网络欺骗和嗅探技术探讨
开篇:润墨网以专业的文秘视角,为您筛选了一篇网络欺骗和嗅探技术探讨范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要:网络欺骗存在的原因是在网络世界里,存在着针对网络身份的授权、监督和审计机制。针对网络欺骗,一方面要综合使用多种技术防止欺骗的发生,另一方面要在网络的管理和使用过程中增强主动防范意识。嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据包的一种工具。嗅探器是一种常用的数据收集方法。本文将探讨网络欺骗的类型及防范技术,以及嗅探技术在防范网络欺骗中的应用。
关键词:网络欺骗;嗅探技术;防范
中图分类号:TP393.08
网络欺骗能够显著地增加攻击者的工作量、攻击复杂度以及不确定性,从而使攻击者不知道其进攻是否奏效或成功,而且它允许防护者跟踪攻击者的行为,在攻击者之前修补系统可能存在的安全漏洞。嗅探器(sniffer)是利用计算机的网络接口截获目的地为其他计算机的数据包的一种工具[1]。嗅探器是一种常用的数据收集方法。它通常用于分析网络的流量,以便找出网络中潜在的问题。但是由于它能够捕获网络数据,因此有可能威胁网络安全。它可以捕获网络上的敏感信息,如用户的帐号、密码或者商业机密等。
1 网络欺骗概述
从原理上讲,每个有价值的网络系统都存在着安全弱点,而且这些弱点都可能被攻击者所利用。网络欺骗主要有以下3个作用:(1)影响攻击者,使之按照防护者的意志进行选择;(2)迅速地检测到攻击者的进攻并获知其进攻技术和意图;(3)消耗攻击者的资源。一个理想的网络欺骗可以使攻击者感到他们不是很容易地达到了期望的目标(当然目标是假的),并使其相信攻击取得了成功。
2 网络欺骗的防范
2.1 IP欺骗的防范。针对改变数据包源地址的欺骗已经有了一些防范措施,比如在网络出口处的路由器或者防火墙上设置规则,不允许源地址不是本网络的数据包流出。那些精心设计的源路由欺骗现在已经很难奏效了,因为很多路由器都忽略源路由选项,而且一般防火墙都禁止有源路由选项的数据包通过。至于主机间的信任关系,首先应该尽量减少使用这种基于简单信任关系的共享机制,另一方面,即使使用信任关系,也要精心设计信任规则,防止由于放松条件导致不必要的威胁。
2.2 邮件欺骗的防范。针对相似的电子邮件地址、欺骗性的别名和“回复地址”等问题,还是要依靠用户自己增强安全意识,尤其是涉及传送敏感信息时,要多审查,多验证。另一方面,越来越多的邮件系统管理员意识到攻击者在利用他们的系统进行欺骗,所以较新版本的邮件服务器本身也采取了许多安全措施,如不允许邮件转发、对发信人的身份进行认证、或者设置邮件服务器只发送或者接收指定域名的邮件等,使邮件服务的安全得到整体提高[2]。
2.3 Web欺骗的防范。 防范Web欺骗最根本的方法是对服务器和客户端的身份进行鉴别。目前比较常用的方式是使用SSL协议,服务器和客户端使用数字证书证明自己的身份。用户登录网站时,网站向客户提供自己的证书,服务器可以选择是否对客户进行认证,认证通过之后可以对双方的会话进行加密。
2.4 社会工程的防范。首先,社会工程很难防范,因为它涉及人及社会关系,属于网络安全管理的范畴。要防范通过社会工程的欺骗,不仅要制定合理的制度和规范,而且要加强对相关人员的教育和培训,使其时刻保持安全意识。
3 嗅探技术
嗅探器在形式上可以是硬件产品,也可以是运行的软件程序。为了说明以太网监听的原理,首先分析以太网中常用的网络互联设备:共享集线器和交换机在处理数据转发时的不同方式。
共享集线器是一个总线结构的网络连接设备,以共享方式工作,即当一个机器向另一个机器发送数据时,接享集线器先收到数据,然后把数据发给与之连接的其他接口,所以共享集线器连接的所有机器的网卡都能接收到数据。显然,在共享集线器工作模式下,两个机器间传输数据的时候,其他的接口也被占用,此时同一网段同一时间只能有两个机器进行数据通信;而使用交换机连接的网络中,两个机器间传输数据的时候没有占用其他端口,所以其他端口之间也可以传输数据。这就是共享集线器与交换机的关键区别所在[3]。
网卡是主机用来接收网络数据的物理设备。当网卡收到传输来的数据时,网卡内的程序先接收数据头的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断是否接收。如果认为应该接收就产生中断信号通知CPU,否则就将其丢弃。CPU得到中断信号产生中断,操作系统根据网卡中断程序地址调用驱动程序来接收数据,驱动程序接收数据后放入堆栈让操作系统处理。可见,网卡能够根据目标MAC地址判断是否接收数据。
数据在链路层以帧为单位进行传输。网卡驱动程序将上层协议数据打包成帧,通过网卡发送到网线k。通过网线到达目的机器后,在目的机器上执行相反的过程。接收端机器的网卡捕获到这些帧,告诉操作系统帧到达,并对其进行存储。就是在这个传输和接收的过程中,嗅探器会产生安全问题。
若采用共享集线器互联,当一台主机发送帧时,连接在同一集线器上的所有机器的网卡都可以听到这个帧,但对不属于自己的帧一般不予响应。可是,如果某台机器的网卡处于混杂(promiscuous)模式,则网卡可以接收其听到的所有数据帧,那么它就可以捕获网络上所有的报文。如果一台机器的网卡被配置成工作在混杂模式,它就是一个嗅探器。嗅探器在网络中的位置如图1所示。
图1 嗅探器在网络中的位置
嗅探器工作在网络环境中的底层,它会监听所有正在网络上传送的数据,并且通过相应的软件处理,便可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。它可能造成的危害包括[4]:(1)嗅探器可以捕获各种口令:这大概是绝大多数人非法使用嗅探器的理由。嗅探器可以记录明文传送的userid和passwd。一般嗅探器只嗅探每个报文的前200~300个字节,用户名和口令都包含在这一部分内容中;(2)嗅探器能够捕获专用的或者机密的信息:嗅探器可以很轻松捕获在网上二传送的用户名、口令、信用卡号码、帐号SnPIN码等。通过分析数据包,可以很方便地记录别人之间敏感的信息传送,或者干脆复制整个会话过程;(3)嗅探器可能危害网络邻居的安全,或者用来获取更高级别的访问权限:嗅探器可以窥探低层协议的信息,比如记录两台主机之间的网络接口地址、远程网络接口的IP地址、IP路由信息和TCP连接的序列号等。这些信息由非法入侵者掌握后将对网络安全构成极大的危害。为了监听网络数据,嗅探器应该放置在合适的物理位置。通常将嗅探器放置在被攻击机器或网络附近,这样它可能捕获到更多感兴趣的信息。另一个方法就是将其放在网关上,或者路由器上,从而对大量的数据进行监控。
4 结束语
嗅探器往往是攻击者在侵入系统后用来收集有用信息的工具,因此防止系统被突破是安全防范的关键。系统安全管理员要定期对网络进行安全测试,及时安装系统安全补丁,防患于未然。同时也要注意,许多嗅探器攻击往往来自网络内部。
参考文献:
[1]陈伟,顾杨,李晨阳.无线钓鱼接入点攻击与检测技术研究综述[J].武汉大学学报(理学版),2014(01):13-23.
[2]卢艳,李辉.交换式局域网ARP欺骗嗅探技术研究[J].计算机工程与应用,2013(01):94-97+111.
[3]康文峥,余鹏.交换式网络嗅探与反嗅探研究[J].数字技术与应用,2013(03):70.
[4]訾丽丹.基于嗅探技术的内部网络安全研究[J].经济研究导刊,2013(16):216-218.
作者简介:王芳(1973.11-),女,广东翁源人,计算机教师,计算机科学与技术专业本科毕业,专业基础扎实,教学经验丰富,教学效果突出,曾担任计算机专业组组长,教务科副科长。
作者单位:广东省工业高级技工学校,广东韶关 512023