- 相關推薦
淺論校園網絡中存在嗅探器的解決方案
[論文關鍵詞]嗅探器 信息安全校園網
[論文摘要]將簡單討論網絡嗅探原理以及校園網中為防范網絡嗅探所采取的措施。同時為了確保網絡的可用性和安全性?以及不必要的恐慌?系統人員應該悉部分探測工具的使用和其局限性?并在碰到相關問題時能采取正確的應對。
一、引言
雖然IPv6相對IPv4在數據安全上做了很多修改?且逐漸成為互聯網發展的必然趨勢。但在很長時間內,IPv4仍將存在,即使一些網絡已升級到IPv6,升級系統也將保持與IPv4系統的互操作能力。在現在的過渡階段網絡中傳輸的數據包不再是單純的IPv4包,也不是單獨的IPv6包,而存在I Pv4、I Pv6以及各種格式的過渡策略數據包?但是主干網仍支持IPv4。可是在IPv4中,還存在很大的安全隱患,像信息的截獲就是一個很大的問題,這就導致了丟包的發生。對于信息截獲導致丟包的解決方法在下面將進行簡單論述。
二、網絡信息蠢獲的原理
在目前的大多數局域網中,信息在網絡中是以廣播形式發送的,以太網卡收到報文后,通過對目的地址進行檢查,來判斷是否是傳遞給自己的,如果是,則把報文傳遞給操作系統。否則,將報文丟棄不進行處理。網絡信號截獲其目標是在盡可能不影響網絡系統正常通訊的情況下,對網上數據進行偵聽截獲通過把部分數據包存入數據庫并進行有針對性的分析,及時發現有用信息或惡意攻擊和安全隱患,從而達到獲取信息和保障網絡安全的目的。當信息經過網絡時,嗅探器就將其截獲并將其感興趣的信息載入數據庫進行分析處理。在以廣播形式發送的網絡中,只需對其中任意一臺的網卡驅動程序進行改造(安裝嗅探器),任何兩個節點之間的數據包,不僅為這兩個節點的網卡所接收,同時也為處在同一沖突域上的任何一個節點的網卡所截取。因此,只要對接入以太網上的任一節點進行偵聽,就可以捕獲發生在這個沖突域上的所有數據包,對其進行解包分析,從而截取關鍵信息。
三、嗅探原理
以太網中是基于廣播方式傳送數據的,所有的信號都會被傳送到每一個主機節點,此外,網卡可以被設置成混雜接收模式,在該模式下,無論數據幀的目的地址如何,網卡都能夠予以接收。嗅探器的軟件實現方式網卡設置成混雜模式,所有數據幀都會被網卡驅動程序上傳給網絡層。分組數據到了網絡層后,網絡層處理程序還要對其目的I P地址進行判斷,如果是本地I P,則上傳給傳輸層處理(傳輸層再根據目的端口號來決定由哪個上層應用處理數據報文)?否則丟棄。如果沒有特定的機制,即便網卡設置成了混雜模式,上層應用也無法抓到本不屬于自己的數據包。這就需要一個直接與網卡驅動程序接口的驅動模塊?通過該模塊網卡上傳的數據幀就有了兩個去處,一個是正常的協議棧,另一個就是分組捕獲及過濾模塊,對于非本地的數據包,前者會丟棄,后者會根據上層應用要求來決定上傳還是丟棄。
四、嗅探囂的安全防范機制
證明網絡有嗅探器有兩條經驗,一是網絡帶寬出現反常。通過某些帶寬監控軟件或者設備,比如MRTG、pbwmeter等。可以實時看到目前網絡帶寬的分布情況,如果某個端口長時間的占用了較大的帶寬,這臺機器就有可能在監聽。二是網絡通訊丟包率非常高。通過一些網絡軟件,可以看到信息包傳送情況?最簡單的就是ping命令,它會告訴你現在網絡的掉包情況。如果網絡中有人在Li st en,那么信息包傳送將無法每次都順暢的流到目的地。(這是由于sni ff er攔截每個包導致的)。如果你的網絡結構正常,而又有10%以上的包無法正常達到目的地,這就有可能是由于嗅探器攔截包導致的。三是可以查看上當前正在運行的所有程序。在Unix系統下使用下面的命令:ps—aux或:ps—augx。這個命令列出當前的所有進程,啟動這些進程的用戶,它們占用CPU的時間,占用內存的多少等等。Windows系統下,按下Ctr l+Alt+Del,看一下任務列表。不過,編程技巧高的SnifferHP使正在運行,也不會出現在這里的。還有許多工具,能用來看看你的系統會不會在雜收模式。從而發現是否有一個Sniffer正在運行。
因為嗅探器需要將網絡中入侵的網卡設置為混雜模式才能工作,所以檢測嗅探器可以采用檢測混雜模式網卡的工具?比如Ant isniff等工具。
當系統在混雜模式下,系統會對某些特定類型的數據包回應,對其它的數據包則置之不理。在Antisniff進行操作系統詳細測試時,Antisniff會通過廣播或非廣播方式發送一個并不存在的Ether地址,并對系統回應進行監聽。Antisniff發送虛假地址的請求ICMP回應數據幀,如果系統在混雜模式下則會對該數據幀進行應答,否則放棄。
對于不同的操作系統,計算機采用的檢測工具也不盡相同。大多數LI NUX、UNI X操作系統都可以使用ifconf i g。利用ifconfig網絡人員可以知道網卡是否工作在混雜模式下。但是因為安裝未被授權的sniffer時,特洛伊木馬程序也有可能被同時安裝,因而ifconf ig的輸出結果就可能完全不可信。
大多數版本的UNI X都可以使用lsof來檢測嗅探器的存在。lsof的最初的設計目的并非為了防止嗅探器入侵?但因為在被入侵的系統中,嗅探器會打開其輸出文件,并不斷傳送信息給該文件?這樣該文件的內容就會越來越大?因而lsof就有了用武之地。如果利用lsof發現有文件的內容不斷的增大,我們就有理由懷疑系統被人裝了嗅探器。因為大多數嗅探器都會把截獲的’TCP/IP”數據寫入自己的輸出文件中,因而系統管理人員可以把lsof的結果輸出至grep來減少系統被破壞的可能性。
完全主動的解決方案很難找到,我們可以采用一些被動的防御措施。
安全的拓撲結構,嗅探器只能在當前網絡段上進行數據捕獲。這就意味著,將網絡分段工作進行得越細,嗅探器能夠收集的信息就越少。有三種網絡設備是嗅探器不可能跨過的,交換機、路由器、網橋。我們可以通過靈活的運用這些設備來進行網絡分段。比如對網絡進行分段,比如在交換機上設置VLAN,使得網絡隔離不必要的數據傳送。
會話加密,會話加密提供了另外一種解決方案。不用特別地擔心數據被嗅探,而是要想辦法使得嗅探器不認識嗅探到的數據。這種方法的優點是明顯的?即使攻擊者嗅探到了數據,這些數據對他也是沒有用的。在加密時有兩個主要的問題?一個是技術問題,一個是人為問題。技術是指加密能力是否高。例如,32位的加密就可能不夠,而且并不是所有的應用程序都集成了加密支持。而且?跨平臺的加密方案還不多,一般只在一些特殊的應用之中才有。人為問題是指有些用戶可能不喜歡加密,他們覺得這太麻煩。用戶可能開始會使用加密,但他們很少能夠堅持下。總之我們必須尋找一種友好的媒介使用支持強大這樣的應用程序,還要具有一定的用戶友好性。使用secur e shell、secure copy或者IPv6協議都可以使得信息安全的傳輸。傳統的網絡服務程序,SMTP、HTTP、FTP、POP3和Tel net等在本質上都是不安全的?因為它們在網絡上用明文傳送口令和數據,嗅探器非常容易就可以截獲這些口令和。SSH的英文全稱是Secur e Shell。通過使用SSH,你可以把所有傳輸的進行加密,這樣通過中間服務器的攻擊方式就不可能實現了,而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸的數據是經過壓縮的,所以可以加快傳輸的速度。
用靜態的ARP或者IP—MAc對應表代替動態的APR或者I P—MAC對應表。該措施主要是進行滲透嗅探的防范,采用諸如ARP欺騙手段能夠讓入侵者在交換網絡中順利完成嗅探。網絡員需要對各種欺騙手段進行深入了解,比如嗅探中通常使用的ARP欺騙,主要是通過欺騙進行ARP動態緩存表的修改。在重要的主機或者工作站上設置靜態的ARP對應表,比如WINDOWS2003系統使用a r p命令設置,在交換機上設置靜態的I P一M AC對應表等,防止利用欺騙手段進行嗅探的手法。
系統管理人員還應該堅決阻止系統內核的重新載入。為了把嗅探器隱藏在服務級,惡意攻擊者可能更改內核的代碼內容并重新載入該內核。系統管理人員應該生成靜態的系統內核,并禁止核心相關模塊的重新的卸載和載入。
除了以上五點另外還要重視關鍵區域的安全防范。這里說的關鍵區域,主要是針對嗅探器的放置位置而言。入侵者要讓嗅探器發揮較大功效,通常會把嗅探器放置在數據交匯集中區域,比如網關、交換機、路由器等附近,以便能夠捕獲更多的數據。因此,對于這些區域就應該加強防范,防止在這些區域存在嗅探器。
五、結束語
通過以上的策略,使得內部網絡中通過嗅探器進行截獲信息的網絡包減少了,使得網絡丟包率也得到降低,雖然不能完全解決信息安全問題,但是使網絡的安全性有了提高。
嗅探器技術并非尖端科技,也不要求太多底層的知識,只能說是安全領域的簡單技術。基本上我們的所有網管軟件都使用了嗅探器技術,只是許多軟件供應商對其一直諱莫如深。但迄今并沒有一個切實可行的方法能夠一勞永逸的阻止嗅探器的安裝或其他設備對系統的侵害。作為一種工具,網絡嗅探技術扮演著正反兩方面的角色。對于攻擊者來說,最喜歡的莫過于得到用戶的賬號和口令信息,通過網絡監聽可以很容易地獲得這些關鍵信息。而對于入侵檢測和追蹤者來說,網絡嗅探技術又能夠在與攻擊者的斗爭中發揮重要的作用。鑒于目前的網絡安全現狀,我們應該進一步挖掘網絡監聽技術的細節,只有從技術基礎上掌握先機,才能在與入侵者的斗爭中取得勝利。
【淺論校園網絡中存在嗅探器的解決方案】相關文章:
淺論經濟責任審計中存在的問題及對策03-02
淺論當前軟件抗衰技術中存在的幾點問題03-22
淺探大學生網絡社團存在的問題與對策03-20
淺論網絡營銷中的顧客讓渡價值03-22
淺探在項目工程施工現場管理中存在的問題03-28
憶阻器在神經網絡中的應用12-09
變頻器運行過程中存在的問題及其對策03-18
淺論舞蹈在校園文化中的發展的論文12-11
淺論網絡教育資源在英語主動性學習中的應用03-19