局域網(wǎng)中網(wǎng)絡(luò)監(jiān)聽與防范技術(shù)

張輝 郭杜娟 張洪軍

摘要：本文主要針對局域網(wǎng)中常用的網(wǎng)絡(luò)監(jiān)聽等技術(shù)的實(shí)現(xiàn)方法和防范措施進(jìn)行了詳細(xì)的研究與分析，分析表明不同局域網(wǎng)應(yīng)用范圍和使用環(huán)境下應(yīng)該采用不同的安全控制策略和相應(yīng)的技術(shù)，提出了一系列的安全控制策略，列舉了一些常見的局域網(wǎng)攻擊方法，并總結(jié)了對應(yīng)的防范措施。

關(guān)鍵詞：局域網(wǎng);網(wǎng)絡(luò)監(jiān)聽;防范措施

前言

計(jì)算機(jī)局域網(wǎng)的應(yīng)用在現(xiàn)代社會各行各業(yè)中起著舉足輕重作用。目前比較常見的局域網(wǎng)攻擊類型有DoS攻擊、ARP攻擊、網(wǎng)絡(luò)監(jiān)聽等等，為了確保所有組網(wǎng)部件能根據(jù)需求提供必要的功能且只有授權(quán)者可以訪問網(wǎng)絡(luò)，并且應(yīng)能保證其信息完整、準(zhǔn)確地傳播，必須對大多數(shù)常見的局域網(wǎng)攻擊的原理以及步驟有所了解，并對應(yīng)的掌握一定的防范的方法。

1.局域網(wǎng)中網(wǎng)絡(luò)監(jiān)聽與防范技術(shù)

網(wǎng)絡(luò)監(jiān)聽技術(shù)是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其它計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。網(wǎng)絡(luò)監(jiān)聽器（sniffer）原來是提供給網(wǎng)絡(luò)管理員的一類管理工具，使用這組工具可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳出的消息，并利用這些消息來排除網(wǎng)絡(luò)故障。

1.1網(wǎng)絡(luò)監(jiān)聽的實(shí)現(xiàn)

按傳輸技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)可以分為兩種：點(diǎn)到點(diǎn)網(wǎng)絡(luò)和廣播式網(wǎng)絡(luò)。局域網(wǎng)下目前以廣播式的共享網(wǎng)絡(luò)居多，由于局域網(wǎng)下的數(shù)據(jù)傳輸主要是在數(shù)據(jù)鏈路層進(jìn)行的，因此監(jiān)聽也集中在這一層實(shí)現(xiàn)。

1.1.1共享式局域網(wǎng)監(jiān)聽

共享式局域網(wǎng)采用的是廣播信道，每一臺主機(jī)都共享一條網(wǎng)絡(luò)總線，這意味著所有的主機(jī)都可以接收到總線上的數(shù)據(jù)包。但我們實(shí)際情況是每個(gè)主機(jī)只接受發(fā)給它的數(shù)據(jù)包，丟棄不屬于自己的數(shù)據(jù)包，這是通過每臺主機(jī)網(wǎng)卡上唯一的MAC?地址實(shí)現(xiàn)的。只有當(dāng)數(shù)據(jù)包中目的地址與自己的MAC地址相同，主機(jī)才接收該數(shù)據(jù)包，否則不接受該數(shù)據(jù)包。

1.1.2交換式局域網(wǎng)的監(jiān)聽

標(biāo)準(zhǔn)的交換式網(wǎng)絡(luò)是基于數(shù)據(jù)鏈路層的點(diǎn)到點(diǎn)信道，在交換式局域網(wǎng)中可以通過以下3種方法達(dá)到監(jiān)聽的目的。

（1）MAC?洪水（MAC?Flooding）：交換機(jī)要負(fù)責(zé)建立兩個(gè)節(jié)點(diǎn)之間的“虛電路”，就必須維護(hù)一張交換機(jī)端口與MAC地址的映射表。

（2）MAC?復(fù)制（MAC?Duplicating）：由于很多網(wǎng)卡允許修改內(nèi)部的MAC?地址，所以可以利用這一點(diǎn)修改本地的MAC?地址，使它和被監(jiān)聽主機(jī)的MAC?地址相同，這樣，交換機(jī)就會發(fā)現(xiàn)，有兩個(gè)端口對應(yīng)相同的MAC?地址，于是到該MAC?地址的數(shù)據(jù)包將同時(shí)從這兩個(gè)交換機(jī)端口發(fā)送出去。

（3）ARP?欺騙（ARP?Spoofing）：ARP?欺騙能夠?qū)崿F(xiàn)的主要原因是ARP?協(xié)議在早期設(shè)計(jì)上的缺陷造成的。

下面舉例詳細(xì)說明ARP?欺騙的過程。假設(shè)在局域網(wǎng)中有3臺主機(jī)通過交換機(jī)相連，正常情況下，主機(jī)B?是收不到主機(jī)A?與主機(jī)C?之間的通信報(bào)文的，如果主機(jī)B要監(jiān)聽主機(jī)A?與主機(jī)C?的通信報(bào)文，那么主機(jī)B?就要分別向主機(jī)A?和主機(jī)C?發(fā)送假冒的ARP?應(yīng)答包。對于主機(jī)B?發(fā)往主機(jī)A?的應(yīng)答包中IP?地址與MAC?地址的對應(yīng)關(guān)系是：主機(jī)C?的IP?地址：192.168.100.3對應(yīng)主機(jī)B?的MAC?地址：00-51-24-35-33-02，這樣在主機(jī)A?收到應(yīng)答包后會刷新自己本地的ARP?表。這樣當(dāng)主機(jī)A?要發(fā)往主機(jī)C?的報(bào)文實(shí)際上已發(fā)給了主機(jī)B，因?yàn)閿?shù)據(jù)包是根據(jù)MAC?地址發(fā)送的而不是根據(jù)IP?地址發(fā)送的。同樣對于主機(jī)B?發(fā)往主機(jī)C?的應(yīng)答包中IP?地址與MAC?地址的對應(yīng)關(guān)系是：主機(jī)A?的IP?地址：192.168.100.1對應(yīng)主機(jī)B?的MAC地址：00-51-24-35-33-02。這樣就可監(jiān)聽主機(jī)A?與主機(jī)C?之間的所有報(bào)文了，這里，主機(jī)B相當(dāng)于充當(dāng)了一個(gè)中間人的角色，因此這種監(jiān)聽方法被稱為“Man-In-The-Middle?”方法。

1.2網(wǎng)絡(luò)監(jiān)聽的防范

針對網(wǎng)絡(luò)監(jiān)聽的防范主要有兩方面組成：被動防范與主動檢測。被動防范是指從網(wǎng)絡(luò)自身的完整性出發(fā)，加強(qiáng)相關(guān)的防范措施，將網(wǎng)絡(luò)監(jiān)聽所能利用的漏洞降至最低，不給網(wǎng)絡(luò)監(jiān)聽任何機(jī)會。主動檢測是指主動出擊把局域網(wǎng)中的監(jiān)聽主

機(jī)挖掘出來，并對監(jiān)聽主機(jī)進(jìn)行定位，最大可能的防止信息的泄漏。

1.2.1被動防范

被動防范常用的方法主要有以下幾種：

（1）分割網(wǎng)段：細(xì)化網(wǎng)絡(luò)會使得局域網(wǎng)中被監(jiān)聽的可能性減小，這是因?yàn)榫钟蚓W(wǎng)下的各種監(jiān)聽方法無法跨網(wǎng)段進(jìn)行，使用交換機(jī)、網(wǎng)橋等設(shè)備就可以有效地阻止被竊聽。

（2）使用靜態(tài)ARP?表：靜態(tài)ARP?表采用手工輸入的方法，在連網(wǎng)的過程中不處理ARP?響應(yīng)包，不對ARP表做任何修改。

（3）數(shù)據(jù)加密這種方法的初衷就是即使監(jiān)聽者可以監(jiān)聽到信息，也無法閱讀信息。有很多加密技術(shù)，?PGP（Pretty?Good?Privacy）?and?S/MIME?（Secure?MIME）：是用于E-mail?信息加密的兩種技術(shù)。

SSh（Secure?Shell）：目前已經(jīng)替代Telnet成為遠(yuǎn)程登錄Unix系統(tǒng)的標(biāo)準(zhǔn)程序，而且其它很多協(xié)議也可以通過SSh?進(jìn)行隧道傳輸。

VPN（Virtual?Private?Networks）：可以在Internet?上提供一條加密通道，但是如果黑客連接到VPN?網(wǎng)絡(luò)的某個(gè)終端結(jié)點(diǎn)，他仍然可以竊聽到網(wǎng)絡(luò)數(shù)據(jù)。

1.2.2主動檢測

（1）MAC檢測：網(wǎng)卡處于混雜模式時(shí)，它會將所有接收到的數(shù)據(jù)都向內(nèi)核協(xié)議棧提交，而很多操作系統(tǒng)內(nèi)核的協(xié)議棧并不對底層提交的數(shù)據(jù)幀的目的MAC地址進(jìn)行檢查，或者只進(jìn)行簡單的檢查。

（2）DNS?檢測：許多竊聽程序?qū)λ牭絀P?地址會自動發(fā)一些反向DNS?請求，因此可以通過觀察DNS?相關(guān)數(shù)據(jù)包探測到監(jiān)聽。你可以對一個(gè)根本不存在的IP?地址發(fā)Ping?命令，只有監(jiān)聽程序聽到此數(shù)據(jù)包后會對該地址發(fā)反向的DNS?請求，通過這樣的方法，我們也可以簡單地進(jìn)行探測。

（3）負(fù)載檢測：直接的選擇是使用ICMP?應(yīng)答請求，然而許多操作系統(tǒng)的TCP/IP?協(xié)議?？偸菍CMP?包盡快處理：一接收到ICMP?應(yīng)答請求包，系統(tǒng)就立即進(jìn)行應(yīng)答。

與局域網(wǎng)類似，廣域網(wǎng)下同樣存在著諸如IP?欺騙、DNS?欺騙、路由欺騙等網(wǎng)絡(luò)監(jiān)聽的手段，也應(yīng)加強(qiáng)對這一方面防范措施的研究工作，使攻擊者無機(jī)可乘。

參考文獻(xiàn)：

[1]周明全、呂林濤、李軍懷網(wǎng)絡(luò)信息安全技術(shù)，西安電子科技大學(xué)出版社，2008年

[2]周良洪，信息網(wǎng)絡(luò)安全概論，群眾出版社，2005年3月

[3]荊繼武，信息安全技術(shù)教程，中國人民公安大學(xué)出版社，2007年

[4]龐南，信息安全管理教程，中國人民公安大學(xué)出版社，2007年