◆段曉東

網(wǎng)絡攻擊之嗅探攻擊的原理及仿真實現(xiàn)

◆段曉東

（慶陽職業(yè)技術(shù)學院 甘肅 745000）

隨著網(wǎng)絡技術(shù)的快速發(fā)展，網(wǎng)絡攻擊手段日趨多樣化和復雜化，在這其中嗅探攻擊因其攻擊簡單、門檻低而被不法分子廣泛應用。但其工作的原理和直觀的表現(xiàn)，大多數(shù)網(wǎng)絡維護人員仍停留在文字層面。為此，本文將介紹攻擊分類與嗅探攻擊原理，同時用計算機仿真實現(xiàn)嗅探攻擊的一般過程，以此更好地保障網(wǎng)絡的信息安全。

網(wǎng)絡攻擊；嗅探攻擊；仿真實現(xiàn)

網(wǎng)絡的發(fā)展離不開信息安全的防護，就猶如矛與盾的關(guān)系，此消彼長。只有從根本上認識到網(wǎng)絡攻擊和犯罪對信息安全造成的巨大危害，才能制定切實可行的防范措施，才可以防患于未然。

1 網(wǎng)絡攻擊的分類及其概念

網(wǎng)絡安全威脅是指網(wǎng)絡環(huán)境下的信息系統(tǒng)中分布在主機、鏈路和轉(zhuǎn)發(fā)結(jié)點中的信息受到威脅，存在危險，信息系統(tǒng)無法持續(xù)正常提供服務。網(wǎng)絡攻擊是導致網(wǎng)絡安全威脅的主要原因，而嗅探攻擊就是常見的網(wǎng)絡攻擊。

網(wǎng)絡攻擊是指利用網(wǎng)絡中存在的漏洞和安全缺陷對網(wǎng)絡中的硬件、軟件及信息進行的攻擊，其目的是破壞網(wǎng)絡中信息的保密性、完整性、可用性和不可抵賴性，削弱甚至癱瘓網(wǎng)絡的服務功能。

網(wǎng)絡攻擊分為主動攻擊和被動攻擊，被動攻擊由于對網(wǎng)絡和主機都是透明的，因此難以檢測。

主動攻擊是指改變網(wǎng)絡中的信息、狀態(tài)的攻擊行為。主動攻擊可破壞信息的保密性、完整性和可用性。比如篡改信息（截獲信息并對信息進行篡改，或?qū)Υ鎯υ谥鳈C中的信息進行非法修改）；欺騙攻擊是另外一種主動攻擊，是利用錯誤的信息誤導網(wǎng)絡數(shù)據(jù)傳輸過程和用戶資源訪問過程的攻擊行為，比如用偽造的IP地址作為發(fā)動攻擊的IP分組的源IP地址；拒絕服務攻擊則指通過消耗鏈路帶寬和主機計算能力使網(wǎng)絡喪失服務功能的攻擊行為。

被動攻擊則是指不會對經(jīng)過網(wǎng)絡傳輸?shù)男畔?、網(wǎng)絡狀態(tài)產(chǎn)生影響的攻擊行為。被動攻擊的特點是一般只會破壞信息的保密性。常用的被動攻擊主要有嗅探攻擊，它會復制網(wǎng)絡傳輸?shù)男畔?，但不會改變信息原始狀態(tài)。另外，非法訪問和數(shù)據(jù)流分析也屬于被動攻擊的一種。

2 嗅探攻擊原理

嗅探攻擊原理是終端A向終端B傳輸信息過程中，信息不僅沿著終端A至終端B的傳輸路徑傳輸，還沿著終端A至黑客終端的傳輸路徑傳輸，并且終端A至黑客終端的傳輸路徑對通信雙方終端A和終端B都是透明的。集線器是廣播設備，從某個端口接收到MAC幀后除了接收MAC幀的端口以外的所有其他端口輸出該MAC幀。因此，當集線器從連接交換機的端口接收到MAC幀后，將從連接路由器和黑客終端的端口輸出該MAC幀，該MAC幀同時到達路由器和黑客終端。

3 嗅探攻擊的后果

嗅探攻擊后果有以下幾點：（1）破壞信息的保密性。黑客得到信息后，可以閱讀、分析信息；（2）嗅探攻擊是實現(xiàn)數(shù)據(jù)流分析的前提，只有實現(xiàn)了嗅探攻擊才能對嗅探到的數(shù)據(jù)流進行分析統(tǒng)計；（3）黑客終端可以在保持信息一段時間后，將信息發(fā)送給目的終端，或者反復多次發(fā)送給目的終端，以此來進行重放攻擊。

4 集線器和嗅探攻擊

由于集線器接受到MAC幀后，通過除接收端口以外的所有其他端口輸出MAC幀，所以在黑客終端私自接入集線器的情況下，集線器完成終端A至終端B的MAC幀傳輸過程的同時也將該MAC幀傳輸給黑客私接的黑客終端。

5 仿真過程

正常網(wǎng)絡結(jié)構(gòu)如圖1所示，終端A和終端B連接在交換機上，交換機和路由器相連，終端A和終端B通過交換機向路由器發(fā)送MAC幀。如果黑客需要嗅探終端A和終端B發(fā)送給路由器的MAC幀，可以在路由器和交換機之間插入集線器，并在集線器上連接黑客終端（圖2）。這樣黑客終端就可以嗅探所有的終端A和終端B與路由器之間的MAC幀。連接實驗用的各種網(wǎng)絡設備，在思科網(wǎng)絡設備中，相同類型的設備之間如交換機之間、路由器之間、終端之間通過交叉線連接，而不同設備之間如交換機與終端之間，交換機和路由器之間通過直連線連接。在實驗圖中所涉及的設備之間統(tǒng)一用直連線連接。

圖2 接入黑客終端

6 實驗步驟

（1）啟動Packet Tracer，在邏輯區(qū)根據(jù)圖1的網(wǎng)絡結(jié)構(gòu)放置和連接設備，分別將終端A和終端B用直通線（Copper Straight-Through）連接到交換機Switch的FastEthernet0/1和FastEthernet0/2端口。然后，用直通線連接交換機Switch的FastEthernet0/3端口和路由器Router的FastEthernet0/0接口。

（2）配置終端A的IP Configuration。在終端A的網(wǎng)絡信息配置界面中，在IP Address中輸入它的IP地址192.1.1.1，在子網(wǎng)掩碼中輸入255.255.255.0，在Defualt Gateway（默認網(wǎng)關(guān)地址欄）中輸入終端A的默認網(wǎng)關(guān)地址192.1.1.254，該地址是Router的FastEthernet0/0接口的IP地址。同理在終端B的配置窗口中，設置它的IP地址是192.1.1.2，子網(wǎng)掩碼也是255.255.255.0，默認網(wǎng)關(guān)地址192.1.1.254。

（3）在路由器Router配置窗口中設置FastEthernet0/0接口，使其IP Address（IP地址）為該接口的IP地址192.1.1.254，該IP地址也是該接口所連接的網(wǎng)絡中終端A和終端B的默認網(wǎng)關(guān)地址。在Subnet Mask（子網(wǎng)掩碼）輸入該接口的子網(wǎng)掩碼255.255.255.0。

（4）完成終端和路由器接口配置過程后，選擇簡單報文工具確定終端A和終端B與路由器之間的連通性。

圖3 設備連通圖

（5）按照圖3所示連接放置黑客終端設備后的網(wǎng)絡拓撲圖，在原有的圖中增加集線器和黑客終端兩種設備。在交換機Switch和路由器Router之間接上集線器Hub，并將黑客終端連接到集線器Hub上。

（6）在編輯過濾器窗口中設置報文類型為ICMP（Internet控制報文協(xié)議），目的是可以清楚看到插入的集線器Hub和黑客終端對于終端A和終端B以及路由器是完全透明的。

（7）在模擬操作模式下，通過簡單ICMP報文傳輸過程可以清楚看到集線器不僅把ICMP報文轉(zhuǎn)發(fā)給路由器Router，而且將ICMP報文轉(zhuǎn)發(fā)給黑客終端，也就是黑客終端成功嗅探到終端A發(fā)送給路由器Router的ICMP報文。仿真圖如圖4所示。

圖4 黑客終端嗅探到報文

6 嗅探攻擊的防御措施

對于通過集線器實現(xiàn)的嗅探攻擊，需要有防止黑客終端接入集線器的措施。另外，如果黑客是通過交換機實現(xiàn)的嗅探攻擊，則需要有防止黑客終端接入交換機的措施，提高交換機防御MAC表溢出攻擊的機制。

而對于無線通信過程，嗅探攻擊是無法避免的，在這種情況下，則需要對傳輸?shù)男畔⑦M行加密，使得黑客終端即使嗅探到信息，也因為對信息解密而無法破壞信息的保密性，或者使解密者因為破解的代價過于高昂而放棄嗅探。

7 總結(jié)

綜上所述，計算機網(wǎng)絡的出現(xiàn)，在給人們生活、學習提供便利的同時，但自身也面臨著眾多的安全威脅。只有從根本上認清黑客實現(xiàn)攻擊的手段與原理，才能更有效編織網(wǎng)絡防護網(wǎng)，加固網(wǎng)絡安全的邊界，增加護城河的高度。

[1]沈鑫剡，于海英.網(wǎng)絡技術(shù)基礎與計算思維實驗教程[M].清華大學出版社，2016.

[2]任爭.計算機網(wǎng)絡信息安全及其保護策略研究[J].黑龍江科學，2013.