王 率

（武昌職業(yè)學(xué)院 湖北 430202）

0 引言

網(wǎng)絡(luò)欺騙就是黑客使目標(biāo)主機(jī)用戶相信信息資源存在有價值，當(dāng)然這些資源是偽造的，將用戶引向帶有病毒或惡意代碼的資源，實施網(wǎng)絡(luò)欺騙可顯著提高入侵的成功率。欺騙能夠成功的關(guān)鍵是在受攻擊者和其他web服務(wù)器之間，建立起攻擊者的web服務(wù)器，這種攻擊方法在安全問題中被稱為“來自中間的攻擊”[1]。要想網(wǎng)絡(luò)欺騙攻擊成功，就必須建立起中間web服務(wù)器，黑客經(jīng)常通過改變URL鏈接地址、填寫表單等方法建立中間Web服務(wù)器，從而實現(xiàn)網(wǎng)絡(luò)欺騙。

1 網(wǎng)絡(luò)欺騙的原理及作用

網(wǎng)絡(luò)欺騙就是使入侵者相信系統(tǒng)存在有價值的、可利用的安全弱點，并具有一些可攻擊竊取的資源，并將入侵者引向這些錯誤的資源。它能夠顯著地增加人侵者的工作量、入侵復(fù)雜度以及不確定性，從而使入侵者不知道其進(jìn)攻是否奏效或成功。而且它允許防護(hù)者跟蹤入侵者的行為，在入侵者之前修補(bǔ)系統(tǒng)可能存在的安全漏洞。

從原理上講，每個有價值的網(wǎng)絡(luò)系統(tǒng)都存在著安全弱點，而且這些弱點都可能被攻擊者所利用。網(wǎng)絡(luò)欺騙主要有以下3個作用：①影響攻擊者，使之按照防護(hù)者的意志進(jìn)行選擇。②迅速地檢測到攻擊者的進(jìn)攻并獲知其進(jìn)攻技術(shù)和意圖。③消耗攻擊者的資源。網(wǎng)絡(luò)欺騙一般通過隱藏和偽裝等技術(shù)手段實現(xiàn)，前者包括隱藏服務(wù)、多路徑和維護(hù)安全狀態(tài)信息機(jī)密性，后者包括重定向路由、偽造假信息和設(shè)置圈套等。

2 防范網(wǎng)絡(luò)欺騙的手段

對于源IP地址欺騙行為，可以采取以下措施來盡可能的保護(hù)系統(tǒng)免受這類攻擊：

(1)拋棄基于地址的信任策略：阻止這類攻擊的一種十分容易的辦法就是放棄以地址為基礎(chǔ)的驗證。不允許這類遠(yuǎn)程調(diào)用命令的使用；刪除hosts文件；清空/etc/hosts．equiv文件。這將迫使所有用戶使用其他遠(yuǎn)程通信手段，如Telnet、SSH、skey等。

(2)使用加密方法：在包發(fā)送到網(wǎng)絡(luò)上之前，對數(shù)據(jù)進(jìn)行加密處理。加密處理雖然會使網(wǎng)絡(luò)環(huán)境復(fù)雜化，可是加密后數(shù)據(jù)的真實性、完整性和完全性將會有極大的提高。

(3)進(jìn)行包過濾：可以配置路由器使其能夠拒絕網(wǎng)絡(luò)外部與本網(wǎng)內(nèi)具有相同地址的連接請求。而且，當(dāng)包的IP地址不在本網(wǎng)內(nèi)時，路由器不應(yīng)該把本網(wǎng)主機(jī)的包發(fā)送出去。要提醒大家一點，路由器雖然可以封鎖試圖到達(dá)內(nèi)部網(wǎng)絡(luò)的特定類型的包。但它們也是通過分析測試源地址來實現(xiàn)操作的。因此，它們僅能對聲稱是來自于內(nèi)部網(wǎng)絡(luò)的外來包進(jìn)行過濾，如果你的網(wǎng)絡(luò)存在外部可信任主機(jī)，那么路由器將無法防止別人冒充這些主機(jī)進(jìn)行IP欺騙。

3 嗅探技術(shù)及其在防范網(wǎng)絡(luò)欺騙中的應(yīng)用

嗅探(sniffer)技術(shù)是一種重要的網(wǎng)絡(luò)安全攻防技術(shù)。對黑客來說，通過嗅探技術(shù)能以非常隱蔽的方式攫取網(wǎng)絡(luò)中的大量敏感信息。與主動掃描相比，嗅探行為更難被察覺，也更容易操作。對安全管理人員來說，借助嗅探技術(shù)．可以對網(wǎng)絡(luò)活動進(jìn)行實時監(jiān)控，發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊行為。嗅探技術(shù)最初是作為網(wǎng)絡(luò)管理員檢測網(wǎng)絡(luò)通信的必備技術(shù)，既可以是軟件，又可以是一個硬件設(shè)備。軟件Sniffer應(yīng)用方便，針對不同的操作系統(tǒng)平臺都有多種不同的軟件Sniffer；硬件Sniffer通常被稱做協(xié)議分析器，其價格一般都很高昂。

在局域網(wǎng)中，由于以太網(wǎng)的共享特性決定了嗅探能夠成功。因為以太網(wǎng)是基于廣播方式傳送數(shù)據(jù)的，所有的物理信號都會被傳送到每一個主機(jī)節(jié)點，此外，網(wǎng)卡可以被設(shè)置成混雜接收模式，在這種模式下，無論監(jiān)聽到的數(shù)據(jù)幀目的地址如何，網(wǎng)卡都能予以接收。而TCP/IP協(xié)議棧中的應(yīng)用協(xié)議大多數(shù)以明文形式在網(wǎng)絡(luò)上傳輸，在這些明文數(shù)據(jù)中往往包含一些敏感信息(如賬號、密碼等)，使用Sniffer可以監(jiān)聽到所有局域網(wǎng)內(nèi)的數(shù)據(jù)通信，并得到這些敏感信息。Sniffer的隱蔽性好，它只是被動接收數(shù)據(jù)，不向外發(fā)送數(shù)據(jù)，所以在傳輸數(shù)據(jù)過程中，根本無法察覺。Sniffer的局限性是只能在局域網(wǎng)的沖突域中進(jìn)行，或者是在點到點連接的中間節(jié)點上進(jìn)行監(jiān)聽。

3.1 網(wǎng)絡(luò)嗅探器

網(wǎng)絡(luò)嗅探器在當(dāng)前網(wǎng)絡(luò)技術(shù)使得非常廣泛。網(wǎng)絡(luò)嗅探器既可以作為網(wǎng)絡(luò)故障的診斷工具，也可以作為監(jiān)聽工具。傳統(tǒng)的網(wǎng)絡(luò)嗅探技術(shù)是被動地監(jiān)聽網(wǎng)絡(luò)通信、用戶名和口令。而新的網(wǎng)絡(luò)嗅探技術(shù)開始主動地控制通信數(shù)據(jù)。大多數(shù)的嗅探器至少能夠分析下面的協(xié)議：標(biāo)準(zhǔn)以太網(wǎng)、TCP，/IP、IPX、DECNET等。

根據(jù)功能不同，嗅探器可以分為通用網(wǎng)絡(luò)嗅探器和專用嗅探器。前者支持多種協(xié)}義，如Tcpdump、Snifferit等；后者一般是針對特定軟件或提供特定功能，如專門針對MSN等即時通信軟件的嗅探器、專門嗅探郵件密碼的嗅探器等。

3.2 嗅探的安防作用

3.2.1 網(wǎng)絡(luò)安全審計

網(wǎng)絡(luò)審計是指通過網(wǎng)絡(luò)嗅探工具，將網(wǎng)絡(luò)數(shù)據(jù)包捕狹、解碼并加以存儲，以備后期查詢或提供即時報警。通過嗅探技術(shù)，網(wǎng)絡(luò)審計可以實現(xiàn)上網(wǎng)行為審計、網(wǎng)絡(luò)違規(guī)數(shù)據(jù)的監(jiān)控等功能。利，H網(wǎng)絡(luò)嗅探技術(shù)開發(fā)的網(wǎng)絡(luò)行為審計類軟件是運(yùn)行在關(guān)鍵的網(wǎng)絡(luò)節(jié)點。對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)流進(jìn)行合法性檢查的工具。

3.2.2 蠕蟲病毒的控制

采用嗅探技術(shù)，對蠕蟲病毒的控制可起到以下作用：

（1)基于網(wǎng)絡(luò)嗅探的流量檢測，及時發(fā)現(xiàn)網(wǎng)絡(luò)流量異常，并根據(jù)已經(jīng)建成的流量異常模型，初步判斷網(wǎng)絡(luò)蠕蟲病毒爆發(fā)的前兆。

（2)基于網(wǎng)絡(luò)嗅探的網(wǎng)絡(luò)協(xié)議分析，進(jìn)一步確認(rèn)蠕蟲病毒的發(fā)作，并及時給m預(yù)警信息。

（3)基于網(wǎng)絡(luò)嗅探技術(shù)的蜜罐，盡早捕獲蠕蟲病毒的樣本，并通過對其進(jìn)行詳細(xì)的分析，制定出有效的防御方案和清除方案。

（4)通過旗于網(wǎng)絡(luò)嗅探技術(shù)的入侵檢測，能夠準(zhǔn)確定位局域網(wǎng)絡(luò)中的蠕蟲病毒傳播源，從而及時扼殺蠕蟲病毒的傳播行為。

3.3 網(wǎng)絡(luò)布控與追蹤

針對網(wǎng)絡(luò)犯罪。如黑客入侵、拒絕服務(wù)攻擊等。通過嗅探技術(shù)進(jìn)行追蹤，協(xié)助執(zhí)法部門定位網(wǎng)絡(luò)犯罪分子?，F(xiàn)代網(wǎng)絡(luò)犯罪往往采用跳板進(jìn)行。即通過一臺中間主機(jī)進(jìn)行網(wǎng)絡(luò)攻擊和犯罪活動，這對犯罪分子的捕獲造成了很大的障礙，而嗅探技術(shù)可以有效地幫助執(zhí)法人員解決這一問題。

網(wǎng)絡(luò)追蹤是引起對偽造IP地址攻擊的一種追查方法。由于網(wǎng)絡(luò)攻擊往往采用虛擬的IP地址(特別是大規(guī)模的拒絕服務(wù)攻擊)，從被攻擊機(jī)嗅探獲取的數(shù)據(jù)無法直接判斷攻擊源，需要果用移動的網(wǎng)絡(luò)嗅探器，以溯源的方式從終點逐個前溯，直到發(fā)現(xiàn)攻擊的起源點。

3.4 網(wǎng)絡(luò)取證

基于嗅探的網(wǎng)絡(luò)取證工具可以運(yùn)行在需要取證的犯罪分子所使用的計算機(jī)上(如個人計算機(jī)或公共場所的計算機(jī))，并可以將該犯罪分子的網(wǎng)絡(luò)行為(如郵件、聊天信息、上網(wǎng)記錄等)加以實時記錄，從而協(xié)助案件的偵破和起訴證據(jù)的獲取。為了確保利用嗅探工具所獲得的網(wǎng)絡(luò)證據(jù)具備不可篡改性，網(wǎng)絡(luò)取證工具中還需要內(nèi)置數(shù)字簽名工具，防止操作人員人為修改或誤刪數(shù)字證據(jù)。嗅探技術(shù)在黑客攻防技術(shù)及信息安全體系建設(shè)中都起到了非常重要的作用，而反嗅探技術(shù)也是確保網(wǎng)絡(luò)私密性的關(guān)鍵之一。同時，嗅探技術(shù)在網(wǎng)絡(luò)安全管理工作中也具有很大的幫助。

4 結(jié)論

在進(jìn)行嗅探技術(shù)的合法應(yīng)用的同時，還需要關(guān)注嗅探技術(shù)濫用帶來的泄密和破壞個人隱私問題。在未來，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，嗅探技術(shù)和反嗅探技術(shù)還將不斷進(jìn)步，目前在高速化、可視化、針對加密的嗅探和無線切人技術(shù)四個方向上都可以見到新技術(shù)的出現(xiàn)。

[1]何智欽，金偉. 基于欺騙式塔康干擾技術(shù)研究與仿真[J]. 現(xiàn)代防御技術(shù)，2013，02：107-111.

[2]王慧. 網(wǎng)絡(luò)欺騙技術(shù)與檔案信息化安全[J]. 蘭臺世界，2013，S2：88.

[3]李靜媛，丁照光. 網(wǎng)絡(luò)欺騙技術(shù)在網(wǎng)絡(luò)安全防護(hù)中的作用[J].軟件導(dǎo)刊，2013，06：118-119.

[4]劉柏強(qiáng). 網(wǎng)絡(luò)安全中網(wǎng)絡(luò)欺騙的作用初探[J]. 計算機(jī)光盤軟件與應(yīng)用，2012，03：68-70.

[5]張宏偉. 網(wǎng)絡(luò)欺騙在網(wǎng)絡(luò)安全中的作用研究[J]. 計算機(jī)光盤軟件與應(yīng)用，2012，04：107-108.