网络嗅探技术在计算机信息安全中的应用.docVIP

网络嗅探技术在计算机信息安全中的应用 　　摘 要：嗅探技术是网络安全应用中常用的技术，可以作为黑客入侵的工具，也可以作为计算机安全管理的工具。对于安全维护人员来说，可以借助嗅探技术对网络进行监控，及时发现网络攻击行为。网络嗅探技术对于维护计算机安全具有重要的意义。本文介绍了基于网络嗅探技术的网络检测以及入侵防范应用，对计算机安全维护工作具有一定的参考价值。 中国论文网 /8/view-7174944.htm 　　关键词：网络嗅探技术；信息安全应用 　　引言 　　嗅探（sniff），有时也被称为监听，在网络安全的范畴中，一般是指通过某种方式窃听不是发送给本机或本进程的数据包的过程。网络嗅探技术在信息安全防御技术和黑客攻防技术中都处于非常重要的地位。了解网络嗅探技术的原理、应用和发展方向有助于防范由于嗅探技术滥用引发的信息安全问题；通过将网络嗅探技术应用在信息安全防御领域，可以协助信息安全人员进行安全体系、特别是安全监控体系的架构和实现。 　　一、嗅探的分类和基本原理 　　根据功能不同，嗅探器可以分为通用网络嗅探器和专用嗅探器。前者支持多种协议，如tcpdump、Snifferit等；后者一般是针对特定软件或只提供特定功能的，如专门针对MSN等即时通讯软件的嗅探器、专门嗅探邮件密码的嗅探器等。根据工作环境和工作原理不同，嗅探技术又可以分为：本机嗅探、广播网嗅探、交换机嗅探等类型。 　　1.1本机嗅探 　　本机嗅探是指在某台计算机内，嗅探程序通过某种方式，获取发送给其他进程的数据包的过程。例如，当邮件客户端在收发邮件时，嗅探程序可以窃听到所有的交互过程和其中传递的数据。一般来说，网络数据包被获取后，将经过硬件驱动、操作系统协议栈之后才进入应用程序处理。因此，如果在硬件驱动层或操作系统协议栈层编写数据包捕获代码，就可以获得其他应用程序的网络数据。 　　1.2广播网嗅探 　　广播网，一般是基于集线器（HUB）的局域网络，其工作原理是基于总线方式的，所有的数据包在该网络中都会被广播发送（即发送给所有端口）。广播网的数据传输是基于“共享”原理的，所有的同一本地网范围内的计算机共同接收到相同的数据包。正是因为这样的原因，以太网卡都构造了硬件的“过滤器”，这个过滤器将忽略掉一切和自己无关的网络信息，事实上是忽略掉了与自身MAC地址不符合的信息。在广播网中所有的网卡都会收到所有的数据包，然后再通过自身的过滤器过滤不需要的数据包，因此，只要将本机网卡设为混杂模式，就可以使嗅探工具支持广播网或多播网的嗅探。 　　1.3基于交换机的嗅探 　　交换机的工作原理与HUB不同，它不再将数据包转发给所有的端口，而是通过“分组交换”的方式进行单对单的数据传输。即，交换机能记住每个端口的MAC地址，根据数据包的目的地址选择目的端口，所以只有对应该目的地址的网卡能接收到数据。基于交换机的嗅探是指在交换环境中，通过某种方式进行的嗅探。由于交换机基于“分组交换”的工作模式，因此，简单的将网卡设为“混杂”模式并不能够嗅探到网络上的数据包，而只能接收本机的数据包，因此必须要采用其他的方法来实现基于交换机的嗅探。 　　二、网络嗅探技术在信息安全中的应用 　　2.1网络入侵监测 　　网络入侵检测系统，是指通过模式匹配、异常分析等方式对网络上的数据包进行分析，从而判断出入侵、攻击、病毒蠕虫传播等网络违规事件的软件或硬件。网络入侵检测系统实际上是带有专家系统的嗅探工具。网络入侵检测将嗅探得到的数据包提交分析模块进行分析，分析模块根据专家库中的模型和特征提取出可疑的、有害的事件，从而实现对网络入侵、蠕虫病毒的报警。网络入侵检测同网络协议分析器一样，一般工作在交换机的镜像端口上。 　　2.2网络安全审计 　　网络审计是指通过网络嗅探工具，将网络数据包捕获、解码并加以存储，以备后期查询或提供即时报警。通过嗅探技术，网络审计可以实现上网行为审计、网络违规数据的监控等功能。利用网络嗅探技术开发的网络行为审计类软件是运行在关键的网络节点，对网络传输的数据流进行合法性检查的工具。网络行为审计可以检测到以下的网络违规行为： 　　⑴发送反动、色情或其他含有违反国家法律规定内容的邮件； 　　⑵在网站或论坛中散布反动、色情或其他含有违反国家法律规定内容的信息； 　　⑶对反动、色情或其他含有违反国家法律规定内容网站的访问。利用类似于网络通讯劫持和篡改的技术，还可以将上述的内容进行实时替换或阻断。 　　2.3蠕虫病毒的控制 　　当前网络中病毒蠕虫的泛滥越来越严重，其传播范围越来越大，而传播速度越来越快，采用嗅探技术，对蠕虫病毒的控制可起到以下作用： 　　⑴通过基于网络嗅探的流量检测，及时发现网络流量异常，并根据已经建成的流量异常模型，初步判断出网络蠕虫病毒爆发的前