網(wǎng)絡(luò)欺騙和嗅探技術(shù)探討

摘 要：網(wǎng)絡(luò)欺騙存在的原因是在網(wǎng)絡(luò)世界里，存在著針對(duì)網(wǎng)絡(luò)身份的授權(quán)、監(jiān)督和審計(jì)機(jī)制。針對(duì)網(wǎng)絡(luò)欺騙，一方面要綜合使用多種技術(shù)防止欺騙的發(fā)生，另一方面要在網(wǎng)絡(luò)的管理和使用過(guò)程中增強(qiáng)主動(dòng)防范意識(shí)。嗅探器是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)包的一種工具。嗅探器是一種常用的數(shù)據(jù)收集方法。本文將探討網(wǎng)絡(luò)欺騙的類(lèi)型及防范技術(shù)，以及嗅探技術(shù)在防范網(wǎng)絡(luò)欺騙中的應(yīng)用。

關(guān)鍵詞：網(wǎng)絡(luò)欺騙；嗅探技術(shù)；防范

中圖分類(lèi)號(hào)：TP393.08

網(wǎng)絡(luò)欺騙能夠顯著地增加攻擊者的工作量、攻擊復(fù)雜度以及不確定性，從而使攻擊者不知道其進(jìn)攻是否奏效或成功，而且它允許防護(hù)者跟蹤攻擊者的行為，在攻擊者之前修補(bǔ)系統(tǒng)可能存在的安全漏洞。嗅探器（sniffer）是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)包的一種工具[1]。嗅探器是一種常用的數(shù)據(jù)收集方法。它通常用于分析網(wǎng)絡(luò)的流量，以便找出網(wǎng)絡(luò)中潛在的問(wèn)題。但是由于它能夠捕獲網(wǎng)絡(luò)數(shù)據(jù)，因此有可能威脅網(wǎng)絡(luò)安全。它可以捕獲網(wǎng)絡(luò)上的敏感信息，如用戶的帳號(hào)、密碼或者商業(yè)機(jī)密等。

1 網(wǎng)絡(luò)欺騙概述

從原理上講，每個(gè)有價(jià)值的網(wǎng)絡(luò)系統(tǒng)都存在著安全弱點(diǎn)，而且這些弱點(diǎn)都可能被攻擊者所利用。網(wǎng)絡(luò)欺騙主要有以下3個(gè)作用：（1）影響攻擊者，使之按照防護(hù)者的意志進(jìn)行選擇；（2）迅速地檢測(cè)到攻擊者的進(jìn)攻并獲知其進(jìn)攻技術(shù)和意圖；（3）消耗攻擊者的資源。一個(gè)理想的網(wǎng)絡(luò)欺騙可以使攻擊者感到他們不是很容易地達(dá)到了期望的目標(biāo)（當(dāng)然目標(biāo)是假的），并使其相信攻擊取得了成功。

2 網(wǎng)絡(luò)欺騙的防范

2.1 IP欺騙的防范。針對(duì)改變數(shù)據(jù)包源地址的欺騙已經(jīng)有了一些防范措施，比如在網(wǎng)絡(luò)出口處的路由器或者防火墻上設(shè)置規(guī)則，不允許源地址不是本網(wǎng)絡(luò)的數(shù)據(jù)包流出。那些精心設(shè)計(jì)的源路由欺騙現(xiàn)在已經(jīng)很難奏效了，因?yàn)楹芏嗦酚善鞫己雎栽绰酚蛇x項(xiàng)，而且一般防火墻都禁止有源路由選項(xiàng)的數(shù)據(jù)包通過(guò)。至于主機(jī)間的信任關(guān)系，首先應(yīng)該盡量減少使用這種基于簡(jiǎn)單信任關(guān)系的共享機(jī)制，另一方面，即使使用信任關(guān)系，也要精心設(shè)計(jì)信任規(guī)則，防止由于放松條件導(dǎo)致不必要的威脅。

2.2 郵件欺騙的防范。針對(duì)相似的電子郵件地址、欺騙性的別名和“回復(fù)地址”等問(wèn)題，還是要依靠用戶自己增強(qiáng)安全意識(shí)，尤其是涉及傳送敏感信息時(shí)，要多審查，多驗(yàn)證。另一方面，越來(lái)越多的郵件系統(tǒng)管理員意識(shí)到攻擊者在利用他們的系統(tǒng)進(jìn)行欺騙，所以較新版本的郵件服務(wù)器本身也采取了許多安全措施，如不允許郵件轉(zhuǎn)發(fā)、對(duì)發(fā)信人的身份進(jìn)行認(rèn)證、或者設(shè)置郵件服務(wù)器只發(fā)送或者接收指定域名的郵件等，使郵件服務(wù)的安全得到整體提高[2]。

2.3 Web欺騙的防范。 防范Web欺騙最根本的方法是對(duì)服務(wù)器和客戶端的身份進(jìn)行鑒別。目前比較常用的方式是使用SSL協(xié)議，服務(wù)器和客戶端使用數(shù)字證書(shū)證明自己的身份。用戶登錄網(wǎng)站時(shí)，網(wǎng)站向客戶提供自己的證書(shū)，服務(wù)器可以選擇是否對(duì)客戶進(jìn)行認(rèn)證，認(rèn)證通過(guò)之后可以對(duì)雙方的會(huì)話進(jìn)行加密。

2.4 社會(huì)工程的防范。首先，社會(huì)工程很難防范，因?yàn)樗婕叭思吧鐣?huì)關(guān)系，屬于網(wǎng)絡(luò)安全管理的范疇。要防范通過(guò)社會(huì)工程的欺騙，不僅要制定合理的制度和規(guī)范，而且要加強(qiáng)對(duì)相關(guān)人員的教育和培訓(xùn)，使其時(shí)刻保持安全意識(shí)。

3 嗅探技術(shù)

嗅探器在形式上可以是硬件產(chǎn)品，也可以是運(yùn)行的軟件程序。為了說(shuō)明以太網(wǎng)監(jiān)聽(tīng)的原理，首先分析以太網(wǎng)中常用的網(wǎng)絡(luò)互聯(lián)設(shè)備：共享集線器和交換機(jī)在處理數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)的不同方式。

共享集線器是一個(gè)總線結(jié)構(gòu)的網(wǎng)絡(luò)連接設(shè)備，以共享方式工作，即當(dāng)一個(gè)機(jī)器向另一個(gè)機(jī)器發(fā)送數(shù)據(jù)時(shí)，接享集線器先收到數(shù)據(jù)，然后把數(shù)據(jù)發(fā)給與之連接的其他接口，所以共享集線器連接的所有機(jī)器的網(wǎng)卡都能接收到數(shù)據(jù)。顯然，在共享集線器工作模式下，兩個(gè)機(jī)器間傳輸數(shù)據(jù)的時(shí)候，其他的接口也被占用，此時(shí)同一網(wǎng)段同一時(shí)間只能有兩個(gè)機(jī)器進(jìn)行數(shù)據(jù)通信；而使用交換機(jī)連接的網(wǎng)絡(luò)中，兩個(gè)機(jī)器間傳輸數(shù)據(jù)的時(shí)候沒(méi)有占用其他端口，所以其他端口之間也可以傳輸數(shù)據(jù)。這就是共享集線器與交換機(jī)的關(guān)鍵區(qū)別所在[3]。

網(wǎng)卡是主機(jī)用來(lái)接收網(wǎng)絡(luò)數(shù)據(jù)的物理設(shè)備。當(dāng)網(wǎng)卡收到傳輸來(lái)的數(shù)據(jù)時(shí)，網(wǎng)卡內(nèi)的程序先接收數(shù)據(jù)頭的目的MAC地址，根據(jù)計(jì)算機(jī)上的網(wǎng)卡驅(qū)動(dòng)程序設(shè)置的接收模式判斷是否接收。如果認(rèn)為應(yīng)該接收就產(chǎn)生中斷信號(hào)通知CPU，否則就將其丟棄。CPU得到中斷信號(hào)產(chǎn)生中斷，操作系統(tǒng)根據(jù)網(wǎng)卡中斷程序地址調(diào)用驅(qū)動(dòng)程序來(lái)接收數(shù)據(jù)，驅(qū)動(dòng)程序接收數(shù)據(jù)后放入堆棧讓操作系統(tǒng)處理?？梢?jiàn)，網(wǎng)卡能夠根據(jù)目標(biāo)MAC地址判斷是否接收數(shù)據(jù)。

數(shù)據(jù)在鏈路層以幀為單位進(jìn)行傳輸。網(wǎng)卡驅(qū)動(dòng)程序?qū)⑸蠈訁f(xié)議數(shù)據(jù)打包成幀，通過(guò)網(wǎng)卡發(fā)送到網(wǎng)線k。通過(guò)網(wǎng)線到達(dá)目的機(jī)器后，在目的機(jī)器上執(zhí)行相反的過(guò)程。接收端機(jī)器的網(wǎng)卡捕獲到這些幀，告訴操作系統(tǒng)幀到達(dá)，并對(duì)其進(jìn)行存儲(chǔ)。就是在這個(gè)傳輸和接收的過(guò)程中，嗅探器會(huì)產(chǎn)生安全問(wèn)題。

若采用共享集線器互聯(lián)，當(dāng)一臺(tái)主機(jī)發(fā)送幀時(shí)，連接在同一集線器上的所有機(jī)器的網(wǎng)卡都可以聽(tīng)到這個(gè)幀，但對(duì)不屬于自己的幀一般不予響應(yīng)?？墒牵绻撑_(tái)機(jī)器的網(wǎng)卡處于混雜（promiscuous）模式，則網(wǎng)卡可以接收其聽(tīng)到的所有數(shù)據(jù)幀，那么它就可以捕獲網(wǎng)絡(luò)上所有的報(bào)文。如果一臺(tái)機(jī)器的網(wǎng)卡被配置成工作在混雜模式，它就是一個(gè)嗅探器。嗅探器在網(wǎng)絡(luò)中的位置如圖1所示。

圖1 嗅探器在網(wǎng)絡(luò)中的位置

嗅探器工作在網(wǎng)絡(luò)環(huán)境中的底層，它會(huì)監(jiān)聽(tīng)所有正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過(guò)相應(yīng)的軟件處理，便可以實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析所處的網(wǎng)絡(luò)狀態(tài)和整體布局。它可能造成的危害包括[4]：（1）嗅探器可以捕獲各種口令：這大概是絕大多數(shù)人非法使用嗅探器的理由。嗅探器可以記錄明文傳送的userid和passwd。一般嗅探器只嗅探每個(gè)報(bào)文的前200～300個(gè)字節(jié)，用戶名和口令都包含在這一部分內(nèi)容中；（2）嗅探器能夠捕獲專(zhuān)用的或者機(jī)密的信息：嗅探器可以很輕松捕獲在網(wǎng)上二傳送的用戶名、口令、信用卡號(hào)碼、帳號(hào)SnPIN碼等。通過(guò)分析數(shù)據(jù)包，可以很方便地記錄別人之間敏感的信息傳送，或者干脆復(fù)制整個(gè)會(huì)話過(guò)程；（3）嗅探器可能危害網(wǎng)絡(luò)鄰居的安全，或者用來(lái)獲取更高級(jí)別的訪問(wèn)權(quán)限：嗅探器可以窺探低層協(xié)議的信息，比如記錄兩臺(tái)主機(jī)之間的網(wǎng)絡(luò)接口地址、遠(yuǎn)程網(wǎng)絡(luò)接口的IP地址、IP路由信息和TCP連接的序列號(hào)等。這些信息由非法入侵者掌握后將對(duì)網(wǎng)絡(luò)安全構(gòu)成極大的危害。為了監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)，嗅探器應(yīng)該放置在合適的物理位置。通常將嗅探器放置在被攻擊機(jī)器或網(wǎng)絡(luò)附近，這樣它可能捕獲到更多感興趣的信息。另一個(gè)方法就是將其放在網(wǎng)關(guān)上，或者路由器上，從而對(duì)大量的數(shù)據(jù)進(jìn)行監(jiān)控。

4 結(jié)束語(yǔ)

嗅探器往往是攻擊者在侵入系統(tǒng)后用來(lái)收集有用信息的工具，因此防止系統(tǒng)被突破是安全防范的關(guān)鍵。系統(tǒng)安全管理員要定期對(duì)網(wǎng)絡(luò)進(jìn)行安全測(cè)試，及時(shí)安裝系統(tǒng)安全補(bǔ)丁，防患于未然。同時(shí)也要注意，許多嗅探器攻擊往往來(lái)自網(wǎng)絡(luò)內(nèi)部。

參考文獻(xiàn)：

[1]陳偉，顧楊，李晨陽(yáng).無(wú)線釣魚(yú)接入點(diǎn)攻擊與檢測(cè)技術(shù)研究綜述[J].武漢大學(xué)學(xué)報(bào)（理學(xué)版），2014（01）：13-23.

[2]盧艷，李輝.交換式局域網(wǎng)ARP欺騙嗅探技術(shù)研究[J].計(jì)算機(jī)工程與應(yīng)用，2013（01）：94-97+111.

[3]康文崢，余鵬.交換式網(wǎng)絡(luò)嗅探與反嗅探研究[J].數(shù)字技術(shù)與應(yīng)用，2013（03）：70.

[4]訾麗丹.基于嗅探技術(shù)的內(nèi)部網(wǎng)絡(luò)安全研究[J].經(jīng)濟(jì)研究導(dǎo)刊，2013（16）：216-218.

作者簡(jiǎn)介：王芳（1973.11-），女，廣東翁源人，計(jì)算機(jī)教師，計(jì)算機(jī)科學(xué)與技術(shù)專(zhuān)業(yè)本科畢業(yè)，專(zhuān)業(yè)基礎(chǔ)扎實(shí)，教學(xué)經(jīng)驗(yàn)豐富，教學(xué)效果突出，曾擔(dān)任計(jì)算機(jī)專(zhuān)業(yè)組組長(zhǎng)，教務(wù)科副科長(zhǎng)。

作者單位：廣東省工業(yè)高級(jí)技工學(xué)校，廣東韶關(guān) 512023