[摘要]從多個層面分析sniffer的嗅探原理,能攻擊的協(xié)議,可能造成的危害,并介紹對其的防范技術,為研究Sniffer技術和防范網絡嗅探,保障網絡安全提供了技術支持。

[關鍵詞]Sniffer 攻擊 Sniffer原理 Sniffer防范

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0810039-01

一、引言

隨著Internet及電子商務的日益普及,Internet的安全也越來越受到重視。在Internet安全隱患中扮演重要角色

的是Sniffer。人們談到黑客攻擊,一般所指的都是以主動方式進行的,例如利用漏洞或者猜測系統(tǒng)密碼的方式對系統(tǒng)進行攻擊。但是其實還有一類危害非常大的被動攻擊方式往往為大家所忽視,那就是利用Sniffer進行嗅探攻擊。

二、什么是Sniffer

Sniffer,中文可以翻譯為嗅探器,是一種威脅性極大的被動攻擊工具。使用這種工具,可以監(jiān)視網絡的狀態(tài)、數(shù)據(jù)流動情況以及網絡上傳輸?shù)男畔ⅰ．斝畔⒁悦魑牡男问皆诰W絡上傳輸時,便可以使用網絡監(jiān)聽的方式來進行攻擊。將網絡接口設置在監(jiān)聽模式,便可以將網上傳輸?shù)脑丛床粩嗟男畔⒔孬@。黑客們常常用它來截獲用戶的口令。據(jù)說某個骨干網絡的路由器曾經被黑客攻人,并嗅探到大量的用戶口令。

三、Sniffer的工作原理

不同傳輸介質的網絡的可監(jiān)聽性是不同的。一般來說,以太網被監(jiān)聽的可能性比較高,因為以太網是一個廣播型的網絡;FDDI Token被監(jiān)聽的可能性也比較高;微波和無線網被監(jiān)聽的可能性同樣比較高,因為無線電本身是一個廣播型的傳輸媒介,彌散在空中的無線電信號可以被很輕易的截獲。一般情況下,大多數(shù)的嗅探器至少能夠分析下面的協(xié)議:

標準以太網、TCP/IP、IPX、DECNET、FDDI Token、微波和無線網。

實際應用中的嗅探器分軟、硬兩種。軟件嗅探器便宜易于使用,缺點是往往無法抓取網絡上所有的傳輸數(shù)據(jù)(比如碎片),也就可能無法全面了解網絡的故障和運行情況;硬件嗅探器的通常稱為協(xié)議分析儀,它的優(yōu)點恰恰是軟件嗅探器所欠缺的,但是價格昂貴。目前主要使用的嗅探器是軟件的。

嗅探器捕獲真實的網絡報文。嗅探器通過將其置身于網絡接口來達到這個目的--例如將以太網卡設置成雜收模式。幀通過特定的為網絡驅動程序的軟件進行成型,然后通過網卡發(fā)送到網線上。通過網線到達它們的目的機器,在目的機器的一端執(zhí)行相反的過程。接收端機器的以太網卡捕獲到這些幀,并告訴操作系統(tǒng)幀的到達,然后對其進行存儲。如果某在工作站的網絡接口處于雜收模式,那么它就可以捕獲網絡上所有的報文和幀,如果一個工作站被配置成這樣的方式,它(包括其軟件)就是一個嗅探器。這也是嗅探器會造成安全方面的問題的原因。通常使用嗅探器的入侵者,都必須擁有基點用來放置嗅探器。對于外部入侵者來說,能通過入侵外網服務器、往內部工作站發(fā)送木馬等獲得需要,然后放置其嗅探器,而內部破壞者就能夠直接獲得嗅探器的放置點,比如使用附加的物理設備作為嗅探器,除非人為地對網絡中的每一段網線進行檢測,沒有其他容易方法能夠識別出這種連接,或者使用網絡拓撲映射工具可以檢測到額外的IP地址。

嗅探器可能造成的危害: 嗅探器能夠捕獲口令;能夠捕獲專用的或者機密的信息;可以用來危害網絡鄰居的安全,或者用來獲取更高級別的訪問權限;分析網絡結構,進行網絡滲透。

四、Sniffer的防范

雖然發(fā)現(xiàn)一個Sniffer是非常困難的,但是我們仍然有辦法抵御Sniff

er的嗅探攻擊。

一種方法是,事先要對這些信息進行加密,黑客即使捕捉到了機密信息,也無法解密,這樣,Sniffer就失去了作用。

黑客主要用Sniffer來捕獲Telnet、FTP、POP3等數(shù)據(jù)包,因為這些協(xié)議以明文在網上傳輸,我們可以使用一種叫做SSH的安全協(xié)議來替代Telnet等容易被Sniffer攻擊的協(xié)議。

SSH又叫Secure Shell,它是一個在應用程序中提供安全通信的協(xié)議,建立在客戶/服務器模型上。SSH服務器分配的端口是22,連接是通過使用一種來自RSA的算法建立的。在授權完成后,接下來的通信數(shù)據(jù)用IDEA技術來加密。這種加密方法通常是比較強的,適合于任何非秘密和非經典的通信。

另一種抵御Sniffer攻擊的方法是使用安全的拓撲結構。因為Sniffer只對以太網、令牌環(huán)網等網絡起作用,所以盡量使用交換設備的網絡可以從最大程度上防止被Sniffer竊聽到不屬于自己的數(shù)據(jù)包。還有一個原則用于防止Snther的被動攻擊,一個網絡段僅由能互相信任的計算機組成。注意每臺機器是通過硬連接線接到集線器(Hub)的,集線器再接到交換機上。由于網絡分段了,數(shù)據(jù)包只能在這個網段上被捕獲,其余的網段將不可能被監(jiān)聽。

所有的問題都歸結到信任上面。計算機為了和其他計算機進行通信,它就必須信任那臺計算機。如果使得計算機之間的信任關系很小。這樣,就建立了一種框架,告訴你什么時候放置了一個Sniffer,在哪里,誰放的等等。

如果局域網要和Internet相連,僅僅使用防火墻是不夠的。入侵者已經能從一個防火墻后面掃描,并探測正在運行的服務。應該關心的是一旦入侵者進人系統(tǒng),他能得到些什么。你必須考慮一條這樣的路徑,即信任關系有多長。

Sniffr往往是在攻擊者侵人系統(tǒng)后使用的,用來收集有用的信息。因此,防止系統(tǒng)被突破很關鍵。系統(tǒng)安全管理員要定期的對所管理的網絡進行安全測試,防止安全隱患。同時要控制擁有相當權限的用戶的數(shù)量,因為許多攻擊往往來自網絡內部。

參考文獻:

[1]武新華主編,《狙擊黑客——黑客攻防技術見招拆招》[M].北京:清華大學出版社,2008.6.

[2](美)Tom Sheldon主編,《網絡與通信技術百科全書》[M].北京:人民郵電出版社,2004.8.

[3]陳兵主編,《電子政務安全技術》[M].北京:北京大學出版社,2005.7.

[4]牛冠杰主編,《網絡安全技術實踐與代碼詳解》[M].北京:人民郵電出版社,2007.8.

作者簡介:

王秋菊(1981-),女,漢族,河北廊坊人,助教,在讀工程碩士,主要研究方向:計算機網絡安全與電子商務。