淺論校園網(wǎng)絡中存在嗅探器的解決方案

1、淺論校園網(wǎng)絡中存在嗅探器的解決方案論文關鍵詞嗅探器信息平安校園網(wǎng)論文摘要將簡單討論網(wǎng)絡嗅探原理以及校園網(wǎng)中為防范網(wǎng)絡嗅探所采取的措施。同時為了確保網(wǎng)絡的可用性和平安性?以及不必要的恐慌?系統(tǒng)管理人員應該悉局部探測工具的使用和其局限性?并在碰到相關問題時能采取正確的應對。一、引言雖然ipv6相對ipv4在數(shù)據(jù)平安上做了很多修改?且逐漸成為互聯(lián)網(wǎng)開展的必然趨勢。但在很長時間內(nèi)，ipv4仍將存在，即使一些網(wǎng)絡已晉級到ipv6，晉級系統(tǒng)也將保持與ipv4系統(tǒng)的互操作才能。在如今的過渡階段網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包不再是單純的ipv4包，也不是單獨的ipv6包，而存在ipv4、ipv6以及各種格式的過渡策略數(shù)據(jù)

2、包?但是主干網(wǎng)仍支持ipv4?？墒窃趇pv4中，還存在很大的平安隱患，像信息的截獲就是一個很大的問題，這就導致了丟包的發(fā)生。對于信息截獲導致丟包的解決方法在下面將進展簡單闡述。二、網(wǎng)絡信息蠢獲的原理在目前的大多數(shù)局域網(wǎng)中，信息在網(wǎng)絡中是以播送形式發(fā)送的，以太網(wǎng)卡收到報文后，通過對目的地址進展檢查，來判斷是否是傳遞給自己的，假如是，那么把報文傳遞給操作系統(tǒng)。否那么，將報文丟棄不進展處理。網(wǎng)絡信號截獲其目的是在盡可能不影響網(wǎng)絡系統(tǒng)正常通訊的情況下，對網(wǎng)上數(shù)據(jù)進展偵聽截獲通過把局部數(shù)據(jù)包存入數(shù)據(jù)庫并進展有針對性的分析，及時發(fā)現(xiàn)有用信息或惡意攻擊和平安隱患，從而到達獲取信息和保障網(wǎng)絡平安的目的。當信息

3、經(jīng)過網(wǎng)絡時，嗅探器就將其截獲并將其感興趣的信息載入數(shù)據(jù)庫進展分析處理。在以播送形式發(fā)送的網(wǎng)絡中，只需對其中任意一臺計算機的網(wǎng)卡驅(qū)動程序進展改造(安裝嗅探器)，任何兩個節(jié)點之間的通信數(shù)據(jù)包，不僅為這兩個節(jié)點的網(wǎng)卡所接收，同時也為處在同一沖突域上的任何一個節(jié)點的網(wǎng)卡所截齲因此，只要對接入以太網(wǎng)上的任一節(jié)點進展偵聽，就可以捕獲發(fā)生在這個沖突域上的所有數(shù)據(jù)包，對其進展解包分析，從而截取關鍵信息。三、嗅探原理以太網(wǎng)中是基于播送方式傳送數(shù)據(jù)的，所有的物理信號都會被傳送到每一個主機節(jié)點，此外，網(wǎng)卡可以被設置成混雜接收形式，在該形式下，無論數(shù)據(jù)幀的目的地址如何，網(wǎng)卡都可以予以接收。嗅探器的軟件實現(xiàn)方式網(wǎng)卡設置

4、成混雜形式，所有數(shù)據(jù)幀都會被網(wǎng)卡驅(qū)動程序上傳給網(wǎng)絡層。分組數(shù)據(jù)到了網(wǎng)絡層后，網(wǎng)絡層處理程序還要對其目的ip地址進展判斷，假如是本地ip，那么上傳給傳輸層處理(傳輸層再根據(jù)目的端口號來決定由哪個上層應用途理數(shù)據(jù)報文)?否那么丟棄。假如沒有特定的機制，即便網(wǎng)卡設置成了混雜形式，上層應用也無法抓到本不屬于自己的數(shù)據(jù)包。這就需要一個直接與網(wǎng)卡驅(qū)動程序接口的驅(qū)動模塊?通過該模塊網(wǎng)卡上傳的數(shù)據(jù)幀就有了兩個去處，一個是正常的協(xié)議棧，另一個就是分組捕獲及過濾模塊，對于非本地的數(shù)據(jù)包，前者會丟棄，后者會根據(jù)上層應用要求來決定上傳還是丟棄。四、嗅探囂的平安防范機制證明網(wǎng)絡有嗅探器有兩條經(jīng)歷，一是網(wǎng)絡帶寬出現(xiàn)反常。

5、通過某些帶寬監(jiān)控軟件或者設備，比方rtg、pbeter等?？梢詫崟r看到目前網(wǎng)絡帶寬的分布情況，假如某個端口長時間的占用了較大的帶寬，這臺機器就有可能在監(jiān)聽。二是網(wǎng)絡通訊丟包率非常高。通過一些網(wǎng)絡軟件，可以看到信息包傳送情況?最簡單的就是ping命令，它會告訴你如今網(wǎng)絡的掉包情況。假如網(wǎng)絡中有人在listen，那么信息包傳送將無法每次都順暢的流到目的地。(這是由于sniffer攔截每個包導致的)。假如你的網(wǎng)絡構(gòu)造正常，而又有10%以上的包無法正常到達目的地，這就有可能是由于嗅探器攔截包導致的。三是可以查看計算機受騙前正在運行的所有程序。在unix系統(tǒng)下使用下面的命令：psaux或：psaugx。

6、這個命令列出當前的所有進程，啟動這些進程的用戶，它們占用pu的時間，占用內(nèi)存的多少等等。inds系統(tǒng)下，按下trl+alt+del，看一下任務列表。不過，編程技巧高的snifferhp使正在運行，也不會出如今這里的。還有許多工具，能用來看看你的系統(tǒng)會不會在雜收形式。從而發(fā)現(xiàn)是否有一個sniffer正在運行。因為嗅探器需要將網(wǎng)絡中入侵的網(wǎng)卡設置為混雜形式才能工作，所以檢測嗅探器可以采用檢測混雜形式網(wǎng)卡的工具?比方antisniff等工具。當系統(tǒng)在混雜形式下，系統(tǒng)會對某些特定類型的數(shù)據(jù)包回應，對其它的數(shù)據(jù)包那么置之不理。在antisniff進展操作系統(tǒng)詳細測試時，antisniff會通過播送或非播

7、送方式發(fā)送一個并不存在的ether地址，并對系統(tǒng)回應進展監(jiān)聽。antisniff發(fā)送虛假地址的懇求ip回應數(shù)據(jù)幀，假如系統(tǒng)在混雜形式下那么會對該數(shù)據(jù)幀進展應答，否那么放棄。對于不同的操作系統(tǒng)，計算機采用的檢測工具也不盡一樣。大多數(shù)linux、unix操作系統(tǒng)都可以使用ifnfig。利用ifnfig網(wǎng)絡管理人員可以知道網(wǎng)卡是否工作在混雜形式下。但是因為安裝未被受權(quán)的sniffer時，特洛伊木馬程序也有可能被同時安裝，因此ifnfig的輸出結(jié)果就可能完全不可信。大多數(shù)版本的unix都可以使用lsf來檢測嗅探器的存在。lsf的最初的設計目的并非為了防止嗅探器入侵?但因為在被入侵的系統(tǒng)中，嗅探器會翻開

8、其輸出文件，并不斷傳送信息給該文件?這樣該文件的內(nèi)容就會越來越大?因此lsf就有了用武之地。假如利用lsf發(fā)現(xiàn)有文件的內(nèi)容不斷的增大,我們就有理由疑心系統(tǒng)被人裝了嗅探器。因為大多數(shù)嗅探器都會把截獲的tp/ip數(shù)據(jù)寫入自己的輸出文件中,因此系統(tǒng)管理人員可以把lsf的結(jié)果輸出至grep來減少系統(tǒng)被破壞的可能性。完全主動的解決方案很難找到，我們可以采用一些被動的防御措施。平安的拓撲構(gòu)造，嗅探器只能在當前網(wǎng)絡段上進展數(shù)據(jù)捕獲。這就意味著，將網(wǎng)絡分段工作進展得越細，嗅探器可以搜集的信息就越少。有三種網(wǎng)絡設備是嗅探器不可能跨過的，交換機、路由器、網(wǎng)橋。我們可以通過靈敏的運用這些設備來進展網(wǎng)絡分段。比方對網(wǎng)

9、絡進展分段，比方在交換機上設置vlan，使得網(wǎng)絡隔離不必要的數(shù)據(jù)傳送。會話加密，會話加密提供了另外一種解決方案。不用特別地擔憂數(shù)據(jù)被嗅探，而是要想方法使得嗅探器不認識嗅探到的數(shù)據(jù)。這種方法的優(yōu)點是明顯的?即使攻擊者嗅探到了數(shù)據(jù)，這些數(shù)據(jù)對他也是沒有用的。在加密時有兩個主要的問題?一個是技術問題，一個是人為問題。技術是指加密才能是否高。例如，32位的加密就可能不夠，而且并不是所有的應用程序都集成了加密支持。而且?跨平臺的加密方案還不多，一般只在一些特殊的應用之中才有。人為問題是指有些用戶可能不喜歡加密，他們覺得這太費事。用戶可能開場會使用加密，但他們很少可以堅持下。總之我們必須尋找一種友好的媒介

10、使用支持強大這樣的應用程序，還要具有一定的用戶友好性。使用seureshell、seurepy或者ipv6協(xié)議都可以使得信息平安的傳輸。傳統(tǒng)的網(wǎng)絡效勞程序，stp、 、ftp、pp3和telnet等在本質(zhì)上都是不平安的?因為它們在網(wǎng)絡上用明文傳送口令和數(shù)據(jù)，嗅探器非常容易就可以截獲這些口令和。ssh的英文全稱是seureshell。通過使用ssh，你可以把所有傳輸?shù)倪M展加密，這樣通過中間效勞器的攻擊方式就不可能實現(xiàn)了，而且也可以防止dns和ip欺騙。還有一個額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣?。用靜態(tài)的arp或者ipa對應表代替動態(tài)的apr或者ipa對應表。該措施主要是

11、進展浸透嗅探的防范，采用諸如arp欺騙手段可以讓入侵者在交換網(wǎng)絡中順利完成嗅探。網(wǎng)絡管理員需要對各種欺騙手段進展深化理解，比方嗅探中通常使用的arp欺騙，主要是通過欺騙進展arp動態(tài)緩存表的修改。在重要的主機或者工作站上設置靜態(tài)的arp對應表，比方inds2022系統(tǒng)使用arp命令設置，在交換機上設置靜態(tài)的ip一a對應表等，防止利用欺騙手段進展嗅探的手法。系統(tǒng)管理人員還應該堅決阻止系統(tǒng)內(nèi)核的重新載入。為了把嗅探器隱藏在效勞級，惡意攻擊者可能更改內(nèi)核的代碼內(nèi)容并重新載入該內(nèi)核。系統(tǒng)管理人員應該生成靜態(tài)的系統(tǒng)內(nèi)核，并制止核心相關模塊的重新的卸載和載入。除了以上五點另外還要重視關鍵區(qū)域的平安防范。這

12、里說的關鍵區(qū)域，主要是針對嗅探器的放置位置而言。入侵者要讓嗅探器發(fā)揮較大成效，通常會把嗅探器放置在數(shù)據(jù)交聚集中區(qū)域，比方網(wǎng)關、交換機、路由器等附近，以便可以捕獲更多的數(shù)據(jù)。因此，對于這些區(qū)域就應該加強防范，防止在這些區(qū)域存在嗅探器。五、完畢語通過以上的策略，使得內(nèi)部網(wǎng)絡中通過嗅探器進展截獲信息的網(wǎng)絡包減少了，使得網(wǎng)絡丟包率也得到降低，雖然不能完全解決信息平安問題，但是使網(wǎng)絡通信的平安性有了進步。嗅探器技術并非尖端科技，也不要求太多底層的知識，只能說是平安領域的簡單技術。根本上我們的所有網(wǎng)管軟件都使用了嗅探器技術，只是許多計算機軟件供給商對其一直諱莫如深。但迄今并沒有一個實在可行的方法可以一勞永逸的阻止嗅探器