复杂环境下网络嗅探技术的应用及防范措施
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
但是在正常的情况下 ,一个网络接口 (网卡 )应该只响应这 样的两种数据帧 :
(1) 与自己硬件地址相匹配的数据帧 。 (2) 发向所有机器的广播数据帧 。 也就是说 ,网卡只能接收网络上目的地址是自身物理地址 的数据包 ,而忽略其他数据包 。如果要想让局域网内的某主机 具有嗅探功能 ,则必须重新设置其中网卡的接收模式 。 网卡一般有 4种接收模式 : (1) 广播方式 :该模式下的网卡能够接收网络中的广播 信息 。 (2) 组播方式 :设置在该模式下的网卡能够接收组播数据 。 (3) 直接方式 : 在这种模式下 ,只有目的网卡才能接收该 数据 。 (4) 混杂模式 :在这种模式下的网卡能够接收一切通过它 的数据 ,而不管该数据是否是传给它的 。 通常 ,网卡的缺省配置是同时支持前 3种接收模式的 。 共享网络嗅探的基本原理 :以太网中是基于广播方式传送 数据的 ,所有物理信号都会被传送到每一个主机节点 。此外 ,网 卡可以被设置成混杂接收模式 ,在这种模式下 ,无论监听到的数 据帧目的地址如何 ,网卡都能够予以接收 [2 ] 。安装在网络中 枢 、网络接入点或是网络交界处的 Sniffer程序与安装在独立以 太网段的程序相比 ,可以监听到更多的内容 [4 ] 。最常用的共享 局域网嗅探工具是 Sniffer Pro,也是我们在本文提出的方案中将 要用到的工具 。 可以采取以下 3种措施避免 Sniffer程序对系统可能造成的 危害 [4 ] : (1) 检测 Sniffers。有基于主机和基于网络两种方法 。基 于主机的最直接检查方法是检查目标系统的网卡是否运行在混 杂模式 。UN IX平台上有很多工具可以完成这项工作 。另外可 以使用 UN IX的很多显示进程列表的命令来帮助判断可疑的监 听程序 。基于网络的检测工具如 AntiSniff可以对网络进行扫描 以发现处于混杂模式的网卡 。 (2) 数据流加密 ( SSH、IPSec) 。对付网络监听的最终解决 方案是使用数据流加密 ,只有使用了端到端的数据加密 ,才可以 充分保证通信内容的保密性 。加密密钥的长度应该根据数据处 于敏感状态的时间而定 ,较短的密钥可以使用在数据即时失效 的数据流中 ,可以提高数据传输的效率 。 (3) 使用交换网络结构 。交换式以太网把每个主机作为单 独的冲突域 ,只有发向特定主机的数据流才会抵达特定的网络 接口卡 ,这样 Sniffer就无法监听到发向其他主机的数据流 。使 用交换网络结构的另一个理由是可以大大提高网络的性能 ,目 前交换设备和共享设备的购置成本已经非常接近 ,没有必要再
Abstract Network sniffer technology is a p rincipal network attack method and it can obtain user account and password of various network app lications easily. But it can be only used in the local network. This article first analyses network sniffering p rincip les of shared and exchan2 ging local network and puts many corresponding p rotection measures. Finally we put forword a scheme that network sniffer can be carried out in various local network environments, and we aslo point out that network attackers in the Internet can sniffer data packets in the local network if they combine network sniffer technology and other network attack technologies.
使用共享设备 。
3 交换网络嗅探原理和防范措施
传统局域网中 ,各种网络设备都通过共享式 Hub连接在一 起 ,给嗅探抓包带来了机会 。正是因为认识到这一点 ,现在人 们在网络建设中就多采用交换机作为互联设备 ,以避免共享式 Hub可能造成的信息泄漏 。交换机并不会将发往单个地址的数 据包向所有端口发送 ,这就避免了利用网卡混杂模式进行的嗅 探 。不过 ,交换机并不能解决所有的问题 ,尽管普通的嗅探器在 交换网络不再有效 ,但也有一类特殊的嗅探器 ,它们可以利用交 换网络不可避免的一些设计缺陷来进行网络嗅探 ,使交换机形 同虚设 。总的说来 ,在一个完全由交换机连接的局域网内 ,有 3 种可行的嗅探方法 : MAC洪泛 (MAC Flooding) 、MAC复制 (MAC Dup licating) 、ARP欺骗 ,最常用的是 ARP欺骗 ,下面对“ARP欺 骗 ”做简单介绍 [2 ] 。
© 1994-2010 China Academic Journal Electronic Publishing House. All rights reserved.
114
计算机应用与软件
2006年
无论在哪种局域网环境下 ,网络嗅探都是一种非常有用的网络 攻击技术 。
按照 ARP协议的设计 ,为了减少网络上过多的 ARP数据 通信 ,一台主机 ,即使收到的 ARP应答并非自己请求得到的 ,它 也会将其插入到自己的 ARP缓存表中 ,这样 ,就造成了“ARP欺 骗 ”的可能 。如果黑客想探听同一网络中两台主机之间的通信 (即使是通过交换机相连 ) ,他会分别给这两台主机发送一个 ARP应答包 ,让两台主机都“误 ”认为对方的 MAC地址是第三 方的黑客所在的主机 ,这样 ,双方看似“直接 ”的通信连接 ,实际 上都是通过黑客所在的主机间接进行的 。黑客一方面得到了想 要的通信内容 ,另一方面 ,只需要更改数据包中的一些信息 ,成 功地做好转发工作即可 。在这种嗅探方式中 ,黑客所在主机是 不需要设置网卡的混杂模式的 ,因为通信双方的数据包在物理 上都是发送给黑客所在的中转主机的 。因为 ARP欺骗的是主 机的物理地址 ,所以也可在共享式局域网中进行嗅探 。
本文探讨在复杂环境下 ———既有共享式局域网 、又有交换 式局域网 ,如何既能实现各种局域网内部数据的嗅探 ,又能实现 网关 (连接局域网和互联网的设备 )和局域网内主机之间数据 的嗅探 ,并且使用嗅探工具界面友好 、解码功能强大 。由此说明
收稿日期 : 2005 - 03 - 08。李频 ,硕士 ,主研领域 :网络安全 。
APPL ICAT IO NS AND PRO TECT IO N M EASURES O F NETW O RK SN IFFER TECHNOLO GY IN A COM PL ICATED ENV IRO NM ENT
L i Pin
(D epa rtm ent of Com pu ter S cience and Technology, N anjing Institu te of Posts and Telecomm un ica tions, N anjing J iangsu 210003, Ch ina)
2 共享网络嗅探原理和防范措施
在近 20年中 ,交换式介质 (以太网和令牌环网 )已成为局 域网中最为传统的数据流传输方式 。实际从安全的角度看 ,共 享式以太网是攻击者的理想目标 ,但目前看来以太网仍是使用 最为广泛的局域网介质 。众所周知 ,以太网作为共享式介质 ,是 指在以太网的一个冲突域中 ,通信是基于广播方式的 ,所有网络 接口都可以监听到在物理介质上传输的所有数据帧 。
网络攻击可以分为两类 :主动攻击和被动攻击 。主动攻击 指对互联网上传输和存储的数据进行插入 、删除和假冒 。被动 攻击是指在不发送数据包的前提下 ,捕捉网络上所有流经本机 的数据包 。表面上看 ,主动攻击的危害更大 ,但相对容易被检测 出来 。被动攻击则更具有隐蔽性 ,可以长期在网络上侦听而不 容易被发现 ,实际上具有更大的危害性 [1 ] 。网络嗅探技术就属 于被动攻击的一种 ,由于网络中的数据流量非常大 ,要想较实时 地捕获并分析所有数据包是不可能的 ,当前的嗅探技术一 般采 用捕获数据包的前两 、三百个字节 ,并存储下来再分析的方式 , 因为这其中往往 包含各类应用的用户帐号和口令 [2 ] 。而帐号 和口令对各类网上应用的重要性是众所周知的 。
第 23卷第 12期 2006年 12月
计算机应用与软件 Computer App lications and Software
Vol123, No. 12 Dec. 2006
复杂环境下网络嗅探技术的应用及防范措施
李 频
(南京邮电学院计算机科学要的网络攻击方法 ,它能轻易获得各种网络应用的用户帐号和口令 ,但本质上它只能用在局域网 中 。详细分析了共享局域网和交换局域网的网络嗅探原理 ,并给出了相应的防范措施 。提出了一个能够在各种局域网环境下进行 网络嗅探的方案 ,而且指出网络嗅探技术和其他网络攻击技术相结合 ,能使互联网上的攻击者间接嗅探到局域网内的数据包 。 关键词 共享式局域网 交换式局域网 网络嗅探 ARP欺骗 防范措施
从本质上而言 ,网络嗅探只能嗅探到同一局域网上传送的 数据包 ,但我们仍然不能否认嗅探技术是网络攻击技术中非常 重要的一种 。原因之一是据统计 80%的网络攻击发生在内部 网上 ,也就是在同一局域网内发生攻击的可能性非常大 。内部 人员也不一定是值得信任的人 。原因之二是互联网上的外部人 员可以通过各种方式使自己成为局域网的“内部人员 ”,如通过
在 ARP欺骗嗅探中 ,一般的二层交换机 ,即使采用静态绑 定端口和 MAC地址的方法 ,也无法有效防御 ,因为实际上 ARP 欺骗的“受害者 ”并不是交换机 ,对于交换机来说 ,数据帧在链 路层中的硬件地址与其 MAC地址映射表中的项是正确对应的 , 甚至交换机根本就无法感知正在发生的嗅探 。ARP欺骗也可 以对局域网内某台主机与外部主机之间的通信进行嗅探 。这时 候 ,一方面要对内部网络中的主机进行 ARP欺骗 ,另一方面 ,要 对连接内部网络的网关进行欺骗 。
社会工程方式从物理上接近局域网 ,寻找到要攻击局域网上一 台安全设置比较差的主机 ,安装上网络嗅探工具 。另一种更为 常见的方法是 ,当攻击者成功地登录上一台局域网内的主机 ,并 取得了这台主机的超级用户的权限之后 ,往往采用网络嗅探的 方法嗅探到局域网内其他用户的帐号和口令 ,尝试登录或者夺 取网络中其他主机的控制权 [3 ] 。也就是说如果能将其他网络 攻击技术和原本只能用于局域网的网络嗅探技术很好地结合使 用 ,互联网上的攻击者也可以通过多个步骤间接嗅探到局域网 内的数据流 ,实际中这是很常见的网络攻击策略 。
从实现方式上说 ,局域网可以分为共享式局域网和交换式 局域网 。共享式局域网是比较早的技术 ,交换式局域网是后来 才发展起来的 。所谓共享式局域网是指用集线器连接的局域 网 ,因为它只能同时连接非常少的机器 ,所以一般用于家庭和小 型办公室 。共享技术本身是非常不安全的 ,实现嗅探非常容易 , 所以现在一般都构造交换式局域网 。所谓交换式局域网是指用 交换机连接的局域网 ,它相对能连接较多机器 ,一般用于大型办 公室和机房中 。交换式局域网相对难以实现嗅探 ,但也并不是 不可能实现的 。
Keywords Shared local network Exchanging local network Network sniffer ARP Spoofing Protection measure
1 引 言
因为互联网在世界范围内的开放性和无管理性 ,以及 TCP / IP协议簇 、各种操作系统 、应用程序的安全漏洞 ,造成当今互联 网上各类安全事件层出不穷 ,各类安全漏洞不断被发现 。可以 说互联网的本质是非常不安全的 。
(1) 与自己硬件地址相匹配的数据帧 。 (2) 发向所有机器的广播数据帧 。 也就是说 ,网卡只能接收网络上目的地址是自身物理地址 的数据包 ,而忽略其他数据包 。如果要想让局域网内的某主机 具有嗅探功能 ,则必须重新设置其中网卡的接收模式 。 网卡一般有 4种接收模式 : (1) 广播方式 :该模式下的网卡能够接收网络中的广播 信息 。 (2) 组播方式 :设置在该模式下的网卡能够接收组播数据 。 (3) 直接方式 : 在这种模式下 ,只有目的网卡才能接收该 数据 。 (4) 混杂模式 :在这种模式下的网卡能够接收一切通过它 的数据 ,而不管该数据是否是传给它的 。 通常 ,网卡的缺省配置是同时支持前 3种接收模式的 。 共享网络嗅探的基本原理 :以太网中是基于广播方式传送 数据的 ,所有物理信号都会被传送到每一个主机节点 。此外 ,网 卡可以被设置成混杂接收模式 ,在这种模式下 ,无论监听到的数 据帧目的地址如何 ,网卡都能够予以接收 [2 ] 。安装在网络中 枢 、网络接入点或是网络交界处的 Sniffer程序与安装在独立以 太网段的程序相比 ,可以监听到更多的内容 [4 ] 。最常用的共享 局域网嗅探工具是 Sniffer Pro,也是我们在本文提出的方案中将 要用到的工具 。 可以采取以下 3种措施避免 Sniffer程序对系统可能造成的 危害 [4 ] : (1) 检测 Sniffers。有基于主机和基于网络两种方法 。基 于主机的最直接检查方法是检查目标系统的网卡是否运行在混 杂模式 。UN IX平台上有很多工具可以完成这项工作 。另外可 以使用 UN IX的很多显示进程列表的命令来帮助判断可疑的监 听程序 。基于网络的检测工具如 AntiSniff可以对网络进行扫描 以发现处于混杂模式的网卡 。 (2) 数据流加密 ( SSH、IPSec) 。对付网络监听的最终解决 方案是使用数据流加密 ,只有使用了端到端的数据加密 ,才可以 充分保证通信内容的保密性 。加密密钥的长度应该根据数据处 于敏感状态的时间而定 ,较短的密钥可以使用在数据即时失效 的数据流中 ,可以提高数据传输的效率 。 (3) 使用交换网络结构 。交换式以太网把每个主机作为单 独的冲突域 ,只有发向特定主机的数据流才会抵达特定的网络 接口卡 ,这样 Sniffer就无法监听到发向其他主机的数据流 。使 用交换网络结构的另一个理由是可以大大提高网络的性能 ,目 前交换设备和共享设备的购置成本已经非常接近 ,没有必要再
Abstract Network sniffer technology is a p rincipal network attack method and it can obtain user account and password of various network app lications easily. But it can be only used in the local network. This article first analyses network sniffering p rincip les of shared and exchan2 ging local network and puts many corresponding p rotection measures. Finally we put forword a scheme that network sniffer can be carried out in various local network environments, and we aslo point out that network attackers in the Internet can sniffer data packets in the local network if they combine network sniffer technology and other network attack technologies.
使用共享设备 。
3 交换网络嗅探原理和防范措施
传统局域网中 ,各种网络设备都通过共享式 Hub连接在一 起 ,给嗅探抓包带来了机会 。正是因为认识到这一点 ,现在人 们在网络建设中就多采用交换机作为互联设备 ,以避免共享式 Hub可能造成的信息泄漏 。交换机并不会将发往单个地址的数 据包向所有端口发送 ,这就避免了利用网卡混杂模式进行的嗅 探 。不过 ,交换机并不能解决所有的问题 ,尽管普通的嗅探器在 交换网络不再有效 ,但也有一类特殊的嗅探器 ,它们可以利用交 换网络不可避免的一些设计缺陷来进行网络嗅探 ,使交换机形 同虚设 。总的说来 ,在一个完全由交换机连接的局域网内 ,有 3 种可行的嗅探方法 : MAC洪泛 (MAC Flooding) 、MAC复制 (MAC Dup licating) 、ARP欺骗 ,最常用的是 ARP欺骗 ,下面对“ARP欺 骗 ”做简单介绍 [2 ] 。
© 1994-2010 China Academic Journal Electronic Publishing House. All rights reserved.
114
计算机应用与软件
2006年
无论在哪种局域网环境下 ,网络嗅探都是一种非常有用的网络 攻击技术 。
按照 ARP协议的设计 ,为了减少网络上过多的 ARP数据 通信 ,一台主机 ,即使收到的 ARP应答并非自己请求得到的 ,它 也会将其插入到自己的 ARP缓存表中 ,这样 ,就造成了“ARP欺 骗 ”的可能 。如果黑客想探听同一网络中两台主机之间的通信 (即使是通过交换机相连 ) ,他会分别给这两台主机发送一个 ARP应答包 ,让两台主机都“误 ”认为对方的 MAC地址是第三 方的黑客所在的主机 ,这样 ,双方看似“直接 ”的通信连接 ,实际 上都是通过黑客所在的主机间接进行的 。黑客一方面得到了想 要的通信内容 ,另一方面 ,只需要更改数据包中的一些信息 ,成 功地做好转发工作即可 。在这种嗅探方式中 ,黑客所在主机是 不需要设置网卡的混杂模式的 ,因为通信双方的数据包在物理 上都是发送给黑客所在的中转主机的 。因为 ARP欺骗的是主 机的物理地址 ,所以也可在共享式局域网中进行嗅探 。
本文探讨在复杂环境下 ———既有共享式局域网 、又有交换 式局域网 ,如何既能实现各种局域网内部数据的嗅探 ,又能实现 网关 (连接局域网和互联网的设备 )和局域网内主机之间数据 的嗅探 ,并且使用嗅探工具界面友好 、解码功能强大 。由此说明
收稿日期 : 2005 - 03 - 08。李频 ,硕士 ,主研领域 :网络安全 。
APPL ICAT IO NS AND PRO TECT IO N M EASURES O F NETW O RK SN IFFER TECHNOLO GY IN A COM PL ICATED ENV IRO NM ENT
L i Pin
(D epa rtm ent of Com pu ter S cience and Technology, N anjing Institu te of Posts and Telecomm un ica tions, N anjing J iangsu 210003, Ch ina)
2 共享网络嗅探原理和防范措施
在近 20年中 ,交换式介质 (以太网和令牌环网 )已成为局 域网中最为传统的数据流传输方式 。实际从安全的角度看 ,共 享式以太网是攻击者的理想目标 ,但目前看来以太网仍是使用 最为广泛的局域网介质 。众所周知 ,以太网作为共享式介质 ,是 指在以太网的一个冲突域中 ,通信是基于广播方式的 ,所有网络 接口都可以监听到在物理介质上传输的所有数据帧 。
网络攻击可以分为两类 :主动攻击和被动攻击 。主动攻击 指对互联网上传输和存储的数据进行插入 、删除和假冒 。被动 攻击是指在不发送数据包的前提下 ,捕捉网络上所有流经本机 的数据包 。表面上看 ,主动攻击的危害更大 ,但相对容易被检测 出来 。被动攻击则更具有隐蔽性 ,可以长期在网络上侦听而不 容易被发现 ,实际上具有更大的危害性 [1 ] 。网络嗅探技术就属 于被动攻击的一种 ,由于网络中的数据流量非常大 ,要想较实时 地捕获并分析所有数据包是不可能的 ,当前的嗅探技术一 般采 用捕获数据包的前两 、三百个字节 ,并存储下来再分析的方式 , 因为这其中往往 包含各类应用的用户帐号和口令 [2 ] 。而帐号 和口令对各类网上应用的重要性是众所周知的 。
第 23卷第 12期 2006年 12月
计算机应用与软件 Computer App lications and Software
Vol123, No. 12 Dec. 2006
复杂环境下网络嗅探技术的应用及防范措施
李 频
(南京邮电学院计算机科学要的网络攻击方法 ,它能轻易获得各种网络应用的用户帐号和口令 ,但本质上它只能用在局域网 中 。详细分析了共享局域网和交换局域网的网络嗅探原理 ,并给出了相应的防范措施 。提出了一个能够在各种局域网环境下进行 网络嗅探的方案 ,而且指出网络嗅探技术和其他网络攻击技术相结合 ,能使互联网上的攻击者间接嗅探到局域网内的数据包 。 关键词 共享式局域网 交换式局域网 网络嗅探 ARP欺骗 防范措施
从本质上而言 ,网络嗅探只能嗅探到同一局域网上传送的 数据包 ,但我们仍然不能否认嗅探技术是网络攻击技术中非常 重要的一种 。原因之一是据统计 80%的网络攻击发生在内部 网上 ,也就是在同一局域网内发生攻击的可能性非常大 。内部 人员也不一定是值得信任的人 。原因之二是互联网上的外部人 员可以通过各种方式使自己成为局域网的“内部人员 ”,如通过
在 ARP欺骗嗅探中 ,一般的二层交换机 ,即使采用静态绑 定端口和 MAC地址的方法 ,也无法有效防御 ,因为实际上 ARP 欺骗的“受害者 ”并不是交换机 ,对于交换机来说 ,数据帧在链 路层中的硬件地址与其 MAC地址映射表中的项是正确对应的 , 甚至交换机根本就无法感知正在发生的嗅探 。ARP欺骗也可 以对局域网内某台主机与外部主机之间的通信进行嗅探 。这时 候 ,一方面要对内部网络中的主机进行 ARP欺骗 ,另一方面 ,要 对连接内部网络的网关进行欺骗 。
社会工程方式从物理上接近局域网 ,寻找到要攻击局域网上一 台安全设置比较差的主机 ,安装上网络嗅探工具 。另一种更为 常见的方法是 ,当攻击者成功地登录上一台局域网内的主机 ,并 取得了这台主机的超级用户的权限之后 ,往往采用网络嗅探的 方法嗅探到局域网内其他用户的帐号和口令 ,尝试登录或者夺 取网络中其他主机的控制权 [3 ] 。也就是说如果能将其他网络 攻击技术和原本只能用于局域网的网络嗅探技术很好地结合使 用 ,互联网上的攻击者也可以通过多个步骤间接嗅探到局域网 内的数据流 ,实际中这是很常见的网络攻击策略 。
从实现方式上说 ,局域网可以分为共享式局域网和交换式 局域网 。共享式局域网是比较早的技术 ,交换式局域网是后来 才发展起来的 。所谓共享式局域网是指用集线器连接的局域 网 ,因为它只能同时连接非常少的机器 ,所以一般用于家庭和小 型办公室 。共享技术本身是非常不安全的 ,实现嗅探非常容易 , 所以现在一般都构造交换式局域网 。所谓交换式局域网是指用 交换机连接的局域网 ,它相对能连接较多机器 ,一般用于大型办 公室和机房中 。交换式局域网相对难以实现嗅探 ,但也并不是 不可能实现的 。
Keywords Shared local network Exchanging local network Network sniffer ARP Spoofing Protection measure
1 引 言
因为互联网在世界范围内的开放性和无管理性 ,以及 TCP / IP协议簇 、各种操作系统 、应用程序的安全漏洞 ,造成当今互联 网上各类安全事件层出不穷 ,各类安全漏洞不断被发现 。可以 说互联网的本质是非常不安全的 。