网络监听技术原理及常用监听工具.pdf

收稿日期 2003 12 03 作者简介 祝金会 1967 男 高级工程师 主要从事计算机网络方面的工作 网络监听技术原理及常用监听工具 Technical Fundamentals of Network Monitoring and Common Monitor Tools 祝金会1 蒋晓青1 李 珂2 1 河北省电力公司 河北 石家庄 050021 2 邯郸供电公司 河北 邯郸 056035 摘要 目前网络监听技术经常被计算机网络管理员及黑客所 使用 网络管理员可以利用网络监听技术分析网络异常 定 位网络问题所在 黑客利用网络监听窃取他人密码等重要信 息 进而控制或攻击他人计算机 该文介绍了网络监听技术 的原理以及常用的监听工具 关键词 计算机网络 技术原理 监听 工具 Abstract The network monitoring technology is usually used by the computer network supervisors and hackers The network su2 pervisors may use it to define the causes of abnormal events in network and locate problems where they lay Hackers use it to steal other persons ciphers or important information etc and then they control or attack their computers This paper intro2 duces the technical fundamentalsof network monitoring technical principal and common tools Key words computer network technical fundamental monitor tool 中图分类号 TP393 文献标识码 B 文章编号 1001 9898 2004 03 0050 03 1 网络监听的概念 网络监听工具是网络管理员常用的一类管理工 具 使用这种工具 网络管理员可以监视网络的状 态 数据流动情况以及网络上传输的信息 但是网络监听工具也是黑客的常用工具 当信 息以明文的形式在网络上传输时 便可以使用网络 监听的方式来进行攻击 将网络接口设置在监听模 式 便可以源源不断地将网上传输的信息截获 网络监听可以在网上的任何一个位置实施 如 局域网中的一台主机 网关或远程网的调制解调器 之间等 黑客用得最多的是截获用户的口令 当黑客成功地登录进一台网络上的主机 并取 得了该主机的超级用户权限后 往往要扩大战果 尝 试登录或者夺取网络中其他主机的控制权 而网络 监听则是一种最简单且最有效的方法 能轻易地获 得用其他方法很难获得的信息 在网络上 监听效果最好的地方是在网关 路由 器 防火墙一类的设备处 通常由网络管理员来操 作 使用最方便的是在一个以太网中的任何一台上 网的主机上 这是大多数黑客的做法 2 网络监听的原理 通常 在计算机网络上交换的数据结构单位是 数据包 而在以太网 Ethernet 中则称为帧 这种数 据包是由记录着数据包发送给对方所必需信息的报 头部分和记录着发送信息的报文部分构成 报头部 分包含接收端地址 发送端地址 数据校验码等信 息 以太网协议的工作方式是将要发送的数据包发 往连接在一起的所有主机 通常只有与数据包中目 标地址一致的那台主机才能接收到信息包 但是当 主机工作在监听模式下 不管数据包中目标的理地 址是什么 主机都将可以接收到 在许多局域网内 有十几台甚至上百台主机是通过一个电缆 一个集 线器连接在一起的 在协议的高层或者用户看来 当同一网络中的2台主机通信的时候 源主机将写 有目的主机地址的数据包直接发向目的主机 或者 当网络中的一台主机同外界的主机通信时 源主机 将写有目的主机IP地址的数据包发向网关 但这 种数据包并不能在协议栈的高层直接发送出去 要 发送的数据包必须从TCP IP协议的IP层交给网 络接口 也就是所说的数据链路层 网络接口不会 识别IP地址 在网络接口由IP层来的带有IP地 址的数据包又增加了一部分以太帧的帧头信息 在 帧头中 有2个域分别为只有网络接口才能识别的 源主机和目的主机的物理地址 这是一个48位的地 址 这个48位的地址是与IP地址相对应的 即一个 IP地址对应一个物理地址 对于作为网关的主机 由于它连接了多个网络 也就同时具备了多个IP地 05 2004年第3期 河 北 电 力 技 术 第23卷 址 在每个网络中都有一个 而发向网络外的帧中 携带的就是网关的物理地址 在Ethernet中填写了物理地址的帧从网络接 口 即网卡中发送出去并传送到物理线路上 如果 局域网是由粗缆 10Base5 或细缆 10Base2 连接的 共享式以太网络 那么数字信号在电缆上传输时就 能够到达线路上的每台主机 而当使用集线器时 发送出去的信号先到达集线器 再由集线器发向连 接在集线器上的每条线路 这样在物理线路上传输 的数字信号就能到达连接在集线器上的每台主机 了 当数字信号到达一台主机的网络接口时 正常 状态下网络接口对读入数据帧进行检查 如果数据 帧中携带的物理地址是自己的或者物理地址是广播 地址 那么就会将数据帧交给IP层软件 对于每个 到达网络接口的数据帧都要重复这个过程 但是当 主机工作在监听模式时 所有的数据帧都将被交给 上层协议软件处理 当连接在同一条电缆或集线器上的主机被逻辑 地分为几个子网的时候 如果有一台主机处于监听 模式 它还可以接收到发向与自己不在同一个子网 使用了不同的掩码 IP地址和网关 的主机的数据 包 在同一个物理信道上传输的所有信息都可以被 接收到 在Unix系统上 当拥有超级权限的用户欲使自 己控制的主机进入监听模式 只需向Interface 网络 接口 发送I O控制命令 就可以使主机设置成监听 模式了 而在Windows系统中 则不论用户是否有 权限 都将可以通过直接运行监听工具即可实现 在网络监听时 常常要保存大量的信息 也包含 很多垃圾信息 并对收集的大量信息进行整理 这 样就会使正在监听的机器对其它用户的请求响应变 得很慢 同时监听程序在运行时需要消耗大量的处 理器时间 如果此时就详细分析包中内容 许多包就 会来不及接收而漏走 所以很多时候监听程序会将 监听得到的包存放在文件中等待以后分析 分析监 听到的数据包是项繁重的工作 因为网络中的数据 包都非常复杂 2台主机之间连续发送和接收数据 包 在监听到的结果中必然会增加一些别的主机交 互的数据包 监听程序将同一TCP会话的包整理 到一起已相当不易 若还期望将用户详细信息整理 出来 就需要根据协议对包进行大量分析 Internet 上的协议非常多 运行监听程序将会使机器变得很 慢且占用大量磁盘空间用于存储监听到的数据包 现在网络中所使用的协议都是较早前设计的 许多协议的实现都是基于通信双方的充分信任 在 通常的网络环境下 用户的信息包括口令都是以明 文的方式在网上传输的 因此进行网络监听从而获 得用户信息并不难 只要掌握初步的TCP IP协议 知识即可以轻松地监听到所需信息 目前 网络监 听主要用于局域网络 在广域网里也可以监听和截 获到一些用户信息 但更多信息的截获要依赖于配 备专用接口的专用工具 3 检测网络监听的方法 由于运行监听程序的主机在进行监听的过程中 只是被动地接收以太网中传输的信息 不会占用其 它主机交换信息 也不能修改在网络中传输的信息 包 因此要对网络监听进行检测很复杂 在Unix或Linux操作系统中 一般可以通过命 令ps ef或者ps aux来检测 在Windows系统中 可以通过同时按Ctrl Alt Del键 切换到进程一栏 进行监视 但在Unix或Linux操作系统中 大多运 行监听程序的人都会通过修改ps命令来防止被ps ef命令检测到 修改ps命令只需几个shell程序 将监听程序的名称过滤掉即可 上节提到过 当运行监听程序时 主机响应一般 会受到影响变得非常缓慢 所以也可以根据主机的 响应速度来判断是否受到监听 但由于目前许多程 序的运行可以导致机器变得很慢 因此该方法正确 率很低 如果怀疑网内某台机器正在对网络进行监听 可以用正确的IP地址和错误的物理地址去ping它 这样正在运行的监听程序就会做出响应 这是因为 正常的机器一般不接收错误的物理地址的ping信 息 但正在进行监听的机器就可以接收 不过这种 方法对很多系统是没有效果的 因为它依赖于系统 的IP stack 另一种方法就是向网上发大量不存在 的物理地址的包 监听程序往往就会对这些包进行 处理 这样就会导致机器性能下降 可以用icmp echo delay来判断和比较它 还可以通过搜索网内所有 主机上运行的程序 但这样做的难度极大 因为工作 量很大 而且还不能同时检查所有主机的进程 在Unix中可以通过ps aun或ps augx命令 产生一个包括所有进程的清单 进程的属主和这些 进程占用的处理器时间和内存等 这些都可以以标 准表的形式输出在标准输出设备上 如果某一进程 正在运行 那么它将会列在这张清单中 但很多黑 客在运行监听程序时会毫不客气地将ps或其它运 15 2004年第3期 河 北 电 力 技 术 第23卷 行中的程序修改成Trojan Horse程序 这时上述方 法就无效了 但这样做在有些时候还是起作用的 在Unix与Windows NT 2000 XP上 很容易得到当 前进程的清单 但DOS Windows9x很难做到 监听一般只针对用户口令等敏感信息 所以对 用户信息和口令信息进行加密是完全有必要的 可 以防止以明文传输而被监听到 目前 在网络中 SSH 一种在应用环境中提供保密通信的协议 通信 协议被广泛使用 SSH所使用的端口是22 它排除 了在不安全信道上通信的信息被监听的可能性 它 使用了RAS算法 在授权过程结束后 所有的传输 都用IDEA技术加密 4 常用的网络监听工具 在Windows环境下 常用的网络监听工具当然 是著名的netxray以及sniffer pro了 实际上很多人 都用它在Windows环境下抓包来分析 而在Unix 环境下 监听工具非常多 如Sniffit Snoop Tcp2 dump Dsniff等都是比较常见的 它们都能免费发布 源代码 可用以研究 4 1 Sniffit Sniffit可以运行在Solaris SGI和Linux等平台 上 是由Lawrence Berkeley Laboratory开发的一个 免费的网络监听软件 最近Sniffit 0 3 7也推出了 NT版本 并也支持Windows2000 其使用方法为 v显示版本信息 a以ASCII形式将监听的结果输出 A在进行记录时 所有不可打印的字符都用 A代替 b等同于同时使用参数 t s d将监听所得内容以16进制方式显示在当前 终端 p记录连接到的包 0为所有端口 缺省为0 P protocol选择要检查的协议 缺省为TCP 可能的选择有IP TCP ICMP UDP和它们的组合 s指定Sniffer检查从源地址发送的数据包 t指定Sniffer检查发送到的数据包 i进入交互模式 l设定数据包大小 default是300字节 注意 参数可以用 来表示一个IP范围 例如 t 192 168 t和 s只适用于TCP UDP数据 包 对于ICMP和IP也进行解释 但如果只选择了 p参数 则只用于TCP和UDP包 举例说明 Sniffit a p 21 t xxx xxx xxx xxx 监听流向机器xxx xxx xxx xxx的21端口 FTP 的信息 并以ASCII显示 Sniffit d p 23 b xxx xxx xxx xxx 监听所有流出或流入机器xxx xxx xxx xxx的 23端口 telnet 的信息 并以16进制显示 可以在以下网址找到Sniffit http reptile rug ac be coder sniffit snif2 fit html 4 2 Snoop Snoop默认情况安装在Solaris下 是一个用于 显示网络交通的程序 不过SNIFF是把双刃剑 既 然管理员能用它来监视自己的网络 那么入侵者也 可以用它来捕获自己感兴趣的内容 使用方法 a Listen to packets on audio d device Settable to le ie bf tr s snaplen Truncate packets c count Quit after count packets P Turn OFF promiscuous mode D Report dropped packets S Report packet size i file Read previously captured packets o file Capture packets in file n file Load addr to name table from file N Create addr to name table t r a d Time Relative Absolute or Delta v Verbose packet display V Show all summary lines p first last Select packet s to display x offset length Hex dump from offset for length C Print packet filter code 例如 snoop o saved A B 监听机器A与B的谈话 并把内容存储于文件 saved中 4 3 Tcpdump Tcpdmp也算是一个很有名气的网络监听软件 FREEBSD还把它附带在了系统上 是一个被很多 Unix高手认为很专业的网络管理工具 使用方法 下转第54页 25 2004年第3期 河 北 电 力 技 术 第23卷 ARP协议生成并维护的 配置路由器时 可以指定 静态的ARP表 路由器会根据静态的ARP表检查 数据包 如果不能对应 则不进行数据转发 该方法可以阻止非法用户在不修改MAC地址 的情况下 冒用IP地址进行跨网段的访问 3 2 交换机端口绑定 借助交换机的端口 MAC地址绑定功能可以 解决非法用户修改MAC地址以适应静态ARP表的 问题 可管理的交换机中都有端口 MAC地址绑 定功能 使用交换机提供的端口地址过滤模式 即 交换机的每一个端口只具有允许合法MAC地址的 主机通过该端口访问网络 任何来自其它MAC地址 的主机的访问将被拒绝 3 3 VLAN划分 严格来说 VLAN划分不属于技术手段 而是管 理与技术结合的手段 将具有相近权限的IP地址 划分到同一个VLAN 设置路由策略 可以有效阻止 非法用户冒用其他网段的IP地址的企图 3 4 与应用层的身份认证相结合 避免采用针对IP地址的直接授权的管理模式 综合运用用户名 口令 加密 VPN及其他应用层的 身份认证机制 构成多层次的严密的安全体系 可以 有效降低IP地址非法使用所带来的危害 4 管理建议 a 使普通用户明白非法使用IP地址所产生的 危害和处罚措施 制定并实施严格的IP地址管理制 度 包括 IP地址申请和发放流程 IP地址变更流 程 临时IP地址分配流程 机器MAC地址登记管 理 IP地址非法使用的处罚制度 b 非法使用IP的行为 总是内部网络少数人的 行为 因此 对于已经建成的网络 管理员要根据当 前存在的问题 有针对性的运用技术措施 重点阻止 个别用户的非法行为 c 划分VLAN时 兼顾可管理性和易用性 在 不增加网络复杂性的前提下 充分运用VLAN的划 分手段 将权限相近的用户划分到同一个VLAN 内 弱化非法使用同网段IP地址所带来的利益 d 部署网络管理系统 网络管理软件可以实 现静态ARP表绑定的初始化操作 避免网络管理员 的大量重复性劳动 网络管理软件的日常监视和日 志功能 可以及时有效的发现网络中的IP地址变 化 MAC地址变化 交换机端口改变等异常行为 帮 助网络管理员查找网络故障的根源 同时 网络管 理员还可以借助网管系统 很方便的管理网络交换 机 针对个别问题突出的用户 进行交换机端口绑定 操作 禁止其修改MAC地址 e 与应用层的身份认证相结合 建立完整严密 的多层次的安全认证体系 弱化IP地址在身份认证 体系中的重要性 与IP地址非法使用的问题类