計(jì)算機(jī)信息安全管理中網(wǎng)絡(luò)嗅探技術(shù)的具體應(yīng)用

朱　江

（廣東凱通軟件開(kāi)發(fā)有限公司，廣東　廣州　501663）

計(jì)算機(jī)信息安全管理中網(wǎng)絡(luò)嗅探技術(shù)的具體應(yīng)用

朱江

（廣東凱通軟件開(kāi)發(fā)有限公司，廣東廣州501663）

在現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，嗅探技術(shù)是計(jì)算機(jī)信息安全應(yīng)用和管理過(guò)程中較為常用的一種技術(shù)手段，不僅可以作為不法分子的侵入工具，還可作為網(wǎng)絡(luò)系統(tǒng)安全管理的重要工具和方法。實(shí)踐中，應(yīng)當(dāng)立足實(shí)際，通過(guò)嗅探技術(shù)和方法的應(yīng)用，對(duì)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)實(shí)時(shí)監(jiān)控，及時(shí)準(zhǔn)確地發(fā)現(xiàn)攻擊行為。文章主要分析了嗅探技術(shù)手段在檢測(cè)、侵入防范過(guò)程中的應(yīng)用，并在此基礎(chǔ)上闡述觀點(diǎn)和認(rèn)識(shí)。

計(jì)算機(jī)；信息；嗅探技術(shù)；安全管理

所謂嗅探技術(shù)，有時(shí)也稱之為監(jiān)聽(tīng)技術(shù)，在現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)中，通常是指利用某種方式進(jìn)行竊聽(tīng)并發(fā)送給本機(jī)的數(shù)據(jù)包動(dòng)態(tài)過(guò)程。從某種意義上來(lái)講，嗅探技術(shù)在計(jì)算機(jī)信息安全管理、黑客防御過(guò)程中，起到了舉足輕重的作用。

1　網(wǎng)絡(luò)嗅探技術(shù)分類及其機(jī)理

從功能的視角考慮，網(wǎng)絡(luò)嗅探器包括兩種類型，一種是利用網(wǎng)絡(luò)設(shè)備，另一種則是專用設(shè)備，這里所講的設(shè)備是指嗅探器。其中，前者支持的協(xié)議呈現(xiàn)出多樣性特點(diǎn)，比如Snifferit；對(duì)于后者而言，通常是針對(duì)特定的技術(shù)軟件、特定功能等進(jìn)行即時(shí)通訊的軟件，比如嗅探器、專門(mén)嗅探密碼的裝置等?；诠ぷ鳝h(huán)境以及工作機(jī)理分析，嗅探技術(shù)包括廣播網(wǎng)、本機(jī)以及交換機(jī)等幾種類型的嗅探等方法。

1.1本機(jī)嗅探技術(shù)

所謂本機(jī)嗅探是指在某臺(tái)計(jì)算機(jī)內(nèi)，嗅探程序通過(guò)某種方式，獲取發(fā)送給其他進(jìn)程的數(shù)據(jù)包的過(guò)程。例如，當(dāng)郵件客戶端在收發(fā)郵件時(shí)，嗅探程序可以竊聽(tīng)到所有的交互過(guò)程和其中傳遞的數(shù)據(jù)。通常情況下，獲得網(wǎng)絡(luò)數(shù)據(jù)包以后，需經(jīng)硬件驅(qū)動(dòng)以及操作協(xié)議棧方可進(jìn)入應(yīng)用程序進(jìn)行處理。實(shí)踐中，若在硬件驅(qū)動(dòng)層、協(xié)議棧層對(duì)數(shù)據(jù)包獲取代碼進(jìn)行編寫(xiě)，可以獲得其他程序運(yùn)行和應(yīng)用實(shí)踐中中的網(wǎng)絡(luò)數(shù)據(jù)和信息。

1.2廣播網(wǎng)嗅探技術(shù)

對(duì)于廣播網(wǎng)而言，通常是在Hub（集線器）局域網(wǎng)絡(luò)應(yīng)用基礎(chǔ)上，利用總線方式獲得的數(shù)據(jù)包在網(wǎng)絡(luò)系統(tǒng)中被發(fā)送至端口位置。廣播網(wǎng)在傳輸信息數(shù)據(jù)過(guò)程中，主要是通過(guò)“共享”，本地網(wǎng)范疇中的計(jì)算機(jī)接收的數(shù)據(jù)包是一樣的?；诖耍蕴W(wǎng)卡作為硬件“過(guò)濾”設(shè)備；該過(guò)濾器嚴(yán)重忽略了與本身沒(méi)有任何關(guān)系的網(wǎng)絡(luò)信息，即忽略了與媒體接入控制（Media Access Control，MAC）地址不符合的相關(guān)信息。廣播網(wǎng)中，全部網(wǎng)卡均會(huì)收到數(shù)據(jù)包；再基于過(guò)濾器過(guò)濾無(wú)關(guān)數(shù)據(jù)包，將本機(jī)網(wǎng)卡設(shè)置成混雜形式，即可使嗅探技術(shù)支持廣播網(wǎng)的嗅探應(yīng)用。

1.3交換機(jī)應(yīng)用放入嗅探技術(shù)

交換機(jī)的工作原理與Hub不同，它不再將數(shù)據(jù)包轉(zhuǎn)發(fā)給所有的端口，而是采用分組交換模式傳輸單至單的信息數(shù)據(jù)。在此過(guò)程中，交換機(jī)能夠?qū)⒏鞫丝贛AC地址準(zhǔn)確地記錄下來(lái)。同時(shí)，結(jié)合數(shù)據(jù)包目的地址對(duì)目的端口進(jìn)行優(yōu)選，通過(guò)對(duì)預(yù)設(shè)地址網(wǎng)卡的把控，可以對(duì)數(shù)據(jù)信息進(jìn)行準(zhǔn)確把握。在交換機(jī)嗅探作用下，尤其是在交換環(huán)境條件中，通過(guò)一定的方式和方法嗅探。對(duì)于交換機(jī)而言，其主要是采用分組交換模式，僅僅將網(wǎng)卡簡(jiǎn)單地設(shè)定成混雜的模式，無(wú)法嗅探出相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包，僅接收本機(jī)的信息數(shù)據(jù)包，采用其他方式進(jìn)行嗅探。

2　計(jì)算機(jī)信息安全管理過(guò)程中的網(wǎng)絡(luò)嗅探技術(shù)應(yīng)用

2.1對(duì)網(wǎng)絡(luò)入侵進(jìn)行嚴(yán)格監(jiān)測(cè)和控制

對(duì)于網(wǎng)絡(luò)入侵檢測(cè)而言，實(shí)際上就是采用模式匹配以及異常分析等方法，全面分析網(wǎng)絡(luò)數(shù)據(jù)包，對(duì)入侵、病毒蠕蟲(chóng)以及攻擊和傳播等違規(guī)事件和行為進(jìn)行嚴(yán)格把控，尤其要對(duì)所采用的軟硬件進(jìn)行監(jiān)控。對(duì)于網(wǎng)絡(luò)入侵檢測(cè)而言，其帶有一定嗅探工具，而且具有專家系統(tǒng)。在檢測(cè)網(wǎng)絡(luò)入侵問(wèn)題時(shí)，應(yīng)當(dāng)將嗅探到的數(shù)據(jù)包進(jìn)行分析。在此過(guò)程中，分析模塊應(yīng)當(dāng)結(jié)合專家?guī)焯卣?、模型等提取有害或者可疑事件，?duì)網(wǎng)絡(luò)系統(tǒng)蠕蟲(chóng)病毒、系統(tǒng)進(jìn)行安全報(bào)警。從實(shí)踐來(lái)看，入侵檢測(cè)與協(xié)議分析設(shè)備基本一致，通常在交換機(jī)鏡像端口之上。

2.2對(duì)網(wǎng)絡(luò)系統(tǒng)運(yùn)行安全進(jìn)行嚴(yán)格審計(jì)

所謂網(wǎng)絡(luò)審計(jì)，實(shí)際上就是利用網(wǎng)絡(luò)嗅探技術(shù)和工具，獲取數(shù)據(jù)包、解碼以后對(duì)其進(jìn)行存儲(chǔ)，目的在于為后期查詢進(jìn)行實(shí)時(shí)報(bào)警。采用嗅探技術(shù)的應(yīng)用，網(wǎng)絡(luò)審計(jì)能夠優(yōu)選實(shí)現(xiàn)上網(wǎng)審計(jì)、違規(guī)數(shù)據(jù)嚴(yán)格監(jiān)控等?；谛崽郊夹g(shù)應(yīng)用的網(wǎng)絡(luò)審計(jì)軟件，其在重點(diǎn)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行運(yùn)行，并對(duì)網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)流合法性進(jìn)行嚴(yán)格的檢查。

2.3對(duì)計(jì)算機(jī)網(wǎng)絡(luò)蠕蟲(chóng)病毒進(jìn)行嚴(yán)格控制

調(diào)查發(fā)現(xiàn)，當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的病毒蠕蟲(chóng)呈現(xiàn)出泛濫狀態(tài)，而且其傳播范圍也不斷地?cái)U(kuò)大，傳播速度加快。在該種情況下，利用嗅探技術(shù)手段控制蠕蟲(chóng)病毒，能夠起到非常好的應(yīng)用效果。第一，利用網(wǎng)絡(luò)嗅探技術(shù)進(jìn)行流量檢測(cè)，可以發(fā)現(xiàn)網(wǎng)絡(luò)流量問(wèn)題，一旦出現(xiàn)異常，可根據(jù)已建異常模型，對(duì)網(wǎng)絡(luò)蠕蟲(chóng)病毒進(jìn)行提前預(yù)知。第二，通過(guò)對(duì)網(wǎng)絡(luò)嗅探協(xié)議進(jìn)行分析，對(duì)蠕蟲(chóng)病毒情況及其發(fā)作與否進(jìn)行全面了解，并且及時(shí)進(jìn)行預(yù)警。第三，通過(guò)利用嗅探技術(shù)，盡早對(duì)蠕蟲(chóng)病毒樣本進(jìn)行獲取，通過(guò)詳細(xì)分析，制定防御、清除措施和應(yīng)對(duì)方案。第四，利用嗅探技術(shù)對(duì)入侵進(jìn)行嚴(yán)格檢測(cè)，以此對(duì)局域網(wǎng)絡(luò)內(nèi)的蠕蟲(chóng)病毒源進(jìn)行確定，及時(shí)對(duì)病毒蠕蟲(chóng)進(jìn)行扼殺。

2.4網(wǎng)絡(luò)布控及其追蹤

結(jié)合當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)犯罪特點(diǎn)和趨勢(shì)，利用嗅探技術(shù)手段對(duì)黑客入侵以及拒絕服務(wù)攻擊等進(jìn)行追蹤，并且協(xié)助執(zhí)法部門(mén)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)犯罪行為、違反者進(jìn)行準(zhǔn)確定位。對(duì)于當(dāng)前的計(jì)算機(jī)網(wǎng)絡(luò)犯罪而言，通常采用的是跳板，通過(guò)中間主機(jī)攻擊或危害計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，從事非法活動(dòng)。值得一提的是，在捕獲不法分子過(guò)程中，上述問(wèn)題帶來(lái)了非常大的技術(shù)障礙；嗅探技術(shù)工具的應(yīng)用，能夠幫助執(zhí)法人員很好地應(yīng)對(duì)該問(wèn)題。在網(wǎng)絡(luò)布控過(guò)程中，其具體操作如下。某犯罪行為是基于中間跳板主機(jī)而發(fā)生的，暫時(shí)對(duì)主機(jī)無(wú)法進(jìn)行明顯操作；而嗅探技術(shù)的應(yīng)用，可以對(duì)其采取24小時(shí)不間斷跟蹤監(jiān)控，只要不法分子對(duì)該主機(jī)進(jìn)行遠(yuǎn)程登錄，則嗅探器即可將該不法分子所在的網(wǎng)絡(luò)協(xié)議（Internet Protocol，IP）地址準(zhǔn)確地定位下來(lái)，這樣既可實(shí)現(xiàn)協(xié)助定位以及實(shí)時(shí)跟蹤監(jiān)控。在此過(guò)程中需要注意以下事項(xiàng)：部分不法分子采用跳板方式侵入網(wǎng)絡(luò)系統(tǒng)，對(duì)此應(yīng)當(dāng)多次進(jìn)行布控，只有這樣才能獲得準(zhǔn)確的IP地址。從本質(zhì)上來(lái)講，網(wǎng)絡(luò)追蹤實(shí)際上就是針對(duì)偽造的某一IP地址攻擊追查法。實(shí)踐中，因網(wǎng)絡(luò)攻擊多采用的是虛假IP地址，尤其是那些規(guī)模較大的拒絕服務(wù)侵入，所以從嗅探技術(shù)應(yīng)用獲取的相關(guān)數(shù)據(jù)信息分析，難以準(zhǔn)確對(duì)攻擊源進(jìn)行判斷。針對(duì)該種情況，需利用移動(dòng)的嗅探技術(shù)和工具，采用溯源方式自終點(diǎn)逐個(gè)進(jìn)行前溯，最后找到攻擊起源。

2.5網(wǎng)絡(luò)取證

從市場(chǎng)調(diào)查現(xiàn)狀來(lái)看，目前國(guó)內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)犯罪率不斷升高，加之傳統(tǒng)犯罪網(wǎng)絡(luò)化趨勢(shì)明顯，而傳統(tǒng)的電話錄音、取證等方法已經(jīng)無(wú)法有效滿足日益變化和發(fā)展要求。在該種情況下，嗅探技術(shù)的應(yīng)用，成為一種有力的取證工具和手段，而且可以有效填補(bǔ)傳統(tǒng)空白。在嗅探技術(shù)應(yīng)用過(guò)程中，網(wǎng)絡(luò)取證工具能夠利用在需取證犯罪行為所需的計(jì)算機(jī)以及網(wǎng)絡(luò)系統(tǒng)之中，并且可以將違法犯罪分子的行為（比如上網(wǎng)記錄、發(fā)的郵件以及QQ聊天信息等）進(jìn)行實(shí)時(shí)跟蹤和調(diào)取信息內(nèi)容進(jìn)行分析，這有利于案件的及時(shí)偵破。

3　結(jié)語(yǔ)

總而言之，國(guó)內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)嗅探技術(shù)應(yīng)用，大大提高了網(wǎng)絡(luò)安全可靠性及其管理效率。然而，目前尚無(wú)那種技術(shù)手段是一勞永逸的，不可能采取某種技術(shù)手段和方法就能永久防止不法入侵。當(dāng)前所應(yīng)用的嗅探技術(shù)，不過(guò)是在不法分子入侵系統(tǒng)以后用以有價(jià)值信息的收集，在計(jì)算機(jī)網(wǎng)絡(luò)安全管理與維護(hù)時(shí)，防止系統(tǒng)被侵入至關(guān)重要；同時(shí)，還要定期檢測(cè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全可靠性，防止出現(xiàn)潛在的風(fēng)險(xiǎn)。實(shí)踐中，為了能夠有效防止或者避免嗅探侵入，建議按時(shí)對(duì)安全報(bào)告、網(wǎng)絡(luò)狀態(tài)進(jìn)行追蹤，一旦發(fā)現(xiàn)異常，則需及時(shí)進(jìn)行介入，以此來(lái)有效減少網(wǎng)絡(luò)危害，最大限度地發(fā)揮嗅探技術(shù)的應(yīng)用作用。

［1］魏強(qiáng).計(jì)算機(jī)網(wǎng)絡(luò)欺騙和嗅探技術(shù)研究［J］.渭南師范學(xué)院學(xué)報(bào)，2014（19）：44-48.

［2］褚宗饒.探究計(jì)算機(jī)技術(shù)如何保障信息安全［J］.電腦知識(shí)與技術(shù)，2015（6）：10-14.

［3］高強(qiáng).探析網(wǎng)絡(luò)嗅探技術(shù)［J］.農(nóng)業(yè)網(wǎng)絡(luò)信息，2012（5）：84-86.

［4］王曉華，程兆敏.通信網(wǎng)絡(luò)嗅探技術(shù)淺析［J］.中國(guó)科技財(cái)富，2012（15）：24-27.

［5］俞淑婷.基于WLAN嗅探攻防的安全技術(shù)研究［D］.天津：天津大學(xué)，2013.

Specific application of network sniffer technology in security management of computer information

Zhu Jiang
（Guangdong KaiTong software development Co.， Ltd.， Guangzhou 501663， China）

In modern computer network system， sniffer technology is a commonly used technical means in the process of application and management of computer information security， which can not only be a lawless intrusion tool， but also an important tools and methods of security management in network system.In the practice， we should take real-time monitoring of the entire computer network system on the basis of reality， through the use and method of sniffer technology， to find the attack timely and accurately. This article mainly analyzes the sniffer technology application in the process of detection， intrusion prevention and on the basis of which， idea and understanding of the sniffer technology are elaborated.

computer； information； sniffer technology； safety management

朱江（1975— ），男，浙江杭州，本科；研究方向：通信技術(shù)。