wǎng)絡(luò )分段。比如對網(wǎng)絡(luò )進(jìn)行分段，比如在交換機上設置VLAN，使得網(wǎng)絡(luò )隔離不必要的數據傳送。

　　會(huì )話(huà)加密，會(huì )話(huà)加密提供了另外一種解決方案。不用特別地擔心數據被嗅探，而是要想辦法使得嗅探器不認識嗅探到的數據。這種方法的優(yōu)點(diǎn)是明顯的?即使攻擊者嗅探到了數據，這些數據對他也是沒(méi)有用的。在加密時(shí)有兩個(gè)主要的問(wèn)題?一個(gè)是技術(shù)問(wèn)題，一個(gè)是人為問(wèn)題。技術(shù)是指加密能力是否高。例如，32位的加密就可能不夠，而且并不是所有的應用程序都集成了加密支持。而且?跨平臺的加密方案還不多，一般只在一些特殊的應用之中才有。人為問(wèn)題是指有些用戶(hù)可能不喜歡加密，他們覺(jué)得這太麻煩。用戶(hù)可能開(kāi)始會(huì )使用加密，但他們很少能夠堅持下�？傊�我們必須尋找一種友好的媒介使用支持強大這樣的應用程序，還要具有一定的用戶(hù)友好性。使用secur e shell、secure copy或者IPv6協(xié)議都可以使得信息安全的傳輸。傳統的網(wǎng)絡(luò )服務(wù)程序，SMTP、HTTP、FTP、POP3和Tel net等在本質(zhì)上都是不安全的?因為它們在網(wǎng)絡(luò )上用明文傳送口令和數據，嗅探器非常容易就可以截獲這些口令和。SSH的英文全稱(chēng)是Secur e Shell。通過(guò)使用SSH，你可以把所有傳輸的進(jìn)行加密，這樣通過(guò)中間服務(wù)器的攻擊方式就不可能實(shí)現了，而且也能夠防止DNS和IP欺騙。還有一個(gè)額外的好處就是傳輸的數據是經(jīng)過(guò)壓縮的，所以可以加快傳輸的速度。

　　用靜態(tài)的ARP或者IP—MAc對應表代替動(dòng)態(tài)的APR或者I P—MAC對應表。該措施主要是進(jìn)行滲透嗅探的防范，采用諸如ARP欺騙手段能夠讓入侵者在交換網(wǎng)絡(luò )中順利完成嗅探。網(wǎng)絡(luò )員需要對各種欺騙手段進(jìn)行深入了解，比如嗅探中通常使用的ARP欺騙，主要是通過(guò)欺騙進(jìn)行ARP動(dòng)態(tài)緩存表的修改。在重要的主機或者工作站上設置靜態(tài)的ARP對應表，比如WINDOWS2003系統使用a r p命令設置，在交換機上設置靜態(tài)的I P一M AC對應表等，防止利用欺騙手段進(jìn)行嗅探的手法。

　　系統管理人員還應該堅決阻止系統內核的重新載入。為了把嗅探器隱藏在服務(wù)級，惡意攻擊者可能更改內核的代碼內容并重新載入該內核。系統管理人員應該生成靜態(tài)的系統內核，并禁止核心相關(guān)模塊的重新的卸載和載入。

　　除了以上五點(diǎn)另外還要重視關(guān)鍵區域的安全防范。這里說(shuō)的關(guān)鍵區域，主要是針對嗅探器的放置位置而言。入侵者要讓嗅探器發(fā)揮較大功效，通常會(huì )把嗅探器放置在數據交匯集中區域，比如網(wǎng)關(guān)、交換機、路由器等附近，以便能夠捕獲更多的數據。因此，對于這些區域就應該加強防范，防止在這些區域存在嗅探器。

　　五、結束語(yǔ)

　　通過(guò)以上的策略，使得內部網(wǎng)絡(luò )中通過(guò)嗅探器進(jìn)行截獲信息的網(wǎng)絡(luò )包減少了，使得網(wǎng)絡(luò )丟包率也得到降低，雖然不能完全解決信息安全問(wèn)題，但是使網(wǎng)絡(luò )的安全性有了提高。

　　嗅探器技術(shù)并非尖端科技，也不要求太多底層的知識，只能說(shuō)是安全領(lǐng)域的簡(jiǎn)單技術(shù)�；�本上我們的所有網(wǎng)管軟件都使用了嗅探器技術(shù)，只是許多軟件供應商對其一直諱莫如深。但迄今并沒(méi)有一個(gè)切實(shí)可行的方法能夠一勞永逸的阻止嗅探器的安裝或其他設備對系統的侵害。作為一種工具，網(wǎng)絡(luò )嗅探技術(shù)扮演著(zhù)正反兩方面的角色。對于攻擊者來(lái)說(shuō)，最喜歡的莫過(guò)于得到用戶(hù)的賬號和口令信息，通過(guò)網(wǎng)絡(luò )監聽(tīng)可以很容易地獲得這些關(guān)鍵信息。而對于入侵檢測和追蹤者來(lái)說(shuō)，網(wǎng)絡(luò )嗅探技術(shù)又能夠在與攻擊者的斗爭中發(fā)揮重要的作用。鑒于目前的網(wǎng)絡(luò )安全現狀，我們應該進(jìn)一步挖掘網(wǎng)絡(luò )監聽(tīng)技術(shù)的細節，只有從技術(shù)基礎上掌握先機，才能在與入侵者的斗爭中取得勝利。

【淺論校園網(wǎng)絡(luò )中存在嗅探器的解決方案】相關(guān)文章：

淺論經(jīng)濟責任審計中存在的問(wèn)題及對策03-02

淺論當前軟件抗衰技術(shù)中存在的幾點(diǎn)問(wèn)題03-22

淺探大學(xué)生網(wǎng)絡(luò )社團存在的問(wèn)題與對策03-20

淺論網(wǎng)絡(luò )營(yíng)銷(xiāo)中的顧客讓渡價(jià)值03-22

淺探在項目工程施工現場(chǎng)管理中存在的問(wèn)題03-28

憶阻器在神經(jīng)網(wǎng)絡(luò )中的應用12-09

變頻器運行過(guò)程中存在的問(wèn)題及其對策03-18

淺論舞蹈在校園文化中的發(fā)展的論文12-11

淺論網(wǎng)絡(luò )教育資源在英語(yǔ)主動(dòng)性學(xué)習中的應用03-19