浅论校园网络中存在嗅探器的解决方案

1 / 9浅论校园网络中存在嗅探器的解决方案论文关键词嗅探器信息安全校园网 论文摘要将简单讨论网络嗅探原理以及校园网中为防范网络嗅探所采取的措施。同时为了确保网络的可用性和安全性?以及不必要的恐慌?系统管理人员应该悉部分探测工具的使用和其局限性?并在碰到相关问题时能采取正确的应对。 一、引言 虽然 IPv6 相对 IPv4 在数据安全上做了很多修改?且逐渐成为互联网发展的必然趋势。但在很长时间内，IPv4仍将存在，即使一些网络已升级到 IPv6，升级系统也将保持与 IPv4 系统的互操作能力。在现在的过渡阶段网络中传输的数据包不再是单纯的 IPv4 包，也不是单独的 IPv6 包，而存在 IPv4、IPv6 以及各种格式的过渡策略数据包?但是主干网仍支持 IPv4。可是在 IPv4 中，还存在很大的安全隐患，像信息的截获就是一个很大的问题，这就导致了丢包的发生。对于信息截获导致丢包的解决方法在下面将进行简单论述。 2 / 9二、网络信息蠢获的原理 在目前的大多数局域网中，信息在网络中是以广播形式发送的，以太网卡收到报文后，通过对目的地址进行检查，来判断是否是传递给自己的，如果是，则把报文传递给操作系统。否则，将报文丢弃不进行处理。网络信号截获其目标是在尽可能不影响网络系统正常通讯的情况下，对网上数据进行侦听截获通过把部分数据包存入数据库并进行有针对性的分析，及时发现有用信息或恶意攻击和安全隐患，从而达到获取信息和保障网络安全的目的。当信息经过网络时，嗅探器就将其截获并将其感兴趣的信息载入数据库进行分析处理。在以广播形式发送的网络中，只需对其中任意一台计算机的网卡驱动程序进行改造(安装嗅探器)，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，同时也为处在同一冲突域上的任何一个节点的网卡所截取。因此，只要对接入以太网上的任一节点进行侦听，就可以捕获发生在这个冲突域上的所有数据包，对其进行解包分析，从而截取关键信息。 三、嗅探原理 3 / 9以太网中是基于广播方式传送数据的，所有的物理信号都会被传送到每一个主机节点，此外，网卡可以被设置成混杂接收模式，在该模式下，无论数据帧的目的地址如何，网卡都能够予以接收。嗅探器的软件实现方式网卡设置成混杂模式，所有数据帧都会被网卡驱动程序上传给网络层。分组数据到了网络层后，网络层处理程序还要对其目的 IP 地址进行判断，如果是本地 IP，则上传给传输层处理(传输层再根据目的端口号来决定由哪个上层应用处理数据报文)?否则丢弃。如果没有特定的机制，即便网卡设置成了混杂模式，上层应用也无法抓到本不属于自己的数据包。这就需要一个直接与网卡驱动程序接口的驱动模块?通过该模块网卡上传的数据帧就有了两个去处，一个是正常的协议栈，另一个就是分组捕获及过滤模块，对于非本地的数据包，前者会丢弃，后者会根据上层应用要求来决定上传还是丢弃。 四、嗅探嚣的安全防范机制 证明网络有嗅探器有两条经验，一是网络带宽出现反常。通过某些带宽监控软件或者设备，比如MRTG、pbwmeter 等。可以实时看到目前网络带宽的分布情况，如果某个端口长时间的占用了较大的带宽，这台机器4 / 9就有可能在监听。二是网络通讯丢包率非常高。通过一些网络软件，可以看到信息包传送情况?最简单的就是 ping命令，它会告诉你现在网络的掉包情况。如果网络中有人在 Listen，那么信息包传送将无法每次都顺畅的流到目的地。(这是由于 sniffer 拦截每个包导致的)。如果你的网络结构正常，而又有 10%以上的包无法正常达到目的地，这就有可能是由于嗅探器拦截包导致的。三是可以查看计算机上当前正在运行的所有程序。在 Unix 系统下使用下面的命令：psaux 或：psaugx。这个命令列出当前的所有进程，启动这些进程的用户，它们占用 CPU 的时间，占用内存的多少等等。Windows 系统下，按下 Ctrl+Alt+Del，看一下任务列表。不过，编程技巧高的 SnifferHP 使正在运行，也不会出现在这里的。还有许多工具，能用来看看你的系统会不会在杂收模式。从而发现是否有一个 Sniffer正在运行。 因为嗅探器需要将网络中入侵的网卡设置为混杂模式才能工作，所以检测嗅探器可以采用检测混杂模式网卡的工具?比如 Antisniff 等工具。 当系统在混杂模式下，系统会对某些特定类型的数5 / 9据包回应，对其它的数据包则置之不理。在 Antisniff 进行操作系统详细测试时，Antisniff 会通过广播或非广播方式发送一个并不存在的 Ether 地址，并对系统回应进行监听。Antisniff 发送虚假地址的请求 ICMP 回应数据帧，如果系统在混杂模式下则会对该数据帧进行应答，否则放弃。对于不同的操作系统，计算机采用的检测工具也不尽相同。大多数 LINUX、UNIX 操作系统都可以使用ifconfig。利用 ifconfig 网络管理人员可以知道网卡是否工作在混杂模式下。但是因为安装未被授权的 sniffer 时，特洛伊木马程序也有可能被同时安装，因而 ifconfig 的输出结果就可能完全不可信。大多数版本的 UNIX 都可以使用lsof 来检测嗅探器的存在。lsof 的最初的设计目的并非为了防止嗅探器入侵?但因为在被入侵的系统中，嗅探器会打开其输出文件，并不断传送信息给该文件?这样该文件的内容就会越来越大?因而 lsof 就有了用武之地。如果利用lsof 发现有文件的内容不断的增大,我们就有理由怀疑系统被人装了嗅探器。因为大多数嗅探器都会把截获的TCP/IP”数据写入自己的输出文件中,因而系统管理人员可以把 lsof 的结果输出至 grep 来减少系统被破坏的可能性。6 / 9完全主动的解决方案很难找到，我们可以采用一些被动的防御措施。 安全的拓扑结构，嗅探器只能在当前网络段上进行数据捕获。这就意味着，将网络分段工作进行得越细，嗅探器能够收集的信息就越少。有三种网络设备是嗅探器不可能跨过的，交换机、路由器、网桥。我们可以通过灵活的运用这些设备来进行网络分段。比如对网络进行分段，比如在交换机上设置 VLAN，使得网络隔离不必要的数据传送。 会话加密，会话加密提供了另外一种解决方案。不用特别地担心数据被嗅探，而是要想办法使得嗅探器不认识嗅探到的数据。这种方法的优点是明显的?即使攻击者嗅探到了数据，这些数据对他也是没有用的。在加密时有两个主要的问题?一个是技术问题，一个是人为问题。技术是指加密能力是否高。例如，32 位的加密就可能不够，而且并不是所有的应用程序都集成了加密支持。而且?跨平台的加密方案还不多，一般只在一些特殊的应用之中才有。人为问题是指有些用户可能不喜欢加密，他们觉得这太麻烦。用户可能开始会使用加密，但他们很少能够坚持下。总之7 / 9我们必须寻找一种友好的媒介使用支持强大这样的应用程序，还要具有一定的用户友好性。使用secureshell、securecopy 或者 IPv6 协议都可以使得信息安全的传输。传统的网络服务程序，SMTP、HTTP、FTP、POP3 和 Telnet 等在本质上都是不安全的?因为它们在网络上用明文传送口令和数据，嗅探器非常容易就可以截获这些口令和。SSH 的英文全称是SecureShell。通过使用 SSH，你可以把所有传输的进行加密，这样通过中间服务器的攻击方式就不可能实现了，而且也能够防止 DNS 和 IP 欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。 用静态的 ARP 或者 IPMAc 对应表代替动态的 APR或者 IPMAC 对应表。该措施主要是进行渗透嗅探的防范，采用诸如 ARP 欺骗手段能够让入侵者在交换网络中顺利完成嗅探。网络管理员需要对各种欺骗手段进行深入了解，比如嗅探中通常使用的 ARP 欺骗，主要是通过欺骗进行 ARP动态缓存表的修改。在重要的主机或者工作站上设置静态的 ARP 对应表，比如 WINDOWSXX 系统使用 arp 命令设置，在交换机上设置静态的 IP 一 MAC 对应表等，防止利用欺骗手段进行嗅探的手法。 8 / 9系统管理人员还应该坚决阻止系统内核的重新载入。为了把嗅探器隐藏在服务级，恶意攻击者可能更改内核的代码内容并重新载入该内核。系统管理人员应该生成静态的系统内核，并禁止核心相关模块的重新的卸载和载入。 除了以上五点另外还要重视关键区域的安全防范。这里说的关键区域，主要是针对嗅探器的放置位置而言。入侵者要让嗅探器发挥较大功效，通常会把嗅探器放置在数据交汇集中区域，比如网关、交换机、路由器等附近，以便能够捕获更多的数据。因此，对于这些区域就应该加强防范，防止在这些区域存在嗅探器。 五、结束语 通过以上的策略，使得内部网络中通过嗅探器进行截获信息的网络包减少了，使得网络丢包率也得到降低，虽然不能完全解决信息安全问题，但是使网络通信的安全性有了提高。 嗅探器技术并非尖端科技，也不要求太多底层的知识，只能说是安全领域的简单技术。基本上我们的所有网9 / 9管软件都使用了嗅探器技术，只是许多计算机软件供应商对其一直讳莫如深。但迄今并没有一个切实可行的方法能够