Sniffer监听与网络安全管理.doc

Sniffer监听与网络安全管理摘要： 随着计算机网络的普及和发展，我们的生活和工作都越来越依赖于网络。与此相关的网络安全问题也随之凸现出来，目前网络监听技术经常被计算机网络管理员及黑客使用，以得到用其他方法很难获得的信息。网络管理员可以利用网络监听技术分析网络异常，维护网络安全。关键字： 网络安全 监听 sniffer本文主要阐述了目前的网络监听的技术现状、用途和未来的发展方向，并提出了相应的防范机制。对最广泛的监听工具Sniffer做了简单的描述，一、网络安全威胁与监听概述最普遍的安全威胁来自内部，同时这些威胁通常都是致命的。其中网络监听对于安全防护一般的网络来说威胁巨大，很多黑客也使用监听器进行网络入侵的渗透。网络监听器对信息安全的威胁来自其被动性和非干扰性，使得其具有很强的隐蔽性，往往使信息泄密不易被发现。数据包监听器指的是与局域网相连并从以太网帧获取信息的应用程序软件或硬件设备。这些系统的最初意图在于对以太网通信进行故障排除和分析，或者深入了解帧以检查单个的 IP 数据包。监听器以混杂模式运行，即它们侦听物理线路上的每个数据包。我国的网络正在快速发展中，相应的问题也就显现出来，网络管理及相应应用自然将越发重要，而监听技术正是网络管理和应用的基础，其意义当然重要，放眼当前相关工具有ethereal, sniffer等无一不是国外软件，随着中国网络的发展，监听系统必将大有用武之地，因此监听技术的研究已是时势的要求。网络数据监听有助于网络管理、故障报警及恢复，也就是运用强大的专家分析系统帮助维护人员在最短时间内排除网络故障。二、Sniffer软件介绍1、sniffer工作原理通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：帧的目标区域具有和本地网络接口相匹配的硬件地址；帧的目标区域具有广播地址。在接受到上面两种情况的数据包时，网卡通过cpu产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。而sniffer就是一种能将本地网卡状态设成混杂状态的软件，当网卡处于这种混杂方式时，该网卡具备广播地址，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：sniffer是极其安静的，它是一种消极的安全攻击。2、监听器的主要工作流程通常启动监听器后，首先要得到本地操作系统的版本号。由用户选择监听的网络适配器号，然后，将所选择的设备打开，这里可以设置为“混杂”模式打开，也可以是“直接”模式打开。接着用一个指针定位这个设备并对其进行初始化操作，开始接受网络包了。最后打印数据包，释放数据包的存储空间和指向设备的指针，关闭设备，退出。3、Sniffer的扩展应用（1）专用领域的SnifferSniffer被广泛应用到各种专业领域，例如FIX (金融信息交换协议)、MultiCast(组播协议)、3G (第三代移动通讯技术)的分析系统。其可以解析这些专用协议数据，获得完整的解码分析。（2）长期存储的Sniffer应用由于现代网络数据量惊人，带宽越来越大。采用传统方式的Sniffer产品很难适应这类环境，因此诞生了伴随有大量硬盘存储空间的长期记录设备。例如nGenius Infinistream等。（3）易于使用的Sniffer辅助系统由于协议解码这类的应用曲高和寡，很少有人能够很好的理解各类协议。但捕获下来的数据却非常有价值。因此在现代意义上非常流行如何把协议数据采用最好的方式进行展示，包括产生了可以把Sniffer数据转换成Excel的BoneLight类型的应用和把Sniffer分析数据进行图形化的开源系统PacketMap等。这类应用使用户能够更简明地理解Sniffer数据。三、Sniffer在网络管理中的应用Sniffer在网络中的应用，主要是利用其流量分析和查看功能，解决网络中出现的网络传输质量问题。1、专家分析系统Sniffer与其他网络协议分析最大的差别在于它的人工智能系统（Expert Syistem）。Sniffer能够监视并捕获所有网络上的信息数据包，并同时建立一个特有网络环境下的目标知识库。智能的专家技术扫描这些信息以检测网络异常现象，并自动对每种异常现象进行归类。经过问题分离、分析且归类后，Sniffer将实时地、自动发出一份警告，对问题进行解释并提出相应的建议解决方案。2、实时对网络监控和告警Sniffer可提供实时数据或图表方式显示统计结果，统计内容包括：网络统计、协议统计、差错统计、帧长统计。当某些指标超过规定的阈值时，Sniffer可以自动显示或采用有声形式的告警。Sniffer可根据网络管理者的要求，自动将统计结果生成多种统计报告格式，并可存盘或打印输出。3、实时捕获网络包Sniffer可以抓获流经网络的所有数据包，也可抓获用户定义的数据包。设置的捕获条件有：链路层捕获，按源MAC和目的MAC地址进行捕获；IP层捕获，按源 IP和目的 IP进行捕获； 需要捕获的协议；捕获帧长度；错误帧。通过对这此动态数抓报文的捕获和分析，可以诊断出网络中大量的模糊问题，有效地监视网络活动，完善网络管理功能 。 4、对协议进行解析Sniffer可以在全部七层 OSI协议上进行解码，采用分层方式，从最低层开始，一直到第七层，甚至对 Oracle数据库、Sql Server数据库都可以进行协议分析；每一层用不同的颜色加以区别。通过对协议的解析，可以对当前协议的网络利用率、协议的数、协议的字节数以及每种协议中各种不同类型的帧的统计有非常系统的了解，对可能出现的网络风暴 、网络攻击等问题有提前性的防备。5、保障网络安全随着网络的不断发展，黑客技术吸引了不少网络爱好者。于是，DDoS攻击成为一些黑客炫耀自己技术的一种手段，外部DDoS攻击使得网络可能会出现短时间的中断现象。对于类似的攻击，使用Sniffer软件，可以有效判断网络是受广播风暴影响，还是来自外部的攻击。Sniffer会提供网络安全的保障与维护，它会对异常的网络攻击实时发现与告警；对高速网络的进行获与侦听；全面分析与解码网络传输的内容。应用Sniffer指定的病毒、木马特征码过滤器对数据包进行监控，使流经网络数据包都处于相对安全的环境中。6、检测网络硬件故障在网络中工作的硬件设备，只要有所损坏，数据流量就会异常，使用Sniffer可以轻松判断出物理损坏的网络硬件设备。7、网络流量模拟通过设置目的地址、发送次数、发送延迟和报文大小，形成报文并发送，可实现网络流量模拟。利用这个功能，我们可以探察网络，进行通信仿真，测量响应时间。当网络出现故障。不能立即排除时，可以捕获、存储网络故障时的数据包，并在之后进行回放，模拟当时的网络状态，以便对故障进行定位和排除。Sniffer技术在网络管理中具有高效解决网络问题的能力,能够从网络的各个层面进行网络故障分析。但其应用要求对网络协议有清楚的了解,使用上有一定难度。网络系统的正常运行和安全防范是一项联系很广泛的任务,随着网络规模的发展和扩大,它将对网络管理员提出更高的要求。而利用Sniffer技术,网络管理人员可以深入到网络内部,可以实现对网络数据及流量的分析,能够开发出与其相关的网络安全和系统管理软件,从而大大减少网络管理员的工作量,提高网络的性能以及服务质量。参考文献1.王石.局域网安全与攻防.北京:电子工业出版社.