浅论校园网络中存在嗅探器的解决方案.docx
《浅论校园网络中存在嗅探器的解决方案.docx》由会员分享,可在线阅读,更多相关《浅论校园网络中存在嗅探器的解决方案.docx(5页珍藏版)》请在冰点文库上搜索。
浅论校园网络中存在嗅探器的解决方案
浅论校园网络中存在嗅探器的解决方案
[论文关键词]嗅探器信息安全校园网
[论文摘要]将简单讨论网络嗅探原理以及校园网中为防范网络嗅探所采取的措施。
同时为了确保网络的可用性和安全性?
以及不必要的恐慌?
系统管理人员应该悉部分探测工具的使用和其局限性?
并在碰到相关问题时能采取正确的应对。
一、引言
虽然IPv6相对IPv4在数据安全上做了很多修改?
且逐渐成为互联网发展的必然趋势。
但在很长时间内,IPv4仍将存在,即使一些网络已升级到IPv6,升级系统也将保持与IPv4系统的互操作能力。
在现在的过渡阶段网络中传输的数据包不再是单纯的IPv4包,也不是单独的IPv6包,而存在IPv4、IPv6以及各种格式的过渡策略数据包?
但是主干网仍支持IPv4。
可是在IPv4中,还存在很大的安全隐患,像信息的截获就是一个很大的问题,这就导致了丢包的发生。
对于信息截获导致丢包的解决方法在下面将进行简单论述。
二、网络信息蠢获的原理
在目前的大多数局域网中,信息在网络中是以广播形式发送的,以太网卡收到报文后,通过对目的地址进行检查,来判断是否是传递给自己的,如果是,则把报文传递给操作系统。
否则,将报文丢弃不进行处理。
网络信号截获其目标是在尽可能不影响网络系统正常通讯的情况下,对网上数据进行侦听截获通过把部分数据包存入数据库并进行有针对性的分析,及时发现有用信息或恶意攻击和安全隐患,从而达到获取信息和保障网络安全的目的。
当信息经过网络时,嗅探器就将其截获并将其感兴趣的信息载入数据库进行分析处理。
在以广播形式发送的网络中,只需对其中任意一台计算机的网卡驱动程序进行改造(安装嗅探器),任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,同时也为处在同一冲突域上的任何一个节点的网卡所截取。
因此,只要对接入以太网上的任一节点进行侦听,就可以捕获发生在这个冲突域上的所有数据包,对其进行解包分析,从而截取关键信息。
三、嗅探原理
以太网中是基于广播方式传送数据的,所有的物理信号都会被传送到每一个主机节点,此外,网卡可以被设置成混杂接收模式,在该模式下,无论数据帧的目的地址如何,网卡都能够予以接收。
嗅探器的软件实现方式网卡设置成混杂模式,所有数据帧都会被网卡驱动程序上传给网络层。
分组数据到了网络层后,网络层处理程序还要对其目的IP地址进行判断,如果是本地IP,则上传给传输层处理(传输层再根据目的端口号来决定哪个上层应用处理数据报文)?
否则丢弃。
如果没有特定的机制,即便网卡设置成了混杂模式,上层应用也无法抓到本不属于自己的数据包。
这就需要一个直接与网卡驱动程序接口的驱动模块?
通过该模块网卡上传的数据帧就有了两个去处,一个是正常的协议栈,另一个就是分组捕获及过滤模块,对于非本地的数据包,前者会丢弃,后者会根据上层应用要求来决定上传还是丢弃。
四、嗅探嚣的安全防范机制
证明网络有嗅探器有两条经验,一是网络带宽出现反常。
通过某些带宽监控软件或者设备,比如MRTG、pbwmeter等。
可以实时看到目前网络带宽的分布情况,如果某个端口长时间的占用了较大的带宽,这台机器就有可能在监听。
二是网络通讯丢包率非常高。
通过一些网络软件,可以看到信息包传送情况?
最简单的就是ping命令,它会告诉你现在网络的掉包情况。
如果网络中有人在Listen,那么信息包传送将无法每次都顺畅的流到目的地。
(这是于sniffer拦截每个包导致的)。
如果你的网络结构正常,而又有10%以上的包无法正常达到目的地,这就有可能是于嗅探器拦截包导致的。
三是可以查看计算机上当前正在运行的所有程序。
在Unix系统下使用下面的命令:
ps—aux或:
ps—augx。
这个命令列出当前的所有进程,启动这些进程的用户,它们占用CPU的时间,占用内存的多少等等。
Windows系统下,按下Ctrl+Alt+Del,看一下任务列表。
不过,编程技巧高的SnifferHP使正在运行,也不会出现在这里的。
还有许多工具,能用来看看你的系统会不会在杂收模式。
从而发现是否有一个Sniffer正在运行。
因为嗅探器需要将网络中入侵的网卡设置为混杂模式才能工作,所以检测嗅探器可以采用检测混杂模式网卡的工具?
比如Antisniff等工具。
当系统在混杂模式下,系统会对某些特定类型的数据包回应,对其它的数据包则置之不理。
在Antisniff进行操作系统详细测试时,Antisniff会通过广播或非广播方式发送一个并不存在的Ether地址,并对系统回应进行监听。
Antisniff发送虚假地址的请求ICMP回应数据帧,如果系统在混杂模式下则会对该数据帧进行应答,否则放弃。
对于不同的操作系统,计算机采用的检测工具也不尽相同。
大多数LINUX、UNIX操作系统都可以使用ifconfig。
利用ifconfig网络管理人员可以知道网卡是否工作在混杂模式下。
但是因为安装未被授权的sniffer时,特洛伊木马程序也有可能被同时安装,因而ifconfig的输出结果就可能完全不可信。
大多数版本的UNIX都可以使用lsof来检测嗅探器的存在。
lsof的最初的设计目的并非为了防止嗅探器入侵?
但因为在被入侵的系统中,嗅探器会打开其输出文件,并不断传送信息给该文件?
这样该文件的内容就会越来越大?
因而lsof就有了用武之地。
如果利用lsof发现有文件的内容不断的增大,我们就有理怀疑系统被人装了嗅探器。
因为大多数嗅探器都会把截获的’TCP/IP”数据写入自己的输出文件中,因而系统管理人员可以把lsof的结果输出至grep来减少系统被破坏的可能性。
完全主动的解决方案很难找到,我们可以采用一些被动的防御措施。
安全的拓扑结构,嗅探器只能在当前网络段上进行数据捕获。
这就意味着,将网络分段工作进行得越细,嗅探器能够收集的信息就越少。
有三种网络设备是嗅探器不可能跨过的,交换机、路器、网桥。
我们可以通过灵活的运用这些设备来进行网络分段。
比如对网络进行分段,比如在交换机上设置VLAN,使得网络隔离不必要的数据传送。
会话加密,会话加密提供了另外一种解决方案。
不用特别地担心数据被嗅探,而是要想办法使得嗅探器不认识嗅探到的数据。
这种方法的优点是明显的?
即使攻击者嗅探到了数据,这些数据对他也是没有用的。
在加密时有两个主要的问题?
一个是技术问题,一个是人为问题。
技术是指加密能力是否高。
例如,32位的加密就可能不够,而且并不是所有的应用程序都集成了加密支持。
而且?
跨平台的加密方案还不多,一般只在一些特殊的应用之中才有。
人为问题是指有些用户可能不喜欢加密,他们觉得这太麻烦。
用户可能开始会使用加密,但他们很少能够坚持下。
总之我们必须寻找一种友好的媒介使用支持强大这样的应用程序,还要具有一定的用户友好性。
使用secureshell、securecopy或者IPv6协议都可以使得信息安全的传输。
传统的网络服务程序,SMTP、HTTP、FTP、POP3和Telnet等在本质上都是不安全的?
因为它们在网络上用明文传送口令和数据,嗅探器非常容易就可以截获这些口令和。
SSH的英文全称是SecureShell。
通过使用SSH,你可以把所有传输的进行加密,这样通过中间服务器的攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。
还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。
用静态的ARP或者IP—MAc对应表代替动态的APR或者IP—MAC对应表。
该措施主要是进行渗透嗅探的防范,采用诸如ARP欺骗手段能够让入侵者在交换网络中顺利完成嗅探。
网络管理员需要对各种欺骗手段进行深入了解,比如嗅探中通常使用的ARP欺骗,主要是通过欺骗进行ARP动态缓存表的修改。
在重要的主机或者工作站上设置静态的ARP对应表,比如WINDOWS2003系统使用arp命令设置,在交换机上设置静态的IP一MAC对应表等,防止利用欺骗手段进行嗅探的手法。
系统管理人员还应该坚决阻止系统内核的重新载入。
为了把嗅探器隐藏在服务级,恶意攻击者可能更改内核的代码内容并重新载入该内核。
系统管理人员应该生成静态的系统内核,并禁止核心相关模块的重新的卸载和载入。
除了以上五点另外还要重视关键区域的安全防范。
这里说的关键区域,主要是针对嗅探器的放置位置而言。
入侵者要让嗅探器发挥较大功效,通常会把嗅探器放置在数据交汇集中区域,比如网关、交换机、路器等附近,以便能够捕获更多的数据。
因此,对于这些区域就应该加强防范,防止在这些区域存在嗅探器。
五、结束语
通过以上的策略,使得内部网络中通过嗅探器进行截获信息的网络包减少了,使得网络丢包率也得到降低,虽然不能完全解决信息安全问题,但是使网络通信的安全性有了提高。
嗅探器技术并非尖端科技,也不要求太多底层的知识,只能说是安全领域的简单技术。
基本上我们的所有网管软件都使用了嗅探器技术,只是许多计算机软件供应商对其一直讳莫如深。
但迄今并没有一个切实可行的方法能够一劳永逸的阻止嗅探器的安装或其他设备对系统的侵害。
作为一种工具,网络嗅探技术扮演着正反两方面的角色。
对于攻击者来说,最喜欢的莫过于得到用户的账号和口令信息,通过网络监听可以很容易地获得这些关键信息。
而对于入侵检测和追踪者来说,网络嗅探技术又能够在与攻击者的斗争中发挥重要的作用。
鉴于目前的网络安全现状,我们应该进一步挖掘网络监听技术的细节,只有从技术基础上掌握先机,才能在与入侵者的斗争中取得胜利。
升级会员 