共享以太网反监听新技术的研究与实现
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
摘
要 :网络监 听极 大地威胁着 网络 的安全 , 如何 检测发 现监 听行为 至关重要 。根据共 享 以太 网的监 听原
理, 克服已有 检测方法 的缺 陷 , 提出并 实现了基于“ 毒害 AR P缓存 ” 攻击的检测技术 。这种新 的检测方法对高
级监听器依然适用 。
关键词 : 网络安全 ; 反监听 ; 混杂模式 ; 害 A P缓存 毒 R
有方法的缺陷 , 更有效地完成监听检测 。
() 2 用伪造的条 目更新一个原有条 目, 所要
做 的仅 是 向被 攻 击 主机 发 送 一 个 带 有 伪 造 的 源
I P和 M C地 址 的 A P应答 包 。这样 , A R 即使 被 攻
1 共 享 以太 网监 听原 理
网络监 听也 叫 嗅探 , 即将 网络 上传 输 的数 据 进 行捕 获并 进 行 分 析 的行 为 。共 享 式 网 络 中
V 12 o 6 o. 9 N .
J n 0 7 u e2 0
文 章 编 号 :07— 4 X(0 7 0 0 5 o 10 14 2 0 )6— 0 0一 3
共 享 以太 网反 监 听 新技 术 的研 究 与 实现
李 婧, 魏 军 , 斌 曾
( 海军工程大学 管理工程系 , 湖北 武汉 ,30 3 403 )
维普资讯
第2 卷 第6 9 期
20 年 6 07 月
武 汉 理 工 大 学 学 报 ・ 息 与 管 理 工 程 版 信
JU N LO T IF R A IN&M N G M N N IE RN ) O R A FWU (N O M TO A A E E TE GN E IG
监 听工具 ( Po Sa 、 MD、 O h ninf 主 如 rmicn P L pt t i) A S
2 基于“ 毒害 A P缓存” 击的检 测法 R 攻
2 1 “ 害 A 是 指攻 击者 恶 意地 向 毒 R 攻 被攻 击 主机 的 A P缓存 中引 入一 项 虚假 的 I R P—
中图 法 分 类 号 :P 0 . T 39 2 文献标识码 : A
网络 的迅 速发展 和普 及使 网络安 全 问题越 来 越 受到人们 的重视 , 网络 监 听 作 为一 种 发 展 比 而 较 成熟 的技术 , 一直 给 网络 安 全带来极 大 的威胁 。 通 过监 听 , 意分 子 可 以很 容 易 地 截获 局 域 网 内 恶
M C映射对。根据 A P缓存 中原有条 目的不 同 A R
情况 , 攻击 方可 通过 以下 2种方 式来实 现该攻 击 。 ( ) 加 一 个 新 的伪 造 条 目, 向被 攻 击 主 1添 即
机发送 一个 带有 伪造 的源 I P和 MA C地址 的 A P R
查询包 。当被攻 击 主 机 接 收该 包 后 , 它相 信 一 个 连接将 要执 行 , 而会 在 A P缓存 中添加 一 个 新 从 R 的条 目来 存 放 该 查 询 包 中一 对 伪 造 的源 地 址 映 射 。这样 , 被攻击 主机 的 A P缓存 就被“ R 毒害” 了。
击主机缓存 中存在相应条 目也会被伪造的映射对
所更新 。
收 稿 E期 :0 7—0 O . t 2o 1一 9 作者简介 : 李 婧( 9 1一), , 18 女 山东菏泽人 , 海军工程 大学管理工程 系助教
基金项目: 国防预研基金资助项目(81...B 15 . 9J932J10 )
的关 键所在 。
任何数据包 , 进而分析获得密码 、 账号等敏感信息 和机密数据 。许多网络入侵往往伴随着网络监听 行为, 许多 网络攻击也都借助于网络的监听。
由于共 享 以太 网 中 的监 听原 理 非 常简 单 , 使 得 这类 监 听 问题 也 更 为严 重 。因此 , 何 有 效 地 如 检测 和发现 局域 网 中所 存在 的监 听行 为并进 行 相 应 的防范 已成为 维护 网络安 全非 常重 要 的环节 。 共 享 以太 网的监 听行 为 非 常 难 以被 发 现 , 因 为它们 并不 干扰 正常 的 网络 通信 。 目前大 多数 反
数据是以广播方式发送 的, 也就是 说局域 网中传 输 的所 有 数 据 包 可 以 到 达 网 内 的 每 台 主 机 j 。
在 正常情 况下 , 网卡仅 可 以接 收广 播 数 据 和 目的 MA C地 址 与 自己 的 MA C地 址 相 同 的 数 据 。但 是, 如果把 网卡 设 置 为 “ 杂 模 式 ” , 么 它 就 混 J那 可 以接收 网 内的所有 数据包 。共 享 以太 网的监 听 正是 这样 实现 的 。因此 , 找 局域 网 内哪 些 主 机 查 的网卡工 作处 在混 杂 模 式 , 成 为 检测 监 听 行 为 就
维普资讯
第2 9卷
第 6期
李
婧, : 等 共享以太网反监听新技术 的研究与实现
表 1 用来攻击的 A P包格式 R A P包中字段名 R 目的以太 网地址 发送方以太 网地址 以太 网帧类型( R OO ) A P= 86 各字段 的值
要采用 RT 检测 、 N 1 r D S检测。 和 A P检测 等 。 R
方 法 。而这 些检 测方 法 自身 都存 在不 少缺 陷 。它 们 都依 赖 于 目标 主机发 出 D S反 向查询 、 R N A P应 答 或 IMP数 据 包 , 现 在 很 多 高 级 的监 听器 在 C 但 运 行 时会阻 止本 机 发 出 上述 数 据 包 , 而使 得 任 从 何 基 于这些 检测法 的反监 听工具都 会被 蒙蔽 而失 效 。笔 者研 究并 实 现 了 一种 新 的检 测技 术 , 即基 于“ 害 A P缓存 ” 击 的检 测法 , 可 以克 服 已 毒 R 攻 它