劉光金

（重慶水利電力職業(yè)技術學院，重慶 402160）

1. 引言

隨著互聯網的廣泛應用，其安全問題也逐漸得到了研究人員的重視。如今網絡入侵往往會造成巨大的社會影響以及嚴重的財產損失，而且其入侵手段也更加隱蔽，擴散性也更強，危害性也更大。嗅探技術在計算機信息安全中具有重要的地位，通過加強對嗅探技術的研究，了解其工作模式，對于提高計算機安全具有重要的促進作用。

2. 網絡嗅探技術簡介

網絡嗅探技術也稱為監(jiān)聽技術，是一種基于被動偵聽原理的網絡分析方式，可以監(jiān)視網絡的狀態(tài)、數據流動情況以及網絡上傳輸的信息。嗅探器是能夠實現嗅探的工具，嗅探工具的分類比較多，按照嗅探功能的不同，可以分為專用嗅探器和網絡嗅探器兩種形式。按照嗅探工作原理以及環(huán)境的不同，嗅探技術又可以分為交換機嗅探、本機嗅探以及廣播網嗅探等。

嗅探本身是被用來作為網絡管理人員檢測網絡的一種工具，現在已經發(fā)展成為網絡安全攻防的重要工具。嗅探軟件應用比較方便，能夠適合不同的操作平臺。硬件嗅探器又稱為協議分析器，在局域網中，共享模式的特點保證了嗅探的可靠性。嗅探器的隱蔽性比較好，它通過被動接收數據，而不發(fā)送數據，所以難以被察覺。嗅探器的工作原理決定了其只能在點到點的節(jié)點以及局域網沖突域中進行竊聽，這是嗅探器的局限性。

3. 網絡嗅探技術在計算機信息安全中的應用研究

3.1 共享網絡下的網絡嗅探檢測和防范

在共享網絡環(huán)境下，只需要把一臺計算機網卡設置為混雜模式，那么這臺計算機就能夠捕獲到在該網段中所傳遞的縮影信息，這是網絡嗅探技術的被動工作狀態(tài)。在這種狀態(tài)下不需要對其它任何計算機發(fā)送數據包，只需要等待被捕獲的數據包經過時就能夠捕獲。這種模式對于檢測網絡嗅探是否存在比較困難，但是能夠對網絡嗅探行為進行檢測和直觀判斷。當網絡嗅探捕獲到數據包時會出現一些異常現象，例如網絡帶寬異常或者網絡通訊掉包率異常等。其中網絡帶寬異常主要是通過帶寬控制器查看網絡帶寬的分布情況，當某個計算機長時間地占用了大量的帶寬，那么這臺計算機就有可能存在監(jiān)聽?？梢岳靡恍┚W絡軟件來查看信息包傳送的情況，當網絡存在監(jiān)聽行為時就會導致信息包不能每次都順利地到達目的地，這種方式可以檢測在混雜模式下是否存在網絡嗅探。當計算機網卡設置為混雜模式時就可能在進行網絡嗅探，前提是需要判斷網絡中計算機是否處于混雜狀態(tài)，可以使用APP分組的方式進行檢測。APP分組的原理是：以太網中對信息傳遞都是基于網卡MAC地址，當網卡設置為不同工作模式時可以接收不同種類的分組，這稱之為硬件過濾器。同時在以太網中可以通過地址解析協議提供硬件地址與IP地址來完成信息傳遞，在通訊的過程中每個節(jié)點都會檢查APP包所提供的IP地址是否匹配。如果不相同，那么就忽略這個APP包；如果匹配就會發(fā)送實際數據。可以通過過濾狀態(tài)來判斷網絡節(jié)點狀態(tài)是否正常，當網卡設置為混雜模式時，那么被過濾的報文就會進入到系統內核中，從而檢測到混雜模式的節(jié)點。建立一個APP查詢包，其目的地址設置為非廣播地址，向網絡中的各個節(jié)點發(fā)送APP查詢包，通過其節(jié)點回應就可以判斷是否處于混雜模式。

在共享網絡中可以通過加密、網絡分段、非混雜網卡以及一次性口令技術來預防網絡嗅探，可以對數據包中的重要信息進行加密，也可以選擇其它方式進行加密，這取決于信息的安全等級。網絡分段是通過對網絡中的共享設備和機器對數據流進行限制，從而達到防嗅探的效果。網絡嗅探在混雜環(huán)境中可以接收數據包，因此可以在局域網中使用非混雜網卡，但是由于地址偽裝技術，所以其實際意義不是非常大。一次性口令技術是指客戶端通過從服務器中得到的賬號和口令算出一個新的字符串并且傳遞給服務器，服務器利用算法進行匹配，如果數據匹配就能夠建立聯系，賬號和字符串都只能應用一次。

3.2 交換環(huán)境下網絡嗅探的預防

可以利用靜態(tài)APP表的模式進行防范，靜態(tài)APP表不能刷新，所以假的APP包就會被丟棄。但是對于網絡中的所有計算機，都需要建立靜態(tài)的MAC表，當網絡的規(guī)模比較大時，會造成交換機工作效率下降。如果更換計算機就需要手工方式重新更改MAC表，所以在大型網絡中這種方式不合適。在Windows模式下建立靜態(tài)MAC到IP的映射表，當收到更新之后的APP包后，依舊會刷新計算機的映射表，會被檢測出嗅探行為?？梢越柚谌杰浖姆椒?，這是目前比較可靠的方法，通過軟件可以檢測到網絡中MAC地址的變化，當地址變化時就會通過電子郵件的方式發(fā)送到指定地點。還可以利用VPN等加密技術來保護敏感信息。

3.3 無線環(huán)境下網絡嗅探的防范

近年來隨著智能手機等設備的廣泛應用，無線網絡應用也日益頻繁。無線網絡能夠實現多個計算機設備的共享和利用，所以無線局域網在信息傳遞和接收的過程中也更加容易受被嗅探。為了防止無線網絡被嗅探，常常采用加密和認證技術，但是目前無線網絡下的加密技術其安全性比較弱，容易被嗅探。目前無線網絡中的加密協議和工具比較多，常見的有Kismet、AirSnort等。WEP無線協議是經過Wi-Fi認證的一項標準，是符合802.11標準中的一項無線加密方案。WEP共用一套密鑰，所以其分配比較廣泛，導致密鑰泄露的可能性也比較大。由于WEP協議本身的缺陷，黑客可以通過破解軟件在短時間內破獲密鑰，從而進入到網絡中。加密算法和密鑰的長度有關，WEP密鑰采用靜態(tài)密碼，因此難以從根本上保護信息的安全。MAC地址中的訪問控制表只允許注冊后的設備進入到網絡中，所以MAC過濾技術相當于在系統上設置了一道障礙，如果其障礙越多，那么網絡也就越安全。為了改變靜態(tài)密鑰的限制，可以采用動態(tài)密鑰的方法，計算機在接入到網絡中完成一次會話后就能夠自動生成下次會話所需要的新的加密密鑰，這個密鑰對于網絡會話和網絡用戶來說都是唯一的。這種技術能夠提高網絡的安全性，避免了用戶手工輸入的麻煩。由于其唯一性和可變性，當黑客取得網絡訪問權時，其所取得了密鑰也可能已經過期，有效地保證了網絡的安全。虛擬專用網絡作為一種功能更加強大的加密方法，能夠有效地保護網絡的安全。它能夠根據需要，定義被保護的數據流，并且將數據流發(fā)送到目的地址。這種方式通過網絡層進行，因此可以實現兩臺計算機之間，計算機與網關以及網關與網關之間的網絡保護；在無線環(huán)境中，可以通過客戶端到網關組網的方式進行保護。

4. 結束語

目前并沒有一勞永逸防止嗅探入侵的方法，嗅探器主要是在入侵系統之后用來收集有用信息，因此在進行計算機安全維護的過程中，應當防止系統被非法侵入，應當定期對網絡進行安全測試，防止存在潛在的安全風險。安全管理人員應當適當控制內部用戶的數量，減少來自內部攻擊的可能性。同時為了防止嗅探器的侵入，應當按時追蹤安全報告，監(jiān)測網絡的工作狀態(tài)等，發(fā)現異?，F象能夠及時介入，減少嗅探技術所帶來的危害。

[1]高強.探析網絡嗅探技術[J].農業(yè)網絡信息，2012，(5)：84-86，96.

[2]王曉華，程兆敏.通信網絡嗅探技術淺析[J].中國科技財富，2012，(15)：224.

[3]劉衍.網絡嗅探與反嗅探技術淺析[J].科園月刊，2011，(1)：22-23.