網(wǎng)絡(luò)與信息安全 第3章 網(wǎng)絡(luò)監(jiān)聽及防御技術(shù)

1、第3章 網(wǎng)絡(luò)監(jiān)聽及防御技術(shù)部分來源：國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心，張玉清1網(wǎng)絡(luò)與信息安全沈超 劉烴自動(dòng)化科學(xué)與技術(shù)系西安交通大學(xué)電子與信息工程院 2022/7/18網(wǎng)絡(luò)入侵與防范講義2內(nèi)容介紹3.1 網(wǎng)絡(luò)監(jiān)聽概述3.2 監(jiān)聽技術(shù)3.3 監(jiān)聽的防御3.4 小結(jié)3.1 網(wǎng)絡(luò)監(jiān)聽概述3.2 監(jiān)聽技術(shù)3.3 監(jiān)聽的防御3.4 小結(jié)2022/7/18網(wǎng)絡(luò)入侵與防范講義32022/7/18網(wǎng)絡(luò)入侵與防范講義4案例：觀察登錄BBS過程設(shè)置網(wǎng)卡如果有多個(gè)網(wǎng)絡(luò)接口（網(wǎng)卡），首先在Capture Options中設(shè)置在哪個(gè)網(wǎng)絡(luò)接口上抓包。勾選Capture packets in promiscuous mode選項(xiàng)

2、，將網(wǎng)卡設(shè)置成混雜模式。2022/7/18網(wǎng)絡(luò)入侵與防范講義5案例：觀察登錄BBS過程設(shè)置過濾條件：捕獲前過濾2022/7/18網(wǎng)絡(luò)入侵與防范講義6案例：觀察登錄BBS過程設(shè)置過濾條件：捕獲后過濾如果Filter框背景顯示為綠色，說明所設(shè)定的過濾規(guī)則合乎Wireshark支持的語法規(guī)則。如果Filter框背景顯示為紅色，說明所設(shè)定的過濾規(guī)則不符合語法規(guī)則。2022/7/18網(wǎng)絡(luò)入侵與防范講義7案例：觀察登錄BBS過程登錄BBS的用戶名和密碼主機(jī)向服務(wù)器發(fā)送的POST請(qǐng)求2022/7/18網(wǎng)絡(luò)入侵與防范講義83.3 監(jiān)聽的防御3.3.1 通用策略 3.3.2 共享網(wǎng)絡(luò)下的防監(jiān)聽3.3.3 交換網(wǎng)

3、絡(luò)下的防監(jiān)聽 2022/7/18網(wǎng)絡(luò)入侵與防范講義93.3.1 通用策略由于嗅探器是一種被動(dòng)攻擊技術(shù)，因此非常難以被發(fā)現(xiàn)。完全主動(dòng)的解決方案很難找到并且因網(wǎng)絡(luò)類型而有一些差異，但我們可以先采用一些被動(dòng)但卻是通用的防御措施。這主要包括采用安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和數(shù)據(jù)加密技術(shù)兩方面。此外要注意重點(diǎn)區(qū)域的安全防范。2022/7/18網(wǎng)絡(luò)入侵與防范講義10安全的拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)分段越細(xì)，嗅探器能夠收集的信息就越少。網(wǎng)絡(luò)分段：將網(wǎng)絡(luò)分成一些小的網(wǎng)絡(luò)，每一個(gè)網(wǎng)段的集線器被連接到一個(gè)交換器 (Switch) 上，所以數(shù)據(jù)包只能在該網(wǎng)段的內(nèi)部被網(wǎng)絡(luò)監(jiān)聽器截獲，這樣網(wǎng)絡(luò)的剩余部分（不在同一網(wǎng)段）便被保護(hù)了。網(wǎng)絡(luò)有三種網(wǎng)

4、絡(luò)設(shè)備是嗅探器不可能跨過的：交換機(jī)、路由器、網(wǎng)橋。我們可以通過靈活的運(yùn)用這些設(shè)備來進(jìn)行網(wǎng)絡(luò)分段。劃分VLAN：使得網(wǎng)絡(luò)隔離不必要的數(shù)據(jù)傳送，一般可以采用20個(gè)工作站為一組，這是一個(gè)比較合理的數(shù)字。網(wǎng)絡(luò)分段只適應(yīng)于中小的網(wǎng)絡(luò)。網(wǎng)絡(luò)分段需要昂貴的硬件設(shè)備。2022/7/18網(wǎng)絡(luò)入侵與防范講義11數(shù)據(jù)加密數(shù)據(jù)通道加密：正常的數(shù)據(jù)都是通過事先建立的通道進(jìn)行傳輸?shù)模酝S多應(yīng)用協(xié)議中明文傳輸?shù)馁~號(hào)、口令的敏感信息將受到嚴(yán)密保護(hù)。目前的數(shù)據(jù)加密通道方式主要有SSH 、SSL(Secure Socket Layer，安全套接字應(yīng)用層)和VPN。數(shù)據(jù)內(nèi)容加密：主要采用的是將目前被證實(shí)的較為可靠的加密機(jī)制對(duì)對(duì)互

5、聯(lián)網(wǎng)上傳輸?shù)泥]件和文件進(jìn)行加密。如PGP(Pretty Good Privacy)等。2022/7/18網(wǎng)絡(luò)入侵與防范講義123.3 監(jiān)聽的防御3.3.1 通用策略 3.3.2 共享網(wǎng)絡(luò)下的防監(jiān)聽3.3.3 交換網(wǎng)絡(luò)下的防監(jiān)聽 2022/7/18網(wǎng)絡(luò)入侵與防范講義133.3.2 共享網(wǎng)絡(luò)下的防監(jiān)聽雖然共享式局域網(wǎng)中的嗅探很隱蔽，但也有一些方法來幫助判斷：檢測(cè)處于混雜模式的網(wǎng)卡網(wǎng)絡(luò)通訊丟包率非常高檢測(cè)技術(shù)網(wǎng)絡(luò)和主機(jī)響應(yīng)時(shí)間測(cè)試ARP檢測(cè)（如AntiSniff 工具）2022/7/18網(wǎng)絡(luò)入侵與防范講義143.3.2 共享網(wǎng)絡(luò)下的防監(jiān)聽1. 網(wǎng)絡(luò)和主機(jī)響應(yīng)時(shí)間測(cè)試這種檢測(cè)已被證明是最有效的，它能夠

6、發(fā)現(xiàn)網(wǎng)絡(luò)中處于監(jiān)聽模式的機(jī)器，而不管其操作系統(tǒng)是什么。2022/7/18網(wǎng)絡(luò)入侵與防范講義153.3.2 共享網(wǎng)絡(luò)下的防監(jiān)聽1. 網(wǎng)絡(luò)和主機(jī)響應(yīng)時(shí)間測(cè)試測(cè)試原理是處于非監(jiān)聽模式的網(wǎng)卡提供了硬件底層過濾機(jī)制，即目標(biāo)地址為非本地(廣播地址除外)的數(shù)據(jù)包將被網(wǎng)卡所丟棄。這種情況下驟然增加目標(biāo)地址不是本地的網(wǎng)絡(luò)通訊流量對(duì)操作系統(tǒng)的影響很小。而處于混雜模式下的機(jī)器則缺乏底層的過濾，驟然增加目標(biāo)地址不是本地的網(wǎng)絡(luò)通訊流量會(huì)對(duì)該機(jī)器造成較明顯的影響(不同的操作系統(tǒng)/內(nèi)核/用戶方式會(huì)有不同)。2022/7/18網(wǎng)絡(luò)入侵與防范講義163.3.2 共享網(wǎng)絡(luò)下的防監(jiān)聽1. 網(wǎng)絡(luò)和主機(jī)響應(yīng)時(shí)間測(cè)試實(shí)現(xiàn)方法是利用ICM

7、P ECHO請(qǐng)求及響應(yīng)計(jì)算出需要檢測(cè)機(jī)器的響應(yīng)時(shí)間基準(zhǔn)和平均值。在得到這個(gè)數(shù)據(jù)后，立刻向本地網(wǎng)絡(luò)發(fā)送大量的偽造數(shù)據(jù)包，與此同時(shí)再次發(fā)送測(cè)試數(shù)據(jù)包以確定平均響應(yīng)時(shí)間的變化值。非監(jiān)聽模式的機(jī)器的響應(yīng)時(shí)間變化量會(huì)很小，而監(jiān)聽模式的機(jī)器的響應(yīng)時(shí)間變化量則通常會(huì)有14個(gè)數(shù)量級(jí)。2022/7/18網(wǎng)絡(luò)入侵與防范講義173.3.2 共享網(wǎng)絡(luò)下的防監(jiān)聽2. ARP檢測(cè)地址解析協(xié)議(Address Resolution Protocol, ARP)請(qǐng)求報(bào)文用來查詢硬件地址到IP地址的解析。適用于所有基于以太網(wǎng)的IPV4協(xié)議。我們可以使用這類分組來校驗(yàn)網(wǎng)卡是否被設(shè)置為混雜模式。 2022/7/18網(wǎng)絡(luò)入侵與防范講

8、義183.3.2 共享網(wǎng)絡(luò)下的防監(jiān)聽2. ARP檢測(cè)在混雜模式下，網(wǎng)卡不會(huì)阻塞目的地址不是自己的分組，而是照單全收，并將其傳送給系統(tǒng)內(nèi)核。然后，系統(tǒng)內(nèi)核會(huì)返回包含錯(cuò)誤信息的報(bào)文。 基于這種機(jī)制，我們可以假造一些ARP請(qǐng)求報(bào)文發(fā)送到網(wǎng)絡(luò)上的各個(gè)節(jié)點(diǎn)，沒有處于混雜模式的網(wǎng)卡會(huì)阻塞這些報(bào)文，但是如果某些節(jié)點(diǎn)有回應(yīng)，就表示這些節(jié)點(diǎn)的網(wǎng)卡處于混雜模式下。這些處于混雜模式的節(jié)點(diǎn)就可能運(yùn)行嗅探器程序。 2022/7/18網(wǎng)絡(luò)入侵與防范講義193.3.2 共享網(wǎng)絡(luò)下的防監(jiān)聽ARP檢測(cè)原理例如：網(wǎng)絡(luò)上一臺(tái)IP地址為192.168.1.1的PC(X)以太網(wǎng)地址是00-00-00-00-00-01，這臺(tái)PC(X)需

9、要向網(wǎng)絡(luò)上另外一臺(tái)IP地址為192.168.1.10的PC(Y)發(fā)送消息。2022/7/18網(wǎng)絡(luò)入侵與防范講義20ARP檢測(cè)原理(1)在發(fā)送之前，X首先發(fā)出一個(gè)ARP請(qǐng)求包查詢192.168.1.10對(duì)應(yīng)的以太網(wǎng)地址。查詢包的目的地址被設(shè)置為FF-FF-FF-FF-FF-FF(廣播)，從而本地網(wǎng)絡(luò)上的所有節(jié)點(diǎn)都可以收到這個(gè)包。收到之后，每個(gè)節(jié)點(diǎn)會(huì)檢查這個(gè)ARP包查詢的IP地址和本機(jī)的IP地址是否匹配。如果不同，就忽略這個(gè)ARP包；如果匹配(Y)就向X發(fā)出應(yīng)答。X收到應(yīng)答之后就緩存Y的IP/硬件地址。然后，X就可以向Y發(fā)送實(shí)際的數(shù)據(jù)。2022/7/18網(wǎng)絡(luò)入侵與防范講義21ARP檢測(cè)原理(2)進(jìn)

10、一步設(shè)想，如果我們把這個(gè)查詢包的目的地址(以太網(wǎng)地址)設(shè)置為另外的地址,而不是原來的廣播地址又將如何？2022/7/18網(wǎng)絡(luò)入侵與防范講義22ARP檢測(cè)原理(3)例如：我們把查詢包的目的地址設(shè)置為00-00-00-00-00-01會(huì)發(fā)生什么？處于正常模式下網(wǎng)絡(luò)節(jié)點(diǎn)的以太網(wǎng)卡會(huì)認(rèn)為這個(gè)查詢包是發(fā)往其它主機(jī)的，其硬件過濾器會(huì)拒絕接收這個(gè)包；然而，如果這個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)(192.168.1.10)的以太網(wǎng)卡處于混雜模式(promiscuous mode)下，那么即使以太網(wǎng)地址不匹配，其硬件過濾器也不進(jìn)行任何過濾，從而使這個(gè)查詢包能夠進(jìn)入到系統(tǒng)的內(nèi)核。因?yàn)檫@個(gè)節(jié)點(diǎn)的IP地址和查詢包的要查詢IP地址相同，其內(nèi)

11、核就會(huì)認(rèn)為ARP查詢包到達(dá)，應(yīng)該作出應(yīng)答。2022/7/18網(wǎng)絡(luò)入侵與防范講義23ARP檢測(cè)原理(4)但是，在不同的操作系統(tǒng)中，這個(gè)處于混雜模式節(jié)點(diǎn)的內(nèi)核可能不會(huì)應(yīng)答ARP查詢包。這是因?yàn)檫@個(gè)包被系統(tǒng)內(nèi)核過濾掉了。在這里我們把這叫作軟件過濾器。 所以這個(gè)方法并不是完全奏效，但是此方法簡(jiǎn)單實(shí)用。2022/7/18網(wǎng)絡(luò)入侵與防范講義24ARP檢測(cè)原理(5)概括地說，我們可以通過區(qū)別硬件過濾器和軟件過濾器的不同特征來檢測(cè)處于混雜模式的網(wǎng)絡(luò)節(jié)點(diǎn)。我們需要構(gòu)造應(yīng)該被硬件過濾器阻塞，但是卻能夠通過軟件過濾器的報(bào)文。如果把這種報(bào)文送到各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，那么處于普通模式下的網(wǎng)絡(luò)節(jié)點(diǎn)將不做應(yīng)答；而處于混雜模式的節(jié)點(diǎn)

12、會(huì)進(jìn)行應(yīng)答。2022/7/18網(wǎng)絡(luò)入侵與防范講義253.3 監(jiān)聽的防御3.3.1 通用策略 3.3.2 共享網(wǎng)絡(luò)下的防監(jiān)聽3.3.3 交換網(wǎng)絡(luò)下的防監(jiān)聽 2022/7/18網(wǎng)絡(luò)入侵與防范講義263.3.3 交換網(wǎng)絡(luò)下的防監(jiān)聽交換網(wǎng)絡(luò)下防監(jiān)聽，主要要防止ARP過載。ARP過載是指通過發(fā)送大量ARP數(shù)據(jù)包使得交換設(shè)備出現(xiàn)信息過載，工作于廣播模式。交換網(wǎng)絡(luò)下防范監(jiān)聽的措施主要包括：不要把網(wǎng)絡(luò)安全信任關(guān)系建立在單一的IP或MAC基礎(chǔ)上，理想的關(guān)系應(yīng)該建立在IP-MAC對(duì)應(yīng)關(guān)系的基礎(chǔ)上。使用靜態(tài)的ARP或者IP-MAC對(duì)應(yīng)表代替動(dòng)態(tài)的ARP或者IP-MAC對(duì)應(yīng)表，禁止自動(dòng)更新，使用手動(dòng)更新。定期檢查ARP請(qǐng)求，使用ARP監(jiān)視工具，例如ARPWatch等監(jiān)視并探測(cè)ARP欺騙。制定良好的安全管理策略，加強(qiáng)用戶安全意識(shí)。2022/7/18網(wǎng)絡(luò)入侵與防范講義273.4 小結(jié)最普遍同時(shí)也是最致命的安全威脅往往來自內(nèi)部，其破壞性也遠(yuǎn)大于外部威脅。