网络嗅探及其检测和防范

1、2002年8月第8卷第3期安庆师范学院学报(自然科学版J ourna l of Anq ing Tea che rs Co lle ge (Na tura l S c ience A u g .2002Vo l .8NO .3网络嗅探及其检测和防范高伟,周权,郭艾侠(广州大学理学院数学系和信息安全研究所,广东广州510405摘要:网络嗅探器是一种最常用的网络管理工具,更是一种必要的黑客工具,它所实施的被动攻击直接盗取共享网络中的敏感信息,并且具有很大的隐蔽性和难以检测性,从而给网络安全造成极大的隐患,本文在分析网络嗅探的原理和目的的基础上,给出了几种安全检测方法和防范措施。关键词:网络嗅探;网

2、络安全;反嗅探中图分类号:T P316.8文献标识码:A 文章编号:1007-4260(200203-0052-031网络嗅探的概念及危害网络嗅探器(网络侦听器,嗅包器,sn iffer,p acket sn iffer 是一种利用网络传输机制工作的网管工具,同时又是一种黑客工具,主要用来被动监听、捕捉、解析网络上的数据包并作出各种相应的参考数据分析;其既可以是一种软件,又可以是一种硬件。其基本工作原理是网络嗅探器首先将本机网卡设为混杂模式下,再利用数据链路层访问技术来接受该网段上所有参与通信的数据包,然后再根据相应的侦听目的来分析数据,从而可以弄清该网段的相关通信情况以及其他的敏感信息。N

3、etw o rk Genera l Co rpo ra ti on 的N etx ray 就是这样的一种软件工具。本文主要是围绕局域网内的网络嗅探展开讨论的。总的来说,凡是广播型的网络拓扑结构(或部分上为广播结构的网络技术且没有采取加密措施,都有被侦听的可能。而我们现实当中所采用的网络技术有相当大比例是以太网、微波网、令牌环网等。如果通过网络监听,获得了某些用户的口令及密码,那么该用户的相关网络信息也就没有安全可言;如果获得了某些未经加密的敏感文件,比如电子邮件,势必造成信息泄露;攻击者通过网络监听及数据包分析,极易获得其它主机的MA C 地址的IP 地址,这就为局域网内的I P 地址的盗用创

4、造了条件;同时,黑客以获得的信息为基础,进行主动攻击就十分容易。2网络嗅探的检测作为一种来自网络内部的被动攻击方式,网络侦听器只是被动地接受数据包,它既不与其它主机因侦听而发生通讯,又不会对其共享媒体数据做任何修改,所以在黑客利用所获得的信息主动进攻之前,我们很难发现这一网络安全隐患。加之,网络监听者也会根据检测手段采取一定的反检测措施,这就使得监听检测更为困难。所以我们在实际的检测中,必须在不影响网络性能的情况下,灵活地采用多种手段或直接利用基于相应原理的软件来进行嗅探检测。1网络侦听检测的方法一如果已经怀疑某台计算机可能在使用网络侦听器,网管可以用正确的I P 地址和错误的M A C 地址

5、去P I N G 该机。正确的IP 地址可以使得P I N G 命令的数据包到达该机,若该机接受了P I N G 数据包,IP 协议栈就会返回相应信息;否则,不返回信息。但是,在多数网络操作系统中,都可以方便地修改I P 地址和M A C 地址,所以这种方法并不总是那么有效。另外该方法还对I P 协议栈有一定的依赖性。另外还有一些与此一样借助于TCP IP 协议栈的检测,如ND S 方式、A R P 方式。2网络侦听检测的方法二如果没有找到具体的怀疑对象,只是粗略地怀疑该网段存在网络侦听行为,网管可以将大量本网段根本不存在的M A C 地址广播,同时运行响作者简介:高伟(1978-,男,广州大

6、学理学院数学系在读研究生,专业方向为信息安全。收稿日期:2002-04-12 应的网管工具来检测负载大幅增加的主机。或者,根据I C M P ECHO D ELA Y的长短来间接找到该机。这种方法也存在一定的缺点,一方面它会加大整个网络的流量,使网络性能下降;另一方面,对于搜到的主机也只是存在网络侦听的可能。3网络侦听检测的方法三如果网管的计算机性能足够好的话,可以逐个检测网内主机的运行程序,从而发生该运行网络监听的主机。该手段一方面需要耗费很大的工作量;另一方面由于不能同时检测所有主机,如果检测某运行网络监听的主机时,正好此段时间该机关闭了该程序,那也会造成检测失败。4网络侦听检测的方法四诱

7、饵法根据网络嗅探者往往以获得用户口令等敏感信息为目的,我们可以在网络中投放一些这样的信息,然后再检测使用这些信息的主机。3网络嗅探的防范措施由于网络嗅探的难于检测性及其带来的严重的网络安全隐患,我们必须从技术和管理两方面采取防范措施,尽可能提高网络信息安全。1加密所要传输的敏感信息由于实施被动攻击的黑客只是对某些敏感信息感兴趣,所以我们可以对所要传输信息的敏感部分加密。这样,即便攻击者获得了密文,也不能得到想要的信息。采用加密的方式,一方面由于往往是小部分加密,所以对传输效率不会有太大的影响;另一方面,我们可以方便地拿到多种加密工具,象SS L协议、SSH协议、PGP软件等。2网络分段把可以信

8、任的主机分在一个网段内,从而将可能侦听的主机屏蔽在安全网段之外。网络分段可分为物理分段和逻辑分段,我们可以在网络内,用交换机、路由器、防火墙等工具对网络内的节点进行合理分段,使得防范嗅探的安全性得以提高。实际应用中,往往是这两种方式结合起来实现网络的安全控制。但是这种手段比加密手段有以下缺点。一方面它并不十分可靠:因为我们所防范的网络嗅探往往来自网络内部,所以我们很难保证所在同一网段内的节点一定可以互相信任;另一方面,从经济上,要提高防范嗅探的安全性,势必要求相应网段足够小,这就对我们的分段工具提出了较高的要求,这对于较小的局域网或许还可以,但是对于较大的局域网则是一个相当大的开支,所以如果我

9、们要防范一些非常敏感的信息被嗅探的时候,最好采用加密的手段;而网络分段则作为对一般性信息进行嗅探的防范手段。3以交换式集线器代替共享式集线器我们可以看到,在网络分段后,往往是各分支集线器仍是共享式的,这就使得同一集线器之间的主机之间还是可以进行窃听的。如果以交换式集线器代替共享式集线器,就可以使得同一集线器的计算机通信是点对点的形式,从而避免了网络嗅探。4VLAN技术虚拟网技术主要基于近年发展的交换技术,特别是局域网交换技术。实际上应用虚拟局域网和交换器以后,一方面虚拟网外面的节点不能访问虚拟网内部的节点,同时,虚拟局域网之间的通信需要路由,并可提供一定的访问控制,甚至屏蔽某个虚拟局域网;另一

10、方面虚拟网内部的交换技术又使得内部主机之间的通信避免了基于广播的形式,从而整个局域网内部的通信方式都实现了点对点的形式。这就使得网络嗅探从根本上得到防范,并且随着基于第三层交换技术的成熟和所需硬件价格的下降,VLAN技术将得到广泛的推广。5一次性口令机制针对网络嗅探者往往对口令和用户感兴趣,我们可以在网络内部的远程登陆,ftp,telnet的管理中采用一次性口令机制,以使得每次登陆的口令都不一样,其指导思想与加密手段类似,但并不比加密手段方便多少。6非混杂式网卡由于只有设为混杂模式的网络接口可以接受所有数据包,我们可以在建设局域网的时候,就规定该网络只能使用网管提供的非混杂式网卡。但是由于现在

11、网卡硬件地址的伪装和I P地址伪装的容易实现,使得该手段的实际意义并不是很大。4总结总之,作为一种常用而且必要的黑客手段,网络嗅探给共享结构的网络造成了很大安全隐患,而且由于该隐患往往来自局域网的内部,从而使得防范具有相当的难度。现在所提出的方法各有优缺点,在实际的安全策略中,我们应该结合各自网络的特点及要求综合各种手段和措施来检测、防范网络嗅探,尽量保证网络传输的安全性。3(感谢广州大学计算机系姚振坚老师在计算机网络课中的启发和指导参考文献1D avid W u,F rederick W ong.Remo te Sniffer D etecti onM.1998.12.2h ttp: pub

12、s sniffing-faq.h tm l.3h ttp: dac P rogRA I D98 Full Papers sniffer detecto r.h tm l.4钱丽萍,高光来.包捕获技术:原理、防范和检测J.计算机系统应用,2000,2:31-33.35第3期高伟,周权 ,郭艾侠:网络嗅探及其检测和防范5沈海涓.警惕网络Sniffer的危害J.杭州应用工程技术学院学报,2001,13(2:6,23-26.6杜守恒,李富国.Sniffer在以太网上的分析和防范J.焦作工学院学报,2001,20(5:9,361-362.7王威,邓捷,吕莹.网络安全与局域网解决方案J.自动化技术与应用,

13、2001,2:41-43.8贺龙涛,方滨兴,云晓春.网络监听与反监听J.计算机工程与应用,2001,(18:20-21.9王英龙,王连海.网络侦听及反侦听的原理和实现J.计算机应用研究,2001,(12:61-63.Network Sn iff i n g,D etecti n g and Preven ti n gGAOW ei,ZHOUQ uan,GUO A i2x ia(T he Institute of Info r m ati on Security of Guangzhou U niversity,Guangzhou510405,ChinaAbstract:N etw o rk s

14、n iffer is a commonly2u sed too l of the adm inistrating of netw o rk,and often usedby hackers.T he passive acti on of the sniffer has the sen sitive info r m ati on stealed w ith the greatdifficulty of detecti on,and takes a great th reat to the secu rity of the netw o rk.In th is paper,severalm et

15、hods of detecti on and p reventive m easu res are p resented based on the analysis of the p rinci p leand ai m of the netwo rk sniffing.Key words:sniffing;netwo rk security;anti2sn iffing(上接第51页决了多台质量流量计集中监控、各表参数同屏显示等问题,无需采用其他二次显示仪表来显示质量流量计的数据;同时系统提供了油品数据的事后分析系统,从而能够科学地分析油品出厂时是否出现抽空和带水现象。因此,本项目对推动微机

16、在工业控制、数据采集、计量测试等领域的应用具有一定的借鉴作用;对实现石化系统的油品灌装生产线自动化以及智能计量设备的国产化有较大的促进作用;为建立油品数据分析科学评价体系,减少人为因素具有重要的意义。该系统自1998年开始运行到1999年底正式使用至今,运行稳定,达到了设计要求,多次为处理质量纠纷提供了科学可靠数据。通过使用前后油品质量纠纷处理赔付情况的比较,每年可为企业减少赔付金额近百万元,取得了可观的经济效益和社会效益。参考文献1美国罗斯蒙特公司.RT F9712使用说明书S.2杨乐平.电子仪器仪表用户,1997,(6:19-21.3郝迎新.石油化工自动化,1998,(4:43-45.4(美D ar w in Boyle,等著,许文轩,等译.V isual Basic4开发人员指南M.北京:机械工业出版社,1997.Cen tralM on itor i n g M ater Flow Tran s m itter by Com puterZHAN GJ ie,J I AN G Gu i2sheng(T he Phy.D ep t.of A nqing T eachers Co llege,A nqing246011,Ch inaAbstract:Cen tral m anage of m ater flow tran s m itter data i