基于嗅探技術(shù)的內(nèi)部網(wǎng)絡(luò)安全研究

摘 要：內(nèi)網(wǎng)一般由代理服務(wù)器、二層交換機(jī)、大量終端等組成，由于網(wǎng)絡(luò)邊界處的防火墻、入侵檢測系統(tǒng)可以有效的防御來自于外網(wǎng)的入侵，卻忽視了網(wǎng)絡(luò)內(nèi)部的安全。針對這樣的情況，通過使用OMNI PEEK軟件對內(nèi)網(wǎng)進(jìn)行實(shí)時(shí)的流量監(jiān)控和數(shù)據(jù)包分析，較好的加強(qiáng)并保障了內(nèi)網(wǎng)的管理和安全。

關(guān)鍵詞：內(nèi)網(wǎng)安全；流量監(jiān)控；數(shù)據(jù)包分析

中圖分類號：D92 文獻(xiàn)標(biāo)志碼：A 文章編號：1673-291X（2013）16-0216-03

一、引言

由于TCP/IP協(xié)議簇本身存在許多安全問題，所以使網(wǎng)絡(luò)安全難以保障。網(wǎng)絡(luò)安全一般來說分為網(wǎng)絡(luò)外部和網(wǎng)絡(luò)內(nèi)部兩方面，如今這兩方面出現(xiàn)的安全問題的比例約為3∶7，顯然，最普遍的安全威脅主要來自于內(nèi)部，而且這些威脅通常都是致命的，其破壞性也遠(yuǎn)大于外部威脅。內(nèi)網(wǎng)因終端多，使用人員技術(shù)水平等因素的影響，使內(nèi)網(wǎng)安全難以保障，而且與企業(yè)的內(nèi)網(wǎng)安全關(guān)注更多的是數(shù)據(jù)保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）方面不同，一般（學(xué)校、網(wǎng)吧）的內(nèi)網(wǎng)關(guān)注更多的是內(nèi)部系統(tǒng)的穩(wěn)定性，防止人為破壞或無意破壞。

由于網(wǎng)絡(luò)邊界處的防火墻（Firewall）、入侵檢測（IDS）等多方面監(jiān)控，且代理服務(wù)器只允許外網(wǎng)的終端訪問它自身，并有選擇地將數(shù)據(jù)傳輸給內(nèi)網(wǎng)終端，對來自網(wǎng)絡(luò)外部的威脅進(jìn)行了非常完善的防護(hù)，卻忽略了內(nèi)網(wǎng)的安全性。內(nèi)部網(wǎng)絡(luò)由大量的終端和網(wǎng)絡(luò)設(shè)備組成，內(nèi)網(wǎng)用戶的非法操作往往具有隱蔽性強(qiáng)，威脅大等特點(diǎn)，內(nèi)網(wǎng)任何一部分的安全問題，都可能導(dǎo)致整個(gè)內(nèi)部網(wǎng)絡(luò)的癱瘓。安全問題是三分技術(shù)，七分管理，管理才是關(guān)鍵。

二、基于網(wǎng)絡(luò)嗅探的實(shí)時(shí)監(jiān)控

（一）嗅探技術(shù)簡介

網(wǎng)絡(luò)監(jiān)測方法主要有基于網(wǎng)絡(luò)管理信息的測量方法（如基于SNMP的測量技術(shù)）與基于網(wǎng)絡(luò)嗅探技術(shù)的被動監(jiān)測方法。本實(shí)驗(yàn)的網(wǎng)絡(luò)嗅探是指利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種手段。網(wǎng)絡(luò)嗅探技術(shù)不主動向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包，而是通過監(jiān)聽、提取和解析網(wǎng)絡(luò)中正在傳輸數(shù)據(jù)包。但是在一個(gè)交換式的局域網(wǎng)，此時(shí)在其中的任一臺主機(jī)上安裝網(wǎng)絡(luò)嗅探工具，無論它的嗅探功能如何強(qiáng)大，在交換網(wǎng)絡(luò)中它也無能為力，這時(shí)它只能嗅探到從本機(jī)進(jìn)出的數(shù)據(jù)包，因此把嗅探工具安裝在代理服務(wù)器上便可解決此問題。

網(wǎng)絡(luò)嗅探技術(shù)是一把雙刃劍，不可用于竊取私密信息，它的的正當(dāng)用處主要是分析網(wǎng)絡(luò)的流量，以便找出網(wǎng)絡(luò)中潛在的問題.如果某時(shí)段一網(wǎng)段運(yùn)行不暢，信息包的發(fā)送比較慢，丟包現(xiàn)在嚴(yán)重，而網(wǎng)絡(luò)管理員又不知道問題所在，此時(shí)就可以用嗅探器作出較準(zhǔn)確的判斷。

（二）實(shí)時(shí)網(wǎng)絡(luò)監(jiān)控

1.協(xié)議分析。對內(nèi)網(wǎng)的實(shí)時(shí)監(jiān)控，目的不是為了實(shí)時(shí)記錄網(wǎng)絡(luò)狀態(tài)，而是為了發(fā)現(xiàn)異常和攻擊。本實(shí)驗(yàn)對一些常見的內(nèi)網(wǎng)安全問題進(jìn)行分析，正常的數(shù)據(jù)包就不再此闡釋。通過運(yùn)行omni peek，捕獲數(shù)據(jù)包，經(jīng)查看發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)192.168.0.136的數(shù)據(jù)包可疑，剛開機(jī)不久便向IP地址為24.89.201.200發(fā)送大量數(shù)據(jù)包，且這臺主機(jī)發(fā)出的所有的數(shù)據(jù)包都是基于HTTP的（見圖1）。

通過對某個(gè)數(shù)據(jù)包的源碼分析（見圖2），解碼后（見下頁表1）。

由于HTTP是基于請求/響應(yīng)范式的，信息交換過程要分四個(gè)部分：建立連接、發(fā)送請求、發(fā)送響應(yīng)、關(guān)閉連接。但我們捕獲到得192.168.0.136所發(fā)出的數(shù)據(jù)包卻很可疑，圖3是通過OMNI PEEK對TCP的解析，發(fā)現(xiàn)所有數(shù)據(jù)包均是SYN包，而SYN包是主機(jī)要發(fā)起TCP連接時(shí)發(fā)出的數(shù)據(jù)包，也就是這臺內(nèi)網(wǎng)主機(jī)不斷的向外網(wǎng)中的某主機(jī)建立HTTP連接，但沒有得到任何回應(yīng)（既未收到ACK確認(rèn)包，也沒有釋放連接）。

這種情況一般有下面幾種可能：（1）成為黑客控制的“肉雞”，不斷向外網(wǎng)發(fā)送大量發(fā)送無意義的UDP數(shù)據(jù)包阻塞網(wǎng)絡(luò)，以至成為造成DDOS攻擊的終端；（2）也有可能是某種p2p下載軟件的共享功能的原因（從圖看出，它收到了2 642個(gè)數(shù)據(jù)包）。有關(guān)調(diào)查表明P2P業(yè)務(wù)不斷增加，造成了網(wǎng)絡(luò)帶寬的巨大消耗，引起網(wǎng)絡(luò)擁塞，降低其他業(yè)務(wù)的性能經(jīng)查看該終端確實(shí)是P2P軟件Emule的原因?qū)е拢钇潢P(guān)閉軟件恢復(fù)網(wǎng)絡(luò)暢通。

3.防止內(nèi)網(wǎng)ARP欺騙攻擊。在局域網(wǎng)中，最常見的破壞某過于ARP欺騙攻擊了。由于要通過ARP來完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址），ARP對網(wǎng)絡(luò)安全具有重要的意義。ARP的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人，那么就很容易實(shí)現(xiàn)在以太網(wǎng)上的ARP欺騙。受到ARP攻擊主要現(xiàn)象有：局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線，網(wǎng)速是否時(shí)快時(shí)慢，極其不穩(wěn)定等等。于此同時(shí)能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。

由于ARP的原因（不會驗(yàn)證包的來源是否合理），使得一臺主機(jī)在從未收到ARP請求包時(shí)，也可以發(fā)送ARP應(yīng)答包。一旦某臺主機(jī)收到ARP應(yīng)答包，即使它從未向發(fā)送此應(yīng)答包的主機(jī)發(fā)送過ARP請求包，仍會對本地的ARP緩存進(jìn)行更新，將應(yīng)答包中的IP和MAC地址存儲在ARP緩存中，所以很多人利用ARP存在的這種缺陷，通過發(fā)送偽造的ARP應(yīng)答包給發(fā)出請求的主機(jī)，從而改變它們之間的數(shù)據(jù)傳輸過程。

一般正常情況下通過在MS-DOS環(huán)境下使用arp-a 命令來查看ARP緩存，每一個(gè)內(nèi)網(wǎng)IP都有唯一的MAC地址與之對應(yīng)。當(dāng)內(nèi)網(wǎng)有人通過軟件或是中了ARP病毒，竄改MAC地址時(shí)，情況如下圖。圖8為192.168.0.105的主機(jī)偽造代理服務(wù)器192.168.0.1的MAC地址，并不斷發(fā)出ARP應(yīng)答包，欺騙其他在線主機(jī)。

通過OMNI PEEK對ARP數(shù)據(jù)包進(jìn)行分析，紅色部分是ARP Response包（見圖9）得知這個(gè)時(shí)段內(nèi)有大量的ARP應(yīng)答包，分析可能是有人在運(yùn)行ARP欺騙攻擊軟件或者是網(wǎng)內(nèi)感染ARP 欺騙木馬。其中大部分的ARP 應(yīng)答包都通過軟件偽造其他主機(jī)的MAC地址以達(dá)到欺騙的目的。

內(nèi)網(wǎng)管理員可以通過OMNI PEEK第一時(shí)間察覺到ARP攻擊。對于如何防范ARP欺騙攻擊，除了安裝ARP防火墻外，當(dāng)前用的比較多的方法主要有：（1）設(shè)置靜態(tài)的MAC與IP對應(yīng)表，不要讓主機(jī)刷新設(shè)定好的轉(zhuǎn)換表；（2）定期檢查主機(jī)上的ARP緩存，查看有無異樣；（3）停止使用ARP協(xié)議等等。

三、結(jié)束語

本實(shí)驗(yàn)通過網(wǎng)絡(luò)嗅探軟件OMNI PEEK，在基于代理服務(wù)器環(huán)境下的內(nèi)網(wǎng)進(jìn)行實(shí)時(shí)監(jiān)控，對常見的安全問題進(jìn)行了著重分析闡述，特別是第一種，由于內(nèi)網(wǎng)主機(jī)本身沒有真實(shí)IP地址，通過代理服務(wù)器的公共IP地址隱藏終端來攻擊外網(wǎng)主機(jī)，而被攻擊者又很難確定這臺沒有真實(shí)IP地址的終端。下一步的研究，我們將從被攻擊者的角度，來確定這臺沒有固定IP地址的終端，既非真實(shí)IP地址網(wǎng)絡(luò)終端定位方法的研究。

參考文獻(xiàn)：

[1] 楊云江.計(jì)算機(jī)網(wǎng)絡(luò)管理技術(shù)：第2版[M].北京：清華大學(xué)出版社，2009.

[2] 李峰，陳向益. TCP/IP——協(xié)議分析與應(yīng)用編程[M].北京：人民郵電出版社，2008.

[3] 秦相林.二層交換網(wǎng)絡(luò)上的嗅探技術(shù)研究[J].哈爾濱商業(yè)大學(xué)學(xué)報(bào)，2005，（4）：489-492.

[4] 孫謙，黃家林，傅軍.基于協(xié)議分析的ARP欺騙病毒源自動定位[J].現(xiàn)代計(jì)算機(jī)，2008，（289）：136-139.

[5] 蔡林.網(wǎng)絡(luò)嗅探技術(shù)在信息安全中的應(yīng)用[J].計(jì)算機(jī)時(shí)代，2008，（6）：16-18.