網(wǎng)絡(luò)攻擊之嗅探攻擊的原理及仿真實(shí)現(xiàn)

張 蕾

(云南大學(xué)職業(yè)與繼續(xù)教育學(xué)院，云南 昆明 650091)

0 引言

網(wǎng)絡(luò)時(shí)代的到來，無論是個(gè)人敏感信息還是商業(yè)機(jī)密，大多都存儲(chǔ)在了計(jì)算機(jī)網(wǎng)絡(luò)中，這樣就對(duì)網(wǎng)絡(luò)信息存儲(chǔ)安全提出了更高的要求。而嗅探攻擊技術(shù)的使用，可給數(shù)據(jù)的快速獲取提供技術(shù)支持，但是同時(shí)也會(huì)給信息安全造成一定的破壞。因此，應(yīng)全面地了解嗅探攻擊技術(shù)，確保揚(yáng)長(zhǎng)避短，最大化地發(fā)揮出其應(yīng)用價(jià)值，降低對(duì)網(wǎng)絡(luò)信息的破壞。本文就針對(duì)網(wǎng)絡(luò)攻擊之嗅探攻擊的原理及仿真實(shí)現(xiàn)展開具體的分析與討論。

1 網(wǎng)絡(luò)攻擊概念與分類

網(wǎng)絡(luò)安全威脅主要就是指：在網(wǎng)絡(luò)環(huán)境下，分布在各個(gè)主機(jī)上的信息資源受到了安全威脅，存在著一定程度的安全風(fēng)險(xiǎn)，導(dǎo)致信息系統(tǒng)無法正常運(yùn)轉(zhuǎn)。因此，一旦信息系統(tǒng)遭受到網(wǎng)絡(luò)攻擊，相應(yīng)的信息系統(tǒng)就會(huì)出現(xiàn)崩潰甚至癱瘓的狀況，這樣就導(dǎo)致大量的數(shù)據(jù)信息泄露或者丟失。而嗅探攻擊作為一種常見的網(wǎng)絡(luò)攻擊類型，就應(yīng)做好對(duì)其的防范，避免造成更大的經(jīng)濟(jì)損失。而網(wǎng)絡(luò)攻擊一般都具備較強(qiáng)的目的性，其攻擊的目的主要就是為了破壞網(wǎng)絡(luò)中的各項(xiàng)數(shù)據(jù)信息，造成數(shù)據(jù)信息的泄露，甚至破壞整個(gè)系統(tǒng)的運(yùn)行狀況[1]。此外，針對(duì)網(wǎng)絡(luò)攻擊而言，其一般可分為：主動(dòng)攻擊和被動(dòng)攻擊兩種類型。其中，主動(dòng)攻擊可以改變網(wǎng)絡(luò)中信息的狀態(tài)，并且可破壞信息的完整性、保密性和可用性，對(duì)于網(wǎng)絡(luò)的破壞影響較大。欺騙攻擊就是一種常見的額主動(dòng)攻擊類型，其在攻擊網(wǎng)絡(luò)時(shí)主要就是根據(jù)錯(cuò)誤的信息來誤導(dǎo)數(shù)據(jù)的傳輸，進(jìn)而就對(duì)用戶或者資源發(fā)起攻擊。而被動(dòng)攻擊較主動(dòng)攻擊不同的是：其不會(huì)直接攻擊網(wǎng)絡(luò)狀態(tài)或者網(wǎng)絡(luò)信息，故一般只會(huì)破壞網(wǎng)絡(luò)信息的保密性。其中，嗅探攻擊就屬于一種典型的被動(dòng)攻擊類型，其在攻擊時(shí)，只會(huì)復(fù)制網(wǎng)絡(luò)信息，但是并不會(huì)直接改變信息的狀態(tài)。因此，做好網(wǎng)絡(luò)攻擊的防護(hù)工作，對(duì)于有效地保護(hù)網(wǎng)絡(luò)安全是十分必要的[2]。

2 嗅探攻擊的概念及原理

做好嗅探攻擊概念及原理的分析與研究工作，就能在一定程度上有效地幫助我們?nèi)媪私庑崽焦?，確保能夠有效地增強(qiáng)網(wǎng)絡(luò)的邊界，來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)應(yīng)用的合理保護(hù)，確保保障網(wǎng)絡(luò)信息安全。下面，針對(duì)嗅探攻擊的概念及原理展開具體的分析與討論。

2.1 嗅探攻擊的概念

嗅探器是嗅探攻擊技術(shù)常用的一種設(shè)備，其可以實(shí)時(shí)地監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行狀態(tài)，當(dāng)在大量的信息中發(fā)現(xiàn)到可用且有價(jià)值的信息時(shí)，其就開始進(jìn)行竊取。因此，網(wǎng)絡(luò)黑客經(jīng)常將嗅探器作為網(wǎng)絡(luò)攻擊的主要武器，來竊聽網(wǎng)絡(luò)上的數(shù)據(jù)信息。因此，及時(shí)地發(fā)現(xiàn)嗅探攻擊，對(duì)于保護(hù)網(wǎng)絡(luò)信息安全是至關(guān)重要的。其中，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)通信的丟包率較高時(shí)，就可判斷有人監(jiān)聽，這主要是由于數(shù)據(jù)包遭受嗅探器攔截所導(dǎo)致的。此外，當(dāng)發(fā)現(xiàn)寬帶出現(xiàn)異常時(shí)，也能在一定程度上推斷有相應(yīng)的機(jī)器在監(jiān)聽網(wǎng)絡(luò)的運(yùn)行狀態(tài)。因此，就可實(shí)時(shí)地監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行狀態(tài)，確保根據(jù)其運(yùn)行狀況來判斷嗅探器是否存在，以此也就能實(shí)現(xiàn)對(duì)數(shù)據(jù)信息的合理保護(hù)[3]。

2.2 嗅探攻擊的原理

信息的交互需要建立一條信息傳輸?shù)耐ǖ?，通過該通道發(fā)送方將數(shù)據(jù)信息發(fā)送至接收方。而嗅探攻擊的工作原理則與信息傳輸原理大致相同，但是不同的是，信息不僅由發(fā)送方傳至接收方，而且還會(huì)沿著終端至黑客終端的路徑進(jìn)行傳輸，且終端至黑客終端的發(fā)送對(duì)于發(fā)送方和接收方而言都是完全透明的。其中，集線器作為一種廣播設(shè)備，當(dāng)其從某個(gè)端口接收到MAC幀以后，不僅要接收MAC幀的端口，而且還需要將MAC幀傳輸至其他端口。因此，當(dāng)集線器接收到MAC幀后，就會(huì)沿著路由器至黑客這條路徑將MAC幀輸出，這樣就極易造成數(shù)據(jù)的泄露，以此也就達(dá)到了網(wǎng)絡(luò)嗅探的目的。其中，當(dāng)網(wǎng)絡(luò)遭受到嗅探攻擊之后，數(shù)據(jù)信息就會(huì)遭到泄露，此時(shí)黑客就可實(shí)現(xiàn)對(duì)信息的惡意篡改。當(dāng)黑客持續(xù)收取到信息后，其就會(huì)將信息發(fā)送到目的終端，或者加強(qiáng)信息發(fā)送的頻次，以此來增強(qiáng)對(duì)網(wǎng)絡(luò)攻擊的次數(shù)，這樣就會(huì)給整個(gè)網(wǎng)絡(luò)系統(tǒng)造成更大的損害[4]。

3 網(wǎng)絡(luò)攻擊之嗅探攻擊的仿真實(shí)現(xiàn)

3.1 仿真過程

交換機(jī)將終端A與終端B連接在了一起，而交換機(jī)又與路由器相連。這樣當(dāng)終端A通過交換機(jī)向終端B發(fā)送MAC幀后，其必須通過路由器才能實(shí)現(xiàn)數(shù)據(jù)的互通和共享。倘若黑客想要通過嗅探攻擊來竊取系統(tǒng)中的信息時(shí)，就可在路由器和交換機(jī)之間插入相應(yīng)的集線器，并將集線器連接至黑客的一端，這樣黑客一端就能實(shí)現(xiàn)對(duì)數(shù)據(jù)信息的收集[5]。

3.2 仿真實(shí)驗(yàn)步驟

在進(jìn)行具體的嗅探攻擊仿真實(shí)驗(yàn)時(shí)，應(yīng)首先采用直通線將終端A與終端B連接起來，并連接至交換機(jī)和相對(duì)應(yīng)的端口上，進(jìn)而再將交換機(jī)與路由器進(jìn)行相連。其中，在終端A上應(yīng)進(jìn)行IP地址網(wǎng)絡(luò)信息的配置，并輸入正確的子網(wǎng)掩碼。對(duì)于終端B，同樣地也應(yīng)在相應(yīng)的配置窗口中，設(shè)置相對(duì)應(yīng)的IP地址，以此就能實(shí)現(xiàn)終端A與終端B信息的互通，確保兩者之間可以實(shí)現(xiàn)數(shù)據(jù)的交互。此外，在路由器上還應(yīng)設(shè)置相對(duì)應(yīng)的接口，使其IP地址與終端A和終端B默認(rèn)的網(wǎng)關(guān)地址相同。當(dāng)終端A與終端B完成路由器接口的配置后，就應(yīng)選擇相應(yīng)的報(bào)文工具，來檢測(cè)終端A與終端B的互通性，確保兩者之間能夠?qū)崿F(xiàn)數(shù)據(jù)的傳輸與共享。為了模擬嗅探攻擊的場(chǎng)景，還應(yīng)在原有的架構(gòu)圖中增加集線器和黑客終端兩種設(shè)備，并將其設(shè)置到對(duì)應(yīng)的集線器上。此外，應(yīng)注意的是：應(yīng)將過濾窗口的報(bào)文類型設(shè)置為ICMP，這樣就能保證所添加的集線器和黑客終端對(duì)于終端A和終端B是透明的。通過以上操作，就能有效地模擬嗅探攻擊，這對(duì)我們有效地防范網(wǎng)絡(luò)攻擊是十分必要的[6]。

4 網(wǎng)絡(luò)嗅探攻擊的主要應(yīng)對(duì)措施

4.1 劃分子網(wǎng)

針對(duì)當(dāng)前所使用的網(wǎng)絡(luò)嗅探攻擊技術(shù)而言，其大多都是在一個(gè)子網(wǎng)下面來完成網(wǎng)絡(luò)嗅探的分析工作，這樣就給嗅探攻擊工作的展開造成了一定的難度。其中，對(duì)于在不同子網(wǎng)中工作的主機(jī)而言，其所存在的IP地址不同，故就要對(duì)其進(jìn)行相應(yīng)的前綴匹配等操作，不能直接運(yùn)用MAC廣播幀的方式來實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)與傳遞，否則就無法實(shí)現(xiàn)數(shù)據(jù)的共通。因此，針對(duì)網(wǎng)絡(luò)嗅探攻擊，首先就應(yīng)做好子網(wǎng)的劃分，確保將內(nèi)部的組織網(wǎng)絡(luò)合理的劃分，以此才能有效地避免嗅探攻擊事件的發(fā)生，才能有效地保障網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運(yùn)行[7]。

4.2 加大網(wǎng)絡(luò)流量的監(jiān)控力度

在嗅探攻擊模式下，終端A可將數(shù)據(jù)傳至黑客端，并且嗅探器可以監(jiān)視到系統(tǒng)流量以及數(shù)據(jù)的使用情況，對(duì)于所要捕獲的數(shù)據(jù)可以做到隨時(shí)獲取，這樣就大大增大了數(shù)據(jù)存儲(chǔ)以及轉(zhuǎn)發(fā)的危險(xiǎn)性。因此，為了實(shí)現(xiàn)對(duì)數(shù)據(jù)信息的合理保護(hù)，就應(yīng)加大對(duì)網(wǎng)絡(luò)流量的監(jiān)控力度，一旦發(fā)現(xiàn)網(wǎng)絡(luò)流量存在異常情況，應(yīng)及時(shí)查明原因，判斷其是否由嗅探攻擊引起。此外，嗅探器還會(huì)接收來自同一網(wǎng)絡(luò)的所有數(shù)據(jù)幀，這樣就導(dǎo)致其會(huì)占用大量的寬帶。因此，在檢測(cè)網(wǎng)絡(luò)系統(tǒng)是否出現(xiàn)異常時(shí)，就可根據(jù)網(wǎng)絡(luò)流量的大小來衡量其是否存在嗅探器，一旦發(fā)現(xiàn)應(yīng)立即采取相應(yīng)的防范措施，避免遭受更大的損失。

4.3 數(shù)據(jù)加密

數(shù)據(jù)加密也是應(yīng)對(duì)嗅探攻擊的一種主要方式，通過增加數(shù)據(jù)的保密性，就能減少數(shù)據(jù)被泄露以及被竊取的風(fēng)險(xiǎn)。其中，針對(duì)網(wǎng)絡(luò)協(xié)議而言，其最初的設(shè)計(jì)是為了增強(qiáng)數(shù)據(jù)包傳遞的方便性和快捷性，但是對(duì)于數(shù)據(jù)傳遞的安全性卻有所忽略，這樣就導(dǎo)致在網(wǎng)絡(luò)中傳遞的大部分?jǐn)?shù)據(jù)包都是以明文的形式存在的，以此也就增大了其遭受泄露的風(fēng)險(xiǎn)。因此，為了避免數(shù)據(jù)包在傳遞時(shí)出現(xiàn)泄露，在數(shù)據(jù)傳輸之前，就應(yīng)采取加密操作，這樣嗅探器就無法獲取到數(shù)據(jù)包中用戶的信息，以此也就達(dá)到了保障用戶信息安全的目的。

4.4 “誘騙—暴露”策略

嗅探器在進(jìn)行數(shù)據(jù)嗅探時(shí)，首先會(huì)將自己的網(wǎng)卡模式設(shè)置為“混雜模式”，這樣嗅探器就能在一定程度上接收到來自同一網(wǎng)段上的所有MAC幀，進(jìn)而接收這些MAC幀，并從中提取各個(gè)協(xié)議段中的數(shù)據(jù)，以此也就完成了數(shù)據(jù)的嗅探功能?；诖朔N背景下，就可采用“誘騙-暴露”策略來實(shí)現(xiàn)對(duì)嗅探攻擊的應(yīng)對(duì)。其中，對(duì)于嗅探器而言，其只會(huì)接收所有的MAC數(shù)據(jù)幀，但是對(duì)于MAC幀是否真實(shí)的存在于子網(wǎng)中，卻毫不知情，這樣就給嗅探攻擊的防范提供了契機(jī)。因此，就可在子網(wǎng)中發(fā)送一個(gè)IP地址正確，但是MAC地址錯(cuò)誤的數(shù)據(jù)幀，這樣就能有效地檢測(cè)出子網(wǎng)中是否真正的存在嗅探器。倘若在檢測(cè)的過程中，并未發(fā)現(xiàn)存在嗅探器，則就表明所傳遞過來的數(shù)據(jù)幀并不會(huì)被任何主機(jī)所接收，相應(yīng)的也不會(huì)收到任何的回應(yīng)報(bào)文。倘若在子網(wǎng)中檢測(cè)到了嗅探器，則就意味著數(shù)據(jù)幀已被捕捉到，此時(shí)就可表明存在嗅探器[8]。

5 結(jié)語

不斷地研究與分析網(wǎng)絡(luò)攻擊之嗅探攻擊的原理及仿真實(shí)現(xiàn)，對(duì)于有效地保障網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行，保護(hù)用戶的個(gè)人隱私不受侵害以及防范網(wǎng)絡(luò)嗅探攻擊，避免造成更大的經(jīng)濟(jì)損失都有至關(guān)重要的作用。因此，我們應(yīng)首先認(rèn)識(shí)與了解網(wǎng)絡(luò)攻擊概念與分類和嗅探攻擊的概念及原理，進(jìn)而對(duì)網(wǎng)絡(luò)攻擊之嗅探攻擊進(jìn)行仿真實(shí)現(xiàn)，以此來從劃分子網(wǎng)、加大網(wǎng)絡(luò)流量的監(jiān)控力度、數(shù)據(jù)加密以及“誘騙-暴露”策略4個(gè)方面來有效的應(yīng)對(duì)嗅探攻擊，確保保障數(shù)據(jù)信息安全，編織更為安全的網(wǎng)絡(luò)邊界防護(hù)網(wǎng)，以此就能有效地降低外來攻擊對(duì)網(wǎng)絡(luò)信息系統(tǒng)的侵害。