[摘要]從多個層面分析sniffer的嗅探原理,能攻擊的協(xié)議,可能造成的危害,并介紹對其的防范技術(shù),為研究Sniffer技術(shù)和防范網(wǎng)絡(luò)嗅探,保障網(wǎng)絡(luò)安全提供了技術(shù)支持。

[關(guān)鍵詞]Sniffer 攻擊 Sniffer原理 Sniffer防范

中圖分類號:TP3文獻標(biāo)識碼:A文章編號:1671-7597(2009)0810039-01

一、引言

隨著Internet及電子商務(wù)的日益普及,Internet的安全也越來越受到重視。在Internet安全隱患中扮演重要角色

的是Sniffer。人們談到黑客攻擊,一般所指的都是以主動方式進行的,例如利用漏洞或者猜測系統(tǒng)密碼的方式對系統(tǒng)進行攻擊。但是其實還有一類危害非常大的被動攻擊方式往往為大家所忽視,那就是利用Sniffer進行嗅探攻擊。

二、什么是Sniffer

Sniffer,中文可以翻譯為嗅探器,是一種威脅性極大的被動攻擊工具。使用這種工具,可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。?dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時,便可以使用網(wǎng)絡(luò)監(jiān)聽的方式來進行攻擊。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式,便可以將網(wǎng)上傳輸?shù)脑丛床粩嗟男畔⒔孬@。黑客們常常用它來截獲用戶的口令。據(jù)說某個骨干網(wǎng)絡(luò)的路由器曾經(jīng)被黑客攻人,并嗅探到大量的用戶口令。

三、Sniffer的工作原理

不同傳輸介質(zhì)的網(wǎng)絡(luò)的可監(jiān)聽性是不同的。一般來說,以太網(wǎng)被監(jiān)聽的可能性比較高,因為以太網(wǎng)是一個廣播型的網(wǎng)絡(luò);FDDI Token被監(jiān)聽的可能性也比較高;微波和無線網(wǎng)被監(jiān)聽的可能性同樣比較高,因為無線電本身是一個廣播型的傳輸媒介,彌散在空中的無線電信號可以被很輕易的截獲。一般情況下,大多數(shù)的嗅探器至少能夠分析下面的協(xié)議:

標(biāo)準(zhǔn)以太網(wǎng)、TCP/IP、IPX、DECNET、FDDI Token、微波和無線網(wǎng)。

實際應(yīng)用中的嗅探器分軟、硬兩種。軟件嗅探器便宜易于使用,缺點是往往無法抓取網(wǎng)絡(luò)上所有的傳輸數(shù)據(jù)(比如碎片),也就可能無法全面了解網(wǎng)絡(luò)的故障和運行情況;硬件嗅探器的通常稱為協(xié)議分析儀,它的優(yōu)點恰恰是軟件嗅探器所欠缺的,但是價格昂貴。目前主要使用的嗅探器是軟件的。

嗅探器捕獲真實的網(wǎng)絡(luò)報文。嗅探器通過將其置身于網(wǎng)絡(luò)接口來達(dá)到這個目的--例如將以太網(wǎng)卡設(shè)置成雜收模式。幀通過特定的為網(wǎng)絡(luò)驅(qū)動程序的軟件進行成型,然后通過網(wǎng)卡發(fā)送到網(wǎng)線上。通過網(wǎng)線到達(dá)它們的目的機器,在目的機器的一端執(zhí)行相反的過程。接收端機器的以太網(wǎng)卡捕獲到這些幀,并告訴操作系統(tǒng)幀的到達(dá),然后對其進行存儲。如果某在工作站的網(wǎng)絡(luò)接口處于雜收模式,那么它就可以捕獲網(wǎng)絡(luò)上所有的報文和幀,如果一個工作站被配置成這樣的方式,它(包括其軟件)就是一個嗅探器。這也是嗅探器會造成安全方面的問題的原因。通常使用嗅探器的入侵者,都必須擁有基點用來放置嗅探器。對于外部入侵者來說,能通過入侵外網(wǎng)服務(wù)器、往內(nèi)部工作站發(fā)送木馬等獲得需要,然后放置其嗅探器,而內(nèi)部破壞者就能夠直接獲得嗅探器的放置點,比如使用附加的物理設(shè)備作為嗅探器,除非人為地對網(wǎng)絡(luò)中的每一段網(wǎng)線進行檢測,沒有其他容易方法能夠識別出這種連接,或者使用網(wǎng)絡(luò)拓?fù)溆成涔ぞ呖梢詸z測到額外的IP地址。

嗅探器可能造成的危害: 嗅探器能夠捕獲口令;能夠捕獲專用的或者機密的信息;可以用來危害網(wǎng)絡(luò)鄰居的安全,或者用來獲取更高級別的訪問權(quán)限;分析網(wǎng)絡(luò)結(jié)構(gòu),進行網(wǎng)絡(luò)滲透。

四、Sniffer的防范

雖然發(fā)現(xiàn)一個Sniffer是非常困難的,但是我們?nèi)匀挥修k法抵御Sniff

er的嗅探攻擊。

一種方法是,事先要對這些信息進行加密,黑客即使捕捉到了機密信息,也無法解密,這樣,Sniffer就失去了作用。

黑客主要用Sniffer來捕獲Telnet、FTP、POP3等數(shù)據(jù)包,因為這些協(xié)議以明文在網(wǎng)上傳輸,我們可以使用一種叫做SSH的安全協(xié)議來替代Telnet等容易被Sniffer攻擊的協(xié)議。

SSH又叫Secure Shell,它是一個在應(yīng)用程序中提供安全通信的協(xié)議,建立在客戶/服務(wù)器模型上。SSH服務(wù)器分配的端口是22,連接是通過使用一種來自RSA的算法建立的。在授權(quán)完成后,接下來的通信數(shù)據(jù)用IDEA技術(shù)來加密。這種加密方法通常是比較強的,適合于任何非秘密和非經(jīng)典的通信。

另一種抵御Sniffer攻擊的方法是使用安全的拓?fù)浣Y(jié)構(gòu)。因為Sniffer只對以太網(wǎng)、令牌環(huán)網(wǎng)等網(wǎng)絡(luò)起作用,所以盡量使用交換設(shè)備的網(wǎng)絡(luò)可以從最大程度上防止被Sniffer竊聽到不屬于自己的數(shù)據(jù)包。還有一個原則用于防止Snther的被動攻擊,一個網(wǎng)絡(luò)段僅由能互相信任的計算機組成。注意每臺機器是通過硬連接線接到集線器(Hub)的,集線器再接到交換機上。由于網(wǎng)絡(luò)分段了,數(shù)據(jù)包只能在這個網(wǎng)段上被捕獲,其余的網(wǎng)段將不可能被監(jiān)聽。

所有的問題都?xì)w結(jié)到信任上面。計算機為了和其他計算機進行通信,它就必須信任那臺計算機。如果使得計算機之間的信任關(guān)系很小。這樣,就建立了一種框架,告訴你什么時候放置了一個Sniffer,在哪里,誰放的等等。

如果局域網(wǎng)要和Internet相連,僅僅使用防火墻是不夠的。入侵者已經(jīng)能從一個防火墻后面掃描,并探測正在運行的服務(wù)。應(yīng)該關(guān)心的是一旦入侵者進人系統(tǒng),他能得到些什么。你必須考慮一條這樣的路徑,即信任關(guān)系有多長。

Sniffr往往是在攻擊者侵人系統(tǒng)后使用的,用來收集有用的信息。因此,防止系統(tǒng)被突破很關(guān)鍵。系統(tǒng)安全管理員要定期的對所管理的網(wǎng)絡(luò)進行安全測試,防止安全隱患。同時要控制擁有相當(dāng)權(quán)限的用戶的數(shù)量,因為許多攻擊往往來自網(wǎng)絡(luò)內(nèi)部。

參考文獻:

[1]武新華主編,《狙擊黑客——黑客攻防技術(shù)見招拆招》[M].北京:清華大學(xué)出版社,2008.6.

[2](美)Tom Sheldon主編,《網(wǎng)絡(luò)與通信技術(shù)百科全書》[M].北京:人民郵電出版社,2004.8.

[3]陳兵主編,《電子政務(wù)安全技術(shù)》[M].北京:北京大學(xué)出版社,2005.7.

[4]牛冠杰主編,《網(wǎng)絡(luò)安全技術(shù)實踐與代碼詳解》[M].北京:人民郵電出版社,2007.8.

作者簡介:

王秋菊(1981-),女,漢族,河北廊坊人,助教,在讀工程碩士,主要研究方向:計算機網(wǎng)絡(luò)安全與電子商務(wù)。