網(wǎng)絡(luò)嗅探技術(shù)在計算機信息安全中的應(yīng)用分析

劉光金

（重慶水利電力職業(yè)技術(shù)學(xué)院，重慶 402160）

1. 引言

隨著互聯(lián)網(wǎng)的廣泛應(yīng)用，其安全問題也逐漸得到了研究人員的重視。如今網(wǎng)絡(luò)入侵往往會造成巨大的社會影響以及嚴(yán)重的財產(chǎn)損失，而且其入侵手段也更加隱蔽，擴散性也更強，危害性也更大。嗅探技術(shù)在計算機信息安全中具有重要的地位，通過加強對嗅探技術(shù)的研究，了解其工作模式，對于提高計算機安全具有重要的促進作用。

2. 網(wǎng)絡(luò)嗅探技術(shù)簡介

網(wǎng)絡(luò)嗅探技術(shù)也稱為監(jiān)聽技術(shù)，是一種基于被動偵聽原理的網(wǎng)絡(luò)分析方式，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔ⅰＰ崽狡魇悄軌驅(qū)崿F(xiàn)嗅探的工具，嗅探工具的分類比較多，按照嗅探功能的不同，可以分為專用嗅探器和網(wǎng)絡(luò)嗅探器兩種形式。按照嗅探工作原理以及環(huán)境的不同，嗅探技術(shù)又可以分為交換機嗅探、本機嗅探以及廣播網(wǎng)嗅探等。

嗅探本身是被用來作為網(wǎng)絡(luò)管理人員檢測網(wǎng)絡(luò)的一種工具，現(xiàn)在已經(jīng)發(fā)展成為網(wǎng)絡(luò)安全攻防的重要工具。嗅探軟件應(yīng)用比較方便，能夠適合不同的操作平臺。硬件嗅探器又稱為協(xié)議分析器，在局域網(wǎng)中，共享模式的特點保證了嗅探的可靠性。嗅探器的隱蔽性比較好，它通過被動接收數(shù)據(jù)，而不發(fā)送數(shù)據(jù)，所以難以被察覺。嗅探器的工作原理決定了其只能在點到點的節(jié)點以及局域網(wǎng)沖突域中進行竊聽，這是嗅探器的局限性。

3. 網(wǎng)絡(luò)嗅探技術(shù)在計算機信息安全中的應(yīng)用研究

3.1 共享網(wǎng)絡(luò)下的網(wǎng)絡(luò)嗅探檢測和防范

在共享網(wǎng)絡(luò)環(huán)境下，只需要把一臺計算機網(wǎng)卡設(shè)置為混雜模式，那么這臺計算機就能夠捕獲到在該網(wǎng)段中所傳遞的縮影信息，這是網(wǎng)絡(luò)嗅探技術(shù)的被動工作狀態(tài)。在這種狀態(tài)下不需要對其它任何計算機發(fā)送數(shù)據(jù)包，只需要等待被捕獲的數(shù)據(jù)包經(jīng)過時就能夠捕獲。這種模式對于檢測網(wǎng)絡(luò)嗅探是否存在比較困難，但是能夠?qū)W(wǎng)絡(luò)嗅探行為進行檢測和直觀判斷。當(dāng)網(wǎng)絡(luò)嗅探捕獲到數(shù)據(jù)包時會出現(xiàn)一些異?，F(xiàn)象，例如網(wǎng)絡(luò)帶寬異?；蛘呔W(wǎng)絡(luò)通訊掉包率異常等。其中網(wǎng)絡(luò)帶寬異常主要是通過帶寬控制器查看網(wǎng)絡(luò)帶寬的分布情況，當(dāng)某個計算機長時間地占用了大量的帶寬，那么這臺計算機就有可能存在監(jiān)聽?？梢岳靡恍┚W(wǎng)絡(luò)軟件來查看信息包傳送的情況，當(dāng)網(wǎng)絡(luò)存在監(jiān)聽行為時就會導(dǎo)致信息包不能每次都順利地到達目的地，這種方式可以檢測在混雜模式下是否存在網(wǎng)絡(luò)嗅探。當(dāng)計算機網(wǎng)卡設(shè)置為混雜模式時就可能在進行網(wǎng)絡(luò)嗅探，前提是需要判斷網(wǎng)絡(luò)中計算機是否處于混雜狀態(tài)，可以使用APP分組的方式進行檢測。APP分組的原理是：以太網(wǎng)中對信息傳遞都是基于網(wǎng)卡MAC地址，當(dāng)網(wǎng)卡設(shè)置為不同工作模式時可以接收不同種類的分組，這稱之為硬件過濾器。同時在以太網(wǎng)中可以通過地址解析協(xié)議提供硬件地址與IP地址來完成信息傳遞，在通訊的過程中每個節(jié)點都會檢查APP包所提供的IP地址是否匹配。如果不相同，那么就忽略這個APP包；如果匹配就會發(fā)送實際數(shù)據(jù)。可以通過過濾狀態(tài)來判斷網(wǎng)絡(luò)節(jié)點狀態(tài)是否正常，當(dāng)網(wǎng)卡設(shè)置為混雜模式時，那么被過濾的報文就會進入到系統(tǒng)內(nèi)核中，從而檢測到混雜模式的節(jié)點。建立一個APP查詢包，其目的地址設(shè)置為非廣播地址，向網(wǎng)絡(luò)中的各個節(jié)點發(fā)送APP查詢包，通過其節(jié)點回應(yīng)就可以判斷是否處于混雜模式。

在共享網(wǎng)絡(luò)中可以通過加密、網(wǎng)絡(luò)分段、非混雜網(wǎng)卡以及一次性口令技術(shù)來預(yù)防網(wǎng)絡(luò)嗅探，可以對數(shù)據(jù)包中的重要信息進行加密，也可以選擇其它方式進行加密，這取決于信息的安全等級。網(wǎng)絡(luò)分段是通過對網(wǎng)絡(luò)中的共享設(shè)備和機器對數(shù)據(jù)流進行限制，從而達到防嗅探的效果。網(wǎng)絡(luò)嗅探在混雜環(huán)境中可以接收數(shù)據(jù)包，因此可以在局域網(wǎng)中使用非混雜網(wǎng)卡，但是由于地址偽裝技術(shù)，所以其實際意義不是非常大。一次性口令技術(shù)是指客戶端通過從服務(wù)器中得到的賬號和口令算出一個新的字符串并且傳遞給服務(wù)器，服務(wù)器利用算法進行匹配，如果數(shù)據(jù)匹配就能夠建立聯(lián)系，賬號和字符串都只能應(yīng)用一次。

3.2 交換環(huán)境下網(wǎng)絡(luò)嗅探的預(yù)防

可以利用靜態(tài)APP表的模式進行防范，靜態(tài)APP表不能刷新，所以假的APP包就會被丟棄。但是對于網(wǎng)絡(luò)中的所有計算機，都需要建立靜態(tài)的MAC表，當(dāng)網(wǎng)絡(luò)的規(guī)模比較大時，會造成交換機工作效率下降。如果更換計算機就需要手工方式重新更改MAC表，所以在大型網(wǎng)絡(luò)中這種方式不合適。在Windows模式下建立靜態(tài)MAC到IP的映射表，當(dāng)收到更新之后的APP包后，依舊會刷新計算機的映射表，會被檢測出嗅探行為。可以借助第三方軟件的方法，這是目前比較可靠的方法，通過軟件可以檢測到網(wǎng)絡(luò)中MAC地址的變化，當(dāng)?shù)刂纷兓瘯r就會通過電子郵件的方式發(fā)送到指定地點。還可以利用VPN等加密技術(shù)來保護敏感信息。

3.3 無線環(huán)境下網(wǎng)絡(luò)嗅探的防范

近年來隨著智能手機等設(shè)備的廣泛應(yīng)用，無線網(wǎng)絡(luò)應(yīng)用也日益頻繁。無線網(wǎng)絡(luò)能夠?qū)崿F(xiàn)多個計算機設(shè)備的共享和利用，所以無線局域網(wǎng)在信息傳遞和接收的過程中也更加容易受被嗅探。為了防止無線網(wǎng)絡(luò)被嗅探，常常采用加密和認(rèn)證技術(shù)，但是目前無線網(wǎng)絡(luò)下的加密技術(shù)其安全性比較弱，容易被嗅探。目前無線網(wǎng)絡(luò)中的加密協(xié)議和工具比較多，常見的有Kismet、AirSnort等。WEP無線協(xié)議是經(jīng)過Wi-Fi認(rèn)證的一項標(biāo)準(zhǔn)，是符合802.11標(biāo)準(zhǔn)中的一項無線加密方案。WEP共用一套密鑰，所以其分配比較廣泛，導(dǎo)致密鑰泄露的可能性也比較大。由于WEP協(xié)議本身的缺陷，黑客可以通過破解軟件在短時間內(nèi)破獲密鑰，從而進入到網(wǎng)絡(luò)中。加密算法和密鑰的長度有關(guān)，WEP密鑰采用靜態(tài)密碼，因此難以從根本上保護信息的安全。MAC地址中的訪問控制表只允許注冊后的設(shè)備進入到網(wǎng)絡(luò)中，所以MAC過濾技術(shù)相當(dāng)于在系統(tǒng)上設(shè)置了一道障礙，如果其障礙越多，那么網(wǎng)絡(luò)也就越安全。為了改變靜態(tài)密鑰的限制，可以采用動態(tài)密鑰的方法，計算機在接入到網(wǎng)絡(luò)中完成一次會話后就能夠自動生成下次會話所需要的新的加密密鑰，這個密鑰對于網(wǎng)絡(luò)會話和網(wǎng)絡(luò)用戶來說都是唯一的。這種技術(shù)能夠提高網(wǎng)絡(luò)的安全性，避免了用戶手工輸入的麻煩。由于其唯一性和可變性，當(dāng)黑客取得網(wǎng)絡(luò)訪問權(quán)時，其所取得了密鑰也可能已經(jīng)過期，有效地保證了網(wǎng)絡(luò)的安全。虛擬專用網(wǎng)絡(luò)作為一種功能更加強大的加密方法，能夠有效地保護網(wǎng)絡(luò)的安全。它能夠根據(jù)需要，定義被保護的數(shù)據(jù)流，并且將數(shù)據(jù)流發(fā)送到目的地址。這種方式通過網(wǎng)絡(luò)層進行，因此可以實現(xiàn)兩臺計算機之間，計算機與網(wǎng)關(guān)以及網(wǎng)關(guān)與網(wǎng)關(guān)之間的網(wǎng)絡(luò)保護；在無線環(huán)境中，可以通過客戶端到網(wǎng)關(guān)組網(wǎng)的方式進行保護。

4. 結(jié)束語

目前并沒有一勞永逸防止嗅探入侵的方法，嗅探器主要是在入侵系統(tǒng)之后用來收集有用信息，因此在進行計算機安全維護的過程中，應(yīng)當(dāng)防止系統(tǒng)被非法侵入，應(yīng)當(dāng)定期對網(wǎng)絡(luò)進行安全測試，防止存在潛在的安全風(fēng)險。安全管理人員應(yīng)當(dāng)適當(dāng)控制內(nèi)部用戶的數(shù)量，減少來自內(nèi)部攻擊的可能性。同時為了防止嗅探器的侵入，應(yīng)當(dāng)按時追蹤安全報告，監(jiān)測網(wǎng)絡(luò)的工作狀態(tài)等，發(fā)現(xiàn)異?，F(xiàn)象能夠及時介入，減少嗅探技術(shù)所帶來的危害。

[1]高強.探析網(wǎng)絡(luò)嗅探技術(shù)[J].農(nóng)業(yè)網(wǎng)絡(luò)信息，2012，(5)：84-86，96.

[2]王曉華，程兆敏.通信網(wǎng)絡(luò)嗅探技術(shù)淺析[J].中國科技財富，2012，(15)：224.

[3]劉衍.網(wǎng)絡(luò)嗅探與反嗅探技術(shù)淺析[J].科園月刊，2011，(1)：22-23.