第8章计算机网络安全基础.pptVIP

可见，Sniffer工作在网络的底层，它会捕获所有正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，通过对数据的分析获得所处的网络状态和整体布局。 嗅探器在功能和设计方面有很多不同，有些只能分析一种协议，有些可以分析几百种。一般情况下，多数嗅探器可以分析下面的协议：标准以太网、TCP/IP、IPX、DECNet。 3) ?Sniffer攻击的防御 Sniffer最大的危险性就是它很难被发现，在单机情况下发现一个Sniffer还是比较容易的，可以通过查看计算机上当前正在运行的所有程序来实现，当然这不一定可靠。在UNIX系统下可以使用命令ps –aux，这个命令可列出当前的所有进程、启动这些进程的用户、它们占用CPU的时间以及占用多少内存等。在Windows系统下，可以按下Ctrl＋Alt＋Del键，查看任务列表。不过，编程技巧高的Sniffer即使正在运行，也不会出现在这里。另一个方法就是在系统中搜索，查找可怀疑的文件。但入侵者用的可能是他们自己写的程序，所以这给发现Sniffer造成相当大的困难。 发现一个Sniffer是非常困难的，但是仍然有办法抵御Sniffer的嗅探攻击。一种方法就是对信息进行加密，即使黑客捕捉到了我们的机密信息，也无法解密，这样，Sniffer也就失去了作用。黑客主要用Sniffer来捕获Telnet、FTP、POP3等数据包，因为这些协议以明文在网上传输，我们可以使用一种叫做SSH的安全协议来替代Telnet等容易被Sniffer攻击的协议。SSH又叫Secure Shell，它是一个在应用程序中提供安全通信的协议，建立在客户机/服务器模型上。SSH服务器分配的端口是22，连接是通过使用一种来自RSA的算法建立的。在授权完成后，接下来的通信数据用IDEA技术来加密。这种加密方法通常是比较强的，适合于任何非秘密和非经典的通信。 另一种抵御Sniffer攻击的方法是使用安全的拓扑结构。因为Sniffer只对以太网、令牌环网等网络起作用，所以尽量使用交换设备的网络可以从最大程度上防止被Sniffer窃听到不属于自己的数据包。还有一个原则用于防止Sniffer的被动攻击，一个网络段必须有足够的理由才能信任另一网络段。网络段应该从考虑具体的数据之间的信任关系上来设计，而不是从硬件需要上设计。一个网络段仅由能互相信任的计算机组成。通常它们在同一个房间里或在同一个办公室里，应该固定在建筑的某一部分。注意每台机器是通过硬连接线接到集线器(Hub)的，集线器再接到交换机上。由于网络分段了，数据包只能在这个网段上被捕获，其余的网段将不可能被监听。 所有的问题都归结到信任上面。计算机为了和其他计算机进行通信，它就必须信任那台计算机。系统管理员的工作就是决定一个方法，使得计算机之间的信任关系很小。这样，就建立了一种框架，告诉用户什么时候放置了一个Sniffer，它放在哪里，是谁放的等。 如果局域网要和Internet相连，仅仅使用防火墙是不够的。入侵者已经能从一个防火墙后面扫描，并探测正在运行的服务。应该关心的是一旦入侵者进入系统，他能得到些什么。我们必须考虑一条这样的路径，即信任关系有多长。举个例子，假设用户的Web服务器对计算机A是信任的，那么有多少计算机是A信任的呢？又有多少计算机是受这些计算机信任的呢？一句话，就是确定最小信任关系的那台计算机。在信任关系中，这台计算机之前的任何一台计算机都可能对自己的计算机进行攻击并成功。我们的任务就是保证一旦出现Sniffer，它只对最小范围有效。 Sniffer往往是在攻击者侵入系统后使用的，用来收集有用的信息。因此，防止系统被突破很关键。系统安全管理员要定期的对所管理的网络进行安全测试，防止安全隐患。同时要控制拥有相当权限的用户的数量，因为许多攻击往往来自网络内部。 4) 安装检测Sniffer的工具 Antisniff Antisniff是由著名黑客组织L0pht(现在是安全公司)开发的工具，用于检测本地网络是否有机器处于混杂模式(即监听模式)。 一台处于混杂模式的机器意味着它很可能已被入侵并被安装了Sniffer。对于网络管理员来说，了解哪台机器正处于混杂模式以做进一步的调查研究是非常重要的。 Antisniff 1.X版运行在以太网的Windows NT系统中，并提供了简单易用的用户图形界面。该工具以多种方式测试远程系统是否正在捕捉和分析那些并不是发送给它的数据包。 2．拒绝服务攻击 1) 拒绝服务攻击概述 拒绝服务攻击(DoS)从诞生起就成为黑客以及