论文部分内容阅读
摘 要:嗅探技术是网络安全应用中常用的技术,可以作为黑客入侵的工具,也可以作为计算机安全管理的工具。对于安全维护人员来说,可以借助嗅探技术对网络进行监控,及时发现网络攻击行为。网络嗅探技术对于维护计算机安全具有重要的意义。本文介绍了基于网络嗅探技术的网络检测以及入侵防范应用,对计算机安全维护工作具有一定的参考价值。
关键词:网络嗅探技术;信息安全应用
引言
嗅探(sniff),有时也被称为监听,在网络安全的范畴中,一般是指通过某种方式窃听不是发送给本机或本进程的数据包的过程。网络嗅探技术在信息安全防御技术和黑客攻防技术中都处于非常重要的地位。了解网络嗅探技术的原理、应用和发展方向有助于防范由于嗅探技术滥用引发的信息安全问题;通过将网络嗅探技术应用在信息安全防御领域,可以协助信息安全人员进行安全体系、特别是安全监控体系的架构和实现。
一、嗅探的分类和基本原理
根据功能不同,嗅探器可以分为通用网络嗅探器和专用嗅探器。前者支持多种协议,如tcpdump、Snifferit等;后者一般是针对特定软件或只提供特定功能的,如专门针对MSN等即时通讯软件的嗅探器、专门嗅探邮件密码的嗅探器等。根据工作环境和工作原理不同,嗅探技术又可以分为:本机嗅探、广播网嗅探、交换机嗅探等类型。
1.1本机嗅探
本机嗅探是指在某台计算机内,嗅探程序通过某种方式,获取发送给其他进程的数据包的过程。例如,当邮件客户端在收发邮件时,嗅探程序可以窃听到所有的交互过程和其中传递的数据。一般来说,网络数据包被获取后,将经过硬件驱动、操作系统协议栈之后才进入应用程序处理。因此,如果在硬件驱动层或操作系统协议栈层编写数据包捕获代码,就可以获得其他应用程序的网络数据。
1.2广播网嗅探
广播网,一般是基于集线器(HUB)的局域网络,其工作原理是基于总线方式的,所有的数据包在该网络中都会被广播发送(即发送给所有端口)。广播网的数据传输是基于“共享”原理的,所有的同一本地网范围内的计算机共同接收到相同的数据包。正是因为这样的原因,以太网卡都构造了硬件的“过滤器”,这个过滤器将忽略掉一切和自己无关的网络信息,事实上是忽略掉了与自身MAC地址不符合的信息。在广播网中所有的网卡都会收到所有的数据包,然后再通過自身的过滤器过滤不需要的数据包,因此,只要将本机网卡设为混杂模式,就可以使嗅探工具支持广播网或多播网的嗅探。
1.3基于交换机的嗅探
交换机的工作原理与HUB不同,它不再将数据包转发给所有的端口,而是通过“分组交换”的方式进行单对单的数据传输。即,交换机能记住每个端口的MAC地址,根据数据包的目的地址选择目的端口,所以只有对应该目的地址的网卡能接收到数据。基于交换机的嗅探是指在交换环境中,通过某种方式进行的嗅探。由于交换机基于“分组交换”的工作模式,因此,简单的将网卡设为“混杂”模式并不能够嗅探到网络上的数据包,而只能接收本机的数据包,因此必须要采用其他的方法来实现基于交换机的嗅探。
二、网络嗅探技术在信息安全中的应用
2.1网络入侵监测
网络入侵检测系统,是指通过模式匹配、异常分析等方式对网络上的数据包进行分析,从而判断出入侵、攻击、病毒蠕虫传播等网络违规事件的软件或硬件。网络入侵检测系统实际上是带有专家系统的嗅探工具。网络入侵检测将嗅探得到的数据包提交分析模块进行分析,分析模块根据专家库中的模型和特征提取出可疑的、有害的事件,从而实现对网络入侵、蠕虫病毒的报警。网络入侵检测同网络协议分析器一样,一般工作在交换机的镜像端口上。
2.2网络安全审计
网络审计是指通过网络嗅探工具,将网络数据包捕获、解码并加以存储,以备后期查询或提供即时报警。通过嗅探技术,网络审计可以实现上网行为审计、网络违规数据的监控等功能。利用网络嗅探技术开发的网络行为审计类软件是运行在关键的网络节点,对网络传输的数据流进行合法性检查的工具。网络行为审计可以检测到以下的网络违规行为:
⑴发送反动、色情或其他含有违反国家法律规定内容的邮件;
⑵在网站或论坛中散布反动、色情或其他含有违反国家法律规定内容的信息;
⑶对反动、色情或其他含有违反国家法律规定内容网站的访问。利用类似于网络通讯劫持和篡改的技术,还可以将上述的内容进行实时替换或阻断。
2.3蠕虫病毒的控制
当前网络中病毒蠕虫的泛滥越来越严重,其传播范围越来越大,而传播速度越来越快,采用嗅探技术,对蠕虫病毒的控制可起到以下作用:
⑴通过基于网络嗅探的流量检测,及时发现网络流量异常,并根据已经建成的流量异常模型,初步判断出网络蠕虫病毒爆发的前兆;
⑵通过基于网络嗅探的网络协议分析,进一步确认蠕虫病毒的发作,并及时给出预警信息;
⑶通过基于网络嗅探技术的蜜罐,尽早捕获蠕虫病毒的样本,并通过对其进行详细的分析,制定出有效的防御方案和清除方案;
⑷通过基于网络嗅探技术的入侵检测,能够准确定位局域网络中的蠕虫病毒传播源,从而及时扼杀病毒蠕虫的传播行为。
2.4网络布控与追踪
针对网络犯罪,如:黑客入侵、拒绝服务攻击等,通过嗅探技术进行进一步的追踪,可以协助执法部门定位网络犯罪分子。现代网络犯罪往往采用跳板进行,即通过一台中间主机进行网络攻击和犯罪活动,这对犯罪分子的捕获造成了很大的障碍,而嗅探技术可以有效地帮助执法人员解决这一问题。网络布控的实际操作情况如下:当发现某网络犯罪行为是通过中间跳板主机进行时,暂时不对该主机进行明显的操作,而是运行网络嗅探器对其进行24小时的监控,一旦犯罪分子远程登录该主机,网络嗅探器就会记录该犯罪分子的IP地址,从而协助定位和追踪。需要注意的是,有些犯罪分子可能会采用多级跳板,因此也必须对应地进行多次的布控才能获得其真实的IP地址。网络追踪是针对伪造IP地址攻击的一种追查方法。由于网络攻击往往采用虚假的IP地址(特别是大规模的拒绝服务攻击),因此,从被攻击机嗅探获取的数据无法直接判断攻击源,需要采用移动的网络嗅探器,以溯源的方式从终点逐个前溯,直到发现攻击的起源点。
2.5网络取证
由于目前网络犯罪的高速增长,再加上传统犯罪行为的网络化趋势也越来越明显,原先的电话搭线录音、常规取证等方式已经很难继续满足当前日益变化的形势和需求,利用嗅探技术的网络取证工具则可以很好地填补这一空白。基于嗅探的网络取证工具可以运行在需要取证的犯罪分子所使用的计算机上(如个人电脑或公共场所的电脑),并可以将该犯罪分子的网络行为(如邮件、聊天信息、上网记录等)加以实时记录,从而协助案件的侦破和起诉证据的获取。为了确保利用嗅探工具所获得的网络证据具备不可篡改性,网络取证工具中还需要内置数字签名工具,防止操作人员人为修改或误修改数字证据。需要注意的是,由于对网络取证的合法性和不可抵赖性尚存在争议,因此,网络取证当前只能作为辅助证据。
结束语
目前并没有一劳永逸防止嗅探入侵的方法,嗅探器主要是在入侵系统之后用来收集有用信息,因此在进行计算机安全维护的过程中,应当防止系统被非法侵入,应当定期对网络进行安全测试,防止存在潜在的安全风险。安全管理人员应当适当控制内部用户的数量,减少来自内部攻击的可能性。同时为了防止嗅探器的侵入,应当按时追踪安全报告,监测网络的工作状态等,发现异常现象能够及时介入,减少嗅探技术所带来的危害。
参考文献
[1]张永,刘克胜,陆余良.反嗅探中的主动欺骗技术研究[J].计算机安全,2002.5.
[2]宫一鸣.网络监听技术概览[J].科学出版社,2002.
关键词:网络嗅探技术;信息安全应用
引言
嗅探(sniff),有时也被称为监听,在网络安全的范畴中,一般是指通过某种方式窃听不是发送给本机或本进程的数据包的过程。网络嗅探技术在信息安全防御技术和黑客攻防技术中都处于非常重要的地位。了解网络嗅探技术的原理、应用和发展方向有助于防范由于嗅探技术滥用引发的信息安全问题;通过将网络嗅探技术应用在信息安全防御领域,可以协助信息安全人员进行安全体系、特别是安全监控体系的架构和实现。
一、嗅探的分类和基本原理
根据功能不同,嗅探器可以分为通用网络嗅探器和专用嗅探器。前者支持多种协议,如tcpdump、Snifferit等;后者一般是针对特定软件或只提供特定功能的,如专门针对MSN等即时通讯软件的嗅探器、专门嗅探邮件密码的嗅探器等。根据工作环境和工作原理不同,嗅探技术又可以分为:本机嗅探、广播网嗅探、交换机嗅探等类型。
1.1本机嗅探
本机嗅探是指在某台计算机内,嗅探程序通过某种方式,获取发送给其他进程的数据包的过程。例如,当邮件客户端在收发邮件时,嗅探程序可以窃听到所有的交互过程和其中传递的数据。一般来说,网络数据包被获取后,将经过硬件驱动、操作系统协议栈之后才进入应用程序处理。因此,如果在硬件驱动层或操作系统协议栈层编写数据包捕获代码,就可以获得其他应用程序的网络数据。
1.2广播网嗅探
广播网,一般是基于集线器(HUB)的局域网络,其工作原理是基于总线方式的,所有的数据包在该网络中都会被广播发送(即发送给所有端口)。广播网的数据传输是基于“共享”原理的,所有的同一本地网范围内的计算机共同接收到相同的数据包。正是因为这样的原因,以太网卡都构造了硬件的“过滤器”,这个过滤器将忽略掉一切和自己无关的网络信息,事实上是忽略掉了与自身MAC地址不符合的信息。在广播网中所有的网卡都会收到所有的数据包,然后再通過自身的过滤器过滤不需要的数据包,因此,只要将本机网卡设为混杂模式,就可以使嗅探工具支持广播网或多播网的嗅探。
1.3基于交换机的嗅探
交换机的工作原理与HUB不同,它不再将数据包转发给所有的端口,而是通过“分组交换”的方式进行单对单的数据传输。即,交换机能记住每个端口的MAC地址,根据数据包的目的地址选择目的端口,所以只有对应该目的地址的网卡能接收到数据。基于交换机的嗅探是指在交换环境中,通过某种方式进行的嗅探。由于交换机基于“分组交换”的工作模式,因此,简单的将网卡设为“混杂”模式并不能够嗅探到网络上的数据包,而只能接收本机的数据包,因此必须要采用其他的方法来实现基于交换机的嗅探。
二、网络嗅探技术在信息安全中的应用
2.1网络入侵监测
网络入侵检测系统,是指通过模式匹配、异常分析等方式对网络上的数据包进行分析,从而判断出入侵、攻击、病毒蠕虫传播等网络违规事件的软件或硬件。网络入侵检测系统实际上是带有专家系统的嗅探工具。网络入侵检测将嗅探得到的数据包提交分析模块进行分析,分析模块根据专家库中的模型和特征提取出可疑的、有害的事件,从而实现对网络入侵、蠕虫病毒的报警。网络入侵检测同网络协议分析器一样,一般工作在交换机的镜像端口上。
2.2网络安全审计
网络审计是指通过网络嗅探工具,将网络数据包捕获、解码并加以存储,以备后期查询或提供即时报警。通过嗅探技术,网络审计可以实现上网行为审计、网络违规数据的监控等功能。利用网络嗅探技术开发的网络行为审计类软件是运行在关键的网络节点,对网络传输的数据流进行合法性检查的工具。网络行为审计可以检测到以下的网络违规行为:
⑴发送反动、色情或其他含有违反国家法律规定内容的邮件;
⑵在网站或论坛中散布反动、色情或其他含有违反国家法律规定内容的信息;
⑶对反动、色情或其他含有违反国家法律规定内容网站的访问。利用类似于网络通讯劫持和篡改的技术,还可以将上述的内容进行实时替换或阻断。
2.3蠕虫病毒的控制
当前网络中病毒蠕虫的泛滥越来越严重,其传播范围越来越大,而传播速度越来越快,采用嗅探技术,对蠕虫病毒的控制可起到以下作用:
⑴通过基于网络嗅探的流量检测,及时发现网络流量异常,并根据已经建成的流量异常模型,初步判断出网络蠕虫病毒爆发的前兆;
⑵通过基于网络嗅探的网络协议分析,进一步确认蠕虫病毒的发作,并及时给出预警信息;
⑶通过基于网络嗅探技术的蜜罐,尽早捕获蠕虫病毒的样本,并通过对其进行详细的分析,制定出有效的防御方案和清除方案;
⑷通过基于网络嗅探技术的入侵检测,能够准确定位局域网络中的蠕虫病毒传播源,从而及时扼杀病毒蠕虫的传播行为。
2.4网络布控与追踪
针对网络犯罪,如:黑客入侵、拒绝服务攻击等,通过嗅探技术进行进一步的追踪,可以协助执法部门定位网络犯罪分子。现代网络犯罪往往采用跳板进行,即通过一台中间主机进行网络攻击和犯罪活动,这对犯罪分子的捕获造成了很大的障碍,而嗅探技术可以有效地帮助执法人员解决这一问题。网络布控的实际操作情况如下:当发现某网络犯罪行为是通过中间跳板主机进行时,暂时不对该主机进行明显的操作,而是运行网络嗅探器对其进行24小时的监控,一旦犯罪分子远程登录该主机,网络嗅探器就会记录该犯罪分子的IP地址,从而协助定位和追踪。需要注意的是,有些犯罪分子可能会采用多级跳板,因此也必须对应地进行多次的布控才能获得其真实的IP地址。网络追踪是针对伪造IP地址攻击的一种追查方法。由于网络攻击往往采用虚假的IP地址(特别是大规模的拒绝服务攻击),因此,从被攻击机嗅探获取的数据无法直接判断攻击源,需要采用移动的网络嗅探器,以溯源的方式从终点逐个前溯,直到发现攻击的起源点。
2.5网络取证
由于目前网络犯罪的高速增长,再加上传统犯罪行为的网络化趋势也越来越明显,原先的电话搭线录音、常规取证等方式已经很难继续满足当前日益变化的形势和需求,利用嗅探技术的网络取证工具则可以很好地填补这一空白。基于嗅探的网络取证工具可以运行在需要取证的犯罪分子所使用的计算机上(如个人电脑或公共场所的电脑),并可以将该犯罪分子的网络行为(如邮件、聊天信息、上网记录等)加以实时记录,从而协助案件的侦破和起诉证据的获取。为了确保利用嗅探工具所获得的网络证据具备不可篡改性,网络取证工具中还需要内置数字签名工具,防止操作人员人为修改或误修改数字证据。需要注意的是,由于对网络取证的合法性和不可抵赖性尚存在争议,因此,网络取证当前只能作为辅助证据。
结束语
目前并没有一劳永逸防止嗅探入侵的方法,嗅探器主要是在入侵系统之后用来收集有用信息,因此在进行计算机安全维护的过程中,应当防止系统被非法侵入,应当定期对网络进行安全测试,防止存在潜在的安全风险。安全管理人员应当适当控制内部用户的数量,减少来自内部攻击的可能性。同时为了防止嗅探器的侵入,应当按时追踪安全报告,监测网络的工作状态等,发现异常现象能够及时介入,减少嗅探技术所带来的危害。
参考文献
[1]张永,刘克胜,陆余良.反嗅探中的主动欺骗技术研究[J].计算机安全,2002.5.
[2]宫一鸣.网络监听技术概览[J].科学出版社,2002.