摘 要：網(wǎng)絡(luò)欺騙存在的原因是在網(wǎng)絡(luò)世界里，存在著針對網(wǎng)絡(luò)身份的授權(quán)、監(jiān)督和審計機制。針對網(wǎng)絡(luò)欺騙，一方面要綜合使用多種技術(shù)防止欺騙的發(fā)生，另一方面要在網(wǎng)絡(luò)的管理和使用過程中增強主動防范意識。嗅探器是利用計算機的網(wǎng)絡(luò)接口截獲目的地為其他計算機的數(shù)據(jù)包的一種工具。嗅探器是一種常用的數(shù)據(jù)收集方法。本文將探討網(wǎng)絡(luò)欺騙的類型及防范技術(shù)，以及嗅探技術(shù)在防范網(wǎng)絡(luò)欺騙中的應(yīng)用。

關(guān)鍵詞：網(wǎng)絡(luò)欺騙；嗅探技術(shù)；防范

中圖分類號：TP393.08

網(wǎng)絡(luò)欺騙能夠顯著地增加攻擊者的工作量、攻擊復(fù)雜度以及不確定性，從而使攻擊者不知道其進攻是否奏效或成功，而且它允許防護者跟蹤攻擊者的行為，在攻擊者之前修補系統(tǒng)可能存在的安全漏洞。嗅探器（sniffer）是利用計算機的網(wǎng)絡(luò)接口截獲目的地為其他計算機的數(shù)據(jù)包的一種工具[1]。嗅探器是一種常用的數(shù)據(jù)收集方法。它通常用于分析網(wǎng)絡(luò)的流量，以便找出網(wǎng)絡(luò)中潛在的問題。但是由于它能夠捕獲網(wǎng)絡(luò)數(shù)據(jù)，因此有可能威脅網(wǎng)絡(luò)安全。它可以捕獲網(wǎng)絡(luò)上的敏感信息，如用戶的帳號、密碼或者商業(yè)機密等。

1 網(wǎng)絡(luò)欺騙概述

從原理上講，每個有價值的網(wǎng)絡(luò)系統(tǒng)都存在著安全弱點，而且這些弱點都可能被攻擊者所利用。網(wǎng)絡(luò)欺騙主要有以下3個作用：（1）影響攻擊者，使之按照防護者的意志進行選擇；（2）迅速地檢測到攻擊者的進攻并獲知其進攻技術(shù)和意圖；（3）消耗攻擊者的資源。一個理想的網(wǎng)絡(luò)欺騙可以使攻擊者感到他們不是很容易地達到了期望的目標（當然目標是假的），并使其相信攻擊取得了成功。

2 網(wǎng)絡(luò)欺騙的防范

2.1 IP欺騙的防范。針對改變數(shù)據(jù)包源地址的欺騙已經(jīng)有了一些防范措施，比如在網(wǎng)絡(luò)出口處的路由器或者防火墻上設(shè)置規(guī)則，不允許源地址不是本網(wǎng)絡(luò)的數(shù)據(jù)包流出。那些精心設(shè)計的源路由欺騙現(xiàn)在已經(jīng)很難奏效了，因為很多路由器都忽略源路由選項，而且一般防火墻都禁止有源路由選項的數(shù)據(jù)包通過。至于主機間的信任關(guān)系，首先應(yīng)該盡量減少使用這種基于簡單信任關(guān)系的共享機制，另一方面，即使使用信任關(guān)系，也要精心設(shè)計信任規(guī)則，防止由于放松條件導(dǎo)致不必要的威脅。

2.2 郵件欺騙的防范。針對相似的電子郵件地址、欺騙性的別名和“回復(fù)地址”等問題，還是要依靠用戶自己增強安全意識，尤其是涉及傳送敏感信息時，要多審查，多驗證。另一方面，越來越多的郵件系統(tǒng)管理員意識到攻擊者在利用他們的系統(tǒng)進行欺騙，所以較新版本的郵件服務(wù)器本身也采取了許多安全措施，如不允許郵件轉(zhuǎn)發(fā)、對發(fā)信人的身份進行認證、或者設(shè)置郵件服務(wù)器只發(fā)送或者接收指定域名的郵件等，使郵件服務(wù)的安全得到整體提高[2]。

2.3 Web欺騙的防范。 防范Web欺騙最根本的方法是對服務(wù)器和客戶端的身份進行鑒別。目前比較常用的方式是使用SSL協(xié)議，服務(wù)器和客戶端使用數(shù)字證書證明自己的身份。用戶登錄網(wǎng)站時，網(wǎng)站向客戶提供自己的證書，服務(wù)器可以選擇是否對客戶進行認證，認證通過之后可以對雙方的會話進行加密。

2.4 社會工程的防范。首先，社會工程很難防范，因為它涉及人及社會關(guān)系，屬于網(wǎng)絡(luò)安全管理的范疇。要防范通過社會工程的欺騙，不僅要制定合理的制度和規(guī)范，而且要加強對相關(guān)人員的教育和培訓(xùn)，使其時刻保持安全意識。

3 嗅探技術(shù)

嗅探器在形式上可以是硬件產(chǎn)品，也可以是運行的軟件程序。為了說明以太網(wǎng)監(jiān)聽的原理，首先分析以太網(wǎng)中常用的網(wǎng)絡(luò)互聯(lián)設(shè)備：共享集線器和交換機在處理數(shù)據(jù)轉(zhuǎn)發(fā)時的不同方式。

共享集線器是一個總線結(jié)構(gòu)的網(wǎng)絡(luò)連接設(shè)備，以共享方式工作，即當一個機器向另一個機器發(fā)送數(shù)據(jù)時，接享集線器先收到數(shù)據(jù)，然后把數(shù)據(jù)發(fā)給與之連接的其他接口，所以共享集線器連接的所有機器的網(wǎng)卡都能接收到數(shù)據(jù)。顯然，在共享集線器工作模式下，兩個機器間傳輸數(shù)據(jù)的時候，其他的接口也被占用，此時同一網(wǎng)段同一時間只能有兩個機器進行數(shù)據(jù)通信；而使用交換機連接的網(wǎng)絡(luò)中，兩個機器間傳輸數(shù)據(jù)的時候沒有占用其他端口，所以其他端口之間也可以傳輸數(shù)據(jù)。這就是共享集線器與交換機的關(guān)鍵區(qū)別所在[3]。

網(wǎng)卡是主機用來接收網(wǎng)絡(luò)數(shù)據(jù)的物理設(shè)備。當網(wǎng)卡收到傳輸來的數(shù)據(jù)時，網(wǎng)卡內(nèi)的程序先接收數(shù)據(jù)頭的目的MAC地址，根據(jù)計算機上的網(wǎng)卡驅(qū)動程序設(shè)置的接收模式判斷是否接收。如果認為應(yīng)該接收就產(chǎn)生中斷信號通知CPU，否則就將其丟棄。CPU得到中斷信號產(chǎn)生中斷，操作系統(tǒng)根據(jù)網(wǎng)卡中斷程序地址調(diào)用驅(qū)動程序來接收數(shù)據(jù)，驅(qū)動程序接收數(shù)據(jù)后放入堆棧讓操作系統(tǒng)處理?？梢?，網(wǎng)卡能夠根據(jù)目標MAC地址判斷是否接收數(shù)據(jù)。

數(shù)據(jù)在鏈路層以幀為單位進行傳輸。網(wǎng)卡驅(qū)動程序?qū)⑸蠈訁f(xié)議數(shù)據(jù)打包成幀，通過網(wǎng)卡發(fā)送到網(wǎng)線k。通過網(wǎng)線到達目的機器后，在目的機器上執(zhí)行相反的過程。接收端機器的網(wǎng)卡捕獲到這些幀，告訴操作系統(tǒng)幀到達，并對其進行存儲。就是在這個傳輸和接收的過程中，嗅探器會產(chǎn)生安全問題。

若采用共享集線器互聯(lián)，當一臺主機發(fā)送幀時，連接在同一集線器上的所有機器的網(wǎng)卡都可以聽到這個幀，但對不屬于自己的幀一般不予響應(yīng)?？墒?，如果某臺機器的網(wǎng)卡處于混雜（promiscuous）模式，則網(wǎng)卡可以接收其聽到的所有數(shù)據(jù)幀，那么它就可以捕獲網(wǎng)絡(luò)上所有的報文。如果一臺機器的網(wǎng)卡被配置成工作在混雜模式，它就是一個嗅探器。嗅探器在網(wǎng)絡(luò)中的位置如圖1所示。

圖1 嗅探器在網(wǎng)絡(luò)中的位置

嗅探器工作在網(wǎng)絡(luò)環(huán)境中的底層，它會監(jiān)聽所有正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過相應(yīng)的軟件處理，便可以實時分析這些數(shù)據(jù)的內(nèi)容，進而分析所處的網(wǎng)絡(luò)狀態(tài)和整體布局。它可能造成的危害包括[4]：（1）嗅探器可以捕獲各種口令：這大概是絕大多數(shù)人非法使用嗅探器的理由。嗅探器可以記錄明文傳送的userid和passwd。一般嗅探器只嗅探每個報文的前200～300個字節(jié)，用戶名和口令都包含在這一部分內(nèi)容中；（2）嗅探器能夠捕獲專用的或者機密的信息：嗅探器可以很輕松捕獲在網(wǎng)上二傳送的用戶名、口令、信用卡號碼、帳號SnPIN碼等。通過分析數(shù)據(jù)包，可以很方便地記錄別人之間敏感的信息傳送，或者干脆復(fù)制整個會話過程；（3）嗅探器可能危害網(wǎng)絡(luò)鄰居的安全，或者用來獲取更高級別的訪問權(quán)限：嗅探器可以窺探低層協(xié)議的信息，比如記錄兩臺主機之間的網(wǎng)絡(luò)接口地址、遠程網(wǎng)絡(luò)接口的IP地址、IP路由信息和TCP連接的序列號等。這些信息由非法入侵者掌握后將對網(wǎng)絡(luò)安全構(gòu)成極大的危害。為了監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)，嗅探器應(yīng)該放置在合適的物理位置。通常將嗅探器放置在被攻擊機器或網(wǎng)絡(luò)附近，這樣它可能捕獲到更多感興趣的信息。另一個方法就是將其放在網(wǎng)關(guān)上，或者路由器上，從而對大量的數(shù)據(jù)進行監(jiān)控。

4 結(jié)束語

嗅探器往往是攻擊者在侵入系統(tǒng)后用來收集有用信息的工具，因此防止系統(tǒng)被突破是安全防范的關(guān)鍵。系統(tǒng)安全管理員要定期對網(wǎng)絡(luò)進行安全測試，及時安裝系統(tǒng)安全補丁，防患于未然。同時也要注意，許多嗅探器攻擊往往來自網(wǎng)絡(luò)內(nèi)部。

參考文獻：

[1]陳偉，顧楊，李晨陽.無線釣魚接入點攻擊與檢測技術(shù)研究綜述[J].武漢大學(xué)學(xué)報（理學(xué)版），2014（01）：13-23.

[2]盧艷，李輝.交換式局域網(wǎng)ARP欺騙嗅探技術(shù)研究[J].計算機工程與應(yīng)用，2013（01）：94-97+111.

[3]康文崢，余鵬.交換式網(wǎng)絡(luò)嗅探與反嗅探研究[J].數(shù)字技術(shù)與應(yīng)用，2013（03）：70.

[4]訾麗丹.基于嗅探技術(shù)的內(nèi)部網(wǎng)絡(luò)安全研究[J].經(jīng)濟研究導(dǎo)刊，2013（16）：216-218.

作者簡介：王芳（1973.11-），女，廣東翁源人，計算機教師，計算機科學(xué)與技術(shù)專業(yè)本科畢業(yè)，專業(yè)基礎(chǔ)扎實，教學(xué)經(jīng)驗豐富，教學(xué)效果突出，曾擔任計算機專業(yè)組組長，教務(wù)科副科長。

作者單位：廣東省工業(yè)高級技工學(xué)校，廣東韶關(guān) 512023