淺論校園網(wǎng)絡(luò)中存在嗅探器的解決方案

1、淺論校園網(wǎng)絡(luò)中存在嗅探器的解決方案論文關(guān)鍵詞嗅探器信息平安校園網(wǎng)論文摘要將簡(jiǎn)單討論網(wǎng)絡(luò)嗅探原理以及校園網(wǎng)中為防范網(wǎng)絡(luò)嗅探所采取的措施。同時(shí)為了確保網(wǎng)絡(luò)的可用性和平安性?以及不必要的恐慌?系統(tǒng)管理人員應(yīng)該悉局部探測(cè)工具的使用和其局限性?并在碰到相關(guān)問(wèn)題時(shí)能采取正確的應(yīng)對(duì)。一、引言雖然ipv6相對(duì)ipv4在數(shù)據(jù)平安上做了很多修改?且逐漸成為互聯(lián)網(wǎng)開(kāi)展的必然趨勢(shì)。但在很長(zhǎng)時(shí)間內(nèi)，ipv4仍將存在，即使一些網(wǎng)絡(luò)已晉級(jí)到ipv6，晉級(jí)系統(tǒng)也將保持與ipv4系統(tǒng)的互操作才能。在如今的過(guò)渡階段網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包不再是單純的ipv4包，也不是單獨(dú)的ipv6包，而存在ipv4、ipv6以及各種格式的過(guò)渡策略數(shù)據(jù)

2、包?但是主干網(wǎng)仍支持ipv4。可是在ipv4中，還存在很大的平安隱患，像信息的截獲就是一個(gè)很大的問(wèn)題，這就導(dǎo)致了丟包的發(fā)生。對(duì)于信息截獲導(dǎo)致丟包的解決方法在下面將進(jìn)展簡(jiǎn)單闡述。二、網(wǎng)絡(luò)信息蠢獲的原理在目前的大多數(shù)局域網(wǎng)中，信息在網(wǎng)絡(luò)中是以播送形式發(fā)送的，以太網(wǎng)卡收到報(bào)文后，通過(guò)對(duì)目的地址進(jìn)展檢查，來(lái)判斷是否是傳遞給自己的，假如是，那么把報(bào)文傳遞給操作系統(tǒng)。否那么，將報(bào)文丟棄不進(jìn)展處理。網(wǎng)絡(luò)信號(hào)截獲其目的是在盡可能不影響網(wǎng)絡(luò)系統(tǒng)正常通訊的情況下，對(duì)網(wǎng)上數(shù)據(jù)進(jìn)展偵聽(tīng)截獲通過(guò)把局部數(shù)據(jù)包存入數(shù)據(jù)庫(kù)并進(jìn)展有針對(duì)性的分析，及時(shí)發(fā)現(xiàn)有用信息或惡意攻擊和平安隱患，從而到達(dá)獲取信息和保障網(wǎng)絡(luò)平安的目的。當(dāng)信息

3、經(jīng)過(guò)網(wǎng)絡(luò)時(shí)，嗅探器就將其截獲并將其感興趣的信息載入數(shù)據(jù)庫(kù)進(jìn)展分析處理。在以播送形式發(fā)送的網(wǎng)絡(luò)中，只需對(duì)其中任意一臺(tái)計(jì)算機(jī)的網(wǎng)卡驅(qū)動(dòng)程序進(jìn)展改造(安裝嗅探器)，任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包，不僅為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收，同時(shí)也為處在同一沖突域上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截齲因此，只要對(duì)接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)展偵聽(tīng)，就可以捕獲發(fā)生在這個(gè)沖突域上的所有數(shù)據(jù)包，對(duì)其進(jìn)展解包分析，從而截取關(guān)鍵信息。三、嗅探原理以太網(wǎng)中是基于播送方式傳送數(shù)據(jù)的，所有的物理信號(hào)都會(huì)被傳送到每一個(gè)主機(jī)節(jié)點(diǎn)，此外，網(wǎng)卡可以被設(shè)置成混雜接收形式，在該形式下，無(wú)論數(shù)據(jù)幀的目的地址如何，網(wǎng)卡都可以予以接收。嗅探器的軟件實(shí)現(xiàn)方式網(wǎng)卡設(shè)置

4、成混雜形式，所有數(shù)據(jù)幀都會(huì)被網(wǎng)卡驅(qū)動(dòng)程序上傳給網(wǎng)絡(luò)層。分組數(shù)據(jù)到了網(wǎng)絡(luò)層后，網(wǎng)絡(luò)層處理程序還要對(duì)其目的ip地址進(jìn)展判斷，假如是本地ip，那么上傳給傳輸層處理(傳輸層再根據(jù)目的端口號(hào)來(lái)決定由哪個(gè)上層應(yīng)用途理數(shù)據(jù)報(bào)文)?否那么丟棄。假如沒(méi)有特定的機(jī)制，即便網(wǎng)卡設(shè)置成了混雜形式，上層應(yīng)用也無(wú)法抓到本不屬于自己的數(shù)據(jù)包。這就需要一個(gè)直接與網(wǎng)卡驅(qū)動(dòng)程序接口的驅(qū)動(dòng)模塊?通過(guò)該模塊網(wǎng)卡上傳的數(shù)據(jù)幀就有了兩個(gè)去處，一個(gè)是正常的協(xié)議棧，另一個(gè)就是分組捕獲及過(guò)濾模塊，對(duì)于非本地的數(shù)據(jù)包，前者會(huì)丟棄，后者會(huì)根據(jù)上層應(yīng)用要求來(lái)決定上傳還是丟棄。四、嗅探囂的平安防范機(jī)制證明網(wǎng)絡(luò)有嗅探器有兩條經(jīng)歷，一是網(wǎng)絡(luò)帶寬出現(xiàn)反常。

5、通過(guò)某些帶寬監(jiān)控軟件或者設(shè)備，比方rtg、pbeter等?？梢詫?shí)時(shí)看到目前網(wǎng)絡(luò)帶寬的分布情況，假如某個(gè)端口長(zhǎng)時(shí)間的占用了較大的帶寬，這臺(tái)機(jī)器就有可能在監(jiān)聽(tīng)。二是網(wǎng)絡(luò)通訊丟包率非常高。通過(guò)一些網(wǎng)絡(luò)軟件，可以看到信息包傳送情況?最簡(jiǎn)單的就是ping命令，它會(huì)告訴你如今網(wǎng)絡(luò)的掉包情況。假如網(wǎng)絡(luò)中有人在listen，那么信息包傳送將無(wú)法每次都順暢的流到目的地。(這是由于sniffer攔截每個(gè)包導(dǎo)致的)。假如你的網(wǎng)絡(luò)構(gòu)造正常，而又有10%以上的包無(wú)法正常到達(dá)目的地，這就有可能是由于嗅探器攔截包導(dǎo)致的。三是可以查看計(jì)算機(jī)受騙前正在運(yùn)行的所有程序。在unix系統(tǒng)下使用下面的命令：psaux或：psaugx。

6、這個(gè)命令列出當(dāng)前的所有進(jìn)程，啟動(dòng)這些進(jìn)程的用戶，它們占用pu的時(shí)間，占用內(nèi)存的多少等等。inds系統(tǒng)下，按下trl+alt+del，看一下任務(wù)列表。不過(guò)，編程技巧高的snifferhp使正在運(yùn)行，也不會(huì)出如今這里的。還有許多工具，能用來(lái)看看你的系統(tǒng)會(huì)不會(huì)在雜收形式。從而發(fā)現(xiàn)是否有一個(gè)sniffer正在運(yùn)行。因?yàn)樾崽狡餍枰獙⒕W(wǎng)絡(luò)中入侵的網(wǎng)卡設(shè)置為混雜形式才能工作，所以檢測(cè)嗅探器可以采用檢測(cè)混雜形式網(wǎng)卡的工具?比方antisniff等工具。當(dāng)系統(tǒng)在混雜形式下，系統(tǒng)會(huì)對(duì)某些特定類型的數(shù)據(jù)包回應(yīng)，對(duì)其它的數(shù)據(jù)包那么置之不理。在antisniff進(jìn)展操作系統(tǒng)詳細(xì)測(cè)試時(shí)，antisniff會(huì)通過(guò)播送或非播

7、送方式發(fā)送一個(gè)并不存在的ether地址，并對(duì)系統(tǒng)回應(yīng)進(jìn)展監(jiān)聽(tīng)。antisniff發(fā)送虛假地址的懇求ip回應(yīng)數(shù)據(jù)幀，假如系統(tǒng)在混雜形式下那么會(huì)對(duì)該數(shù)據(jù)幀進(jìn)展應(yīng)答，否那么放棄。對(duì)于不同的操作系統(tǒng)，計(jì)算機(jī)采用的檢測(cè)工具也不盡一樣。大多數(shù)linux、unix操作系統(tǒng)都可以使用ifnfig。利用ifnfig網(wǎng)絡(luò)管理人員可以知道網(wǎng)卡是否工作在混雜形式下。但是因?yàn)榘惭b未被受權(quán)的sniffer時(shí)，特洛伊木馬程序也有可能被同時(shí)安裝，因此ifnfig的輸出結(jié)果就可能完全不可信。大多數(shù)版本的unix都可以使用lsf來(lái)檢測(cè)嗅探器的存在。lsf的最初的設(shè)計(jì)目的并非為了防止嗅探器入侵?但因?yàn)樵诒蝗肭值南到y(tǒng)中，嗅探器會(huì)翻開(kāi)

8、其輸出文件，并不斷傳送信息給該文件?這樣該文件的內(nèi)容就會(huì)越來(lái)越大?因此lsf就有了用武之地。假如利用lsf發(fā)現(xiàn)有文件的內(nèi)容不斷的增大,我們就有理由疑心系統(tǒng)被人裝了嗅探器。因?yàn)榇蠖鄶?shù)嗅探器都會(huì)把截獲的tp/ip數(shù)據(jù)寫(xiě)入自己的輸出文件中,因此系統(tǒng)管理人員可以把lsf的結(jié)果輸出至grep來(lái)減少系統(tǒng)被破壞的可能性。完全主動(dòng)的解決方案很難找到，我們可以采用一些被動(dòng)的防御措施。平安的拓?fù)錁?gòu)造，嗅探器只能在當(dāng)前網(wǎng)絡(luò)段上進(jìn)展數(shù)據(jù)捕獲。這就意味著，將網(wǎng)絡(luò)分段工作進(jìn)展得越細(xì)，嗅探器可以搜集的信息就越少。有三種網(wǎng)絡(luò)設(shè)備是嗅探器不可能跨過(guò)的，交換機(jī)、路由器、網(wǎng)橋。我們可以通過(guò)靈敏的運(yùn)用這些設(shè)備來(lái)進(jìn)展網(wǎng)絡(luò)分段。比方對(duì)網(wǎng)

9、絡(luò)進(jìn)展分段，比方在交換機(jī)上設(shè)置vlan，使得網(wǎng)絡(luò)隔離不必要的數(shù)據(jù)傳送。會(huì)話加密，會(huì)話加密提供了另外一種解決方案。不用特別地?fù)?dān)憂數(shù)據(jù)被嗅探，而是要想方法使得嗅探器不認(rèn)識(shí)嗅探到的數(shù)據(jù)。這種方法的優(yōu)點(diǎn)是明顯的?即使攻擊者嗅探到了數(shù)據(jù)，這些數(shù)據(jù)對(duì)他也是沒(méi)有用的。在加密時(shí)有兩個(gè)主要的問(wèn)題?一個(gè)是技術(shù)問(wèn)題，一個(gè)是人為問(wèn)題。技術(shù)是指加密才能是否高。例如，32位的加密就可能不夠，而且并不是所有的應(yīng)用程序都集成了加密支持。而且?跨平臺(tái)的加密方案還不多，一般只在一些特殊的應(yīng)用之中才有。人為問(wèn)題是指有些用戶可能不喜歡加密，他們覺(jué)得這太費(fèi)事。用戶可能開(kāi)場(chǎng)會(huì)使用加密，但他們很少可以堅(jiān)持下?？傊覀儽仨殞ふ乙环N友好的媒介

10、使用支持強(qiáng)大這樣的應(yīng)用程序，還要具有一定的用戶友好性。使用seureshell、seurepy或者ipv6協(xié)議都可以使得信息平安的傳輸。傳統(tǒng)的網(wǎng)絡(luò)效勞程序，stp、 、ftp、pp3和telnet等在本質(zhì)上都是不平安的?因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，嗅探器非常容易就可以截獲這些口令和。ssh的英文全稱是seureshell。通過(guò)使用ssh，你可以把所有傳輸?shù)倪M(jìn)展加密，這樣通過(guò)中間效勞器的攻擊方式就不可能實(shí)現(xiàn)了，而且也可以防止dns和ip欺騙。還有一個(gè)額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮的，所以可以加快傳輸?shù)乃俣?。用靜態(tài)的arp或者ipa對(duì)應(yīng)表代替動(dòng)態(tài)的apr或者ipa對(duì)應(yīng)表。該措施主要是

11、進(jìn)展浸透嗅探的防范，采用諸如arp欺騙手段可以讓入侵者在交換網(wǎng)絡(luò)中順利完成嗅探。網(wǎng)絡(luò)管理員需要對(duì)各種欺騙手段進(jìn)展深化理解，比方嗅探中通常使用的arp欺騙，主要是通過(guò)欺騙進(jìn)展arp動(dòng)態(tài)緩存表的修改。在重要的主機(jī)或者工作站上設(shè)置靜態(tài)的arp對(duì)應(yīng)表，比方inds2022系統(tǒng)使用arp命令設(shè)置，在交換機(jī)上設(shè)置靜態(tài)的ip一a對(duì)應(yīng)表等，防止利用欺騙手段進(jìn)展嗅探的手法。系統(tǒng)管理人員還應(yīng)該堅(jiān)決阻止系統(tǒng)內(nèi)核的重新載入。為了把嗅探器隱藏在效勞級(jí)，惡意攻擊者可能更改內(nèi)核的代碼內(nèi)容并重新載入該內(nèi)核。系統(tǒng)管理人員應(yīng)該生成靜態(tài)的系統(tǒng)內(nèi)核，并制止核心相關(guān)模塊的重新的卸載和載入。除了以上五點(diǎn)另外還要重視關(guān)鍵區(qū)域的平安防范。這

12、里說(shuō)的關(guān)鍵區(qū)域，主要是針對(duì)嗅探器的放置位置而言。入侵者要讓嗅探器發(fā)揮較大成效，通常會(huì)把嗅探器放置在數(shù)據(jù)交聚集中區(qū)域，比方網(wǎng)關(guān)、交換機(jī)、路由器等附近，以便可以捕獲更多的數(shù)據(jù)。因此，對(duì)于這些區(qū)域就應(yīng)該加強(qiáng)防范，防止在這些區(qū)域存在嗅探器。五、完畢語(yǔ)通過(guò)以上的策略，使得內(nèi)部網(wǎng)絡(luò)中通過(guò)嗅探器進(jìn)展截獲信息的網(wǎng)絡(luò)包減少了，使得網(wǎng)絡(luò)丟包率也得到降低，雖然不能完全解決信息平安問(wèn)題，但是使網(wǎng)絡(luò)通信的平安性有了進(jìn)步。嗅探器技術(shù)并非尖端科技，也不要求太多底層的知識(shí)，只能說(shuō)是平安領(lǐng)域的簡(jiǎn)單技術(shù)。根本上我們的所有網(wǎng)管軟件都使用了嗅探器技術(shù)，只是許多計(jì)算機(jī)軟件供給商對(duì)其一直諱莫如深。但迄今并沒(méi)有一個(gè)實(shí)在可行的方法可以一勞永逸的阻止嗅探器