Intranet网络监听技术及防范策略.docVIP

Intranet的网络监听技术及防范策略 Network Sniff an Antisniff on the Intranet 王长征 刘立月 Wang Changzheng Liu Liyue （华东交通大学信息工程学院，南昌，330013） 摘要：本文在分析Intranet环境下的网络监听技术的基础上，介绍了常用的网络监听检测技术和防止网络监听的措施，以提高对来自网络内部的安全隐患的认识。 关键词：网络监听 监听检测 ARP 引言 Intranet大多使用以太网技术构建，出于安全方面的考虑，大多数Intranet都在网络中设置了防火墙和具有安全策略的路由器等软、硬件措施，甚至购买了价格昂贵的入侵检测设备，以监视网络安全，对出入的数据流进行严格的过滤和审查。但据统计大约有70%以上的安全因素来自网络内部，由于防火墙等安全措施对内部的数据流量基本不做任何检查，而且以太网的广播特性使内部计算机能轻易的对一些重要的信息进行监听，非法获得一些重要的密码和口令，或直接从获取的数据中读取重要的信函或文件。 网络监听又成为网络嗅探（Sniff），是指计算机利用网络协议的开放性及通信媒体的广播特性，通过网络接口获取网络中传输给第三方计算机的数据报文的一种技术手段。由于网络监听只获取数据报文而并不阻断对方的通信，使被监听方无法发现它的存在，网络监听程序本身又是被动的程序，因此在网络上不留下任何痕迹，难以被发现，因此带来极大安全隐患。 1 网络监听技术 1. 1 以太网网络接口设备的工作模式 网络接口设备简称为以太网卡，网卡工作在数据链路层，以数据帧为数据处理单位，每块网卡有全球唯一的48位物理地址（MAC地址）。网卡负责从物理网络中接收数据帧并提取出数据报文传给上层协议程序或从上层接收数据报文把数据报文装载在数据帧中发送到物理网络上。因此网络中的计算机逻辑上以IP地址为通信地址，但在实际的物理网络中以MAC地址传送数据帧。 网卡通常有两种工作模式，即一般模式和混杂模式。在接收到数据帧时，不同模式下的处理方式也有区别。在一般模式下，网卡仅接收帧目的地址与本地网络接口地址相同的数据帧和广播帧，而丢弃其他的数据帧；在混杂模式（大多数网卡为了调试方便都设计了这种工作模式）下，网卡会接收所有出现在网络接口上的数据帧，并移交给上层业务软件做进一步处理。 1. 2以太网中的监听技术 以太网分为共享式以太网和交换式以太网，共享式以太网通常以集线器作为网络连接设备，交换式以太网通常使用交换机作为网络连接设备。共享式以太网中数据帧以广播的方式传送到每个以太网端口，网内每台主机的网卡能接收到网内的所有数据帧。因此，只要把网卡设置成为混杂工作模式就可以获取到达本地网卡的所有数据帧，从而可以递交给上层软件对数据进行分析和加工获取有价值的信息。如图1所示，主机A通过集线器传送数据给主机B，由于集线器广播特性，只要主机C设置为混杂模式就可以进行网络监听。 以太网交换机负责对数据帧的转发，通过维护有一张地址映射表（ARP表），记录端口和端口对应主机的MAC地址之间的映射关系。当数据帧到达交换机后，首先分析数据帧的目的MAC地址，然后根据地址映射表，将数据帧发送到相应的端口上，而不会转发到其他端口。交换机仅有两种情况会发送广播报文：一是数据帧的目的MAC地址不在交换机维护的ARP表中，此时数据帧向所有端口转发。二是数据帧本身就是广播帧。 因此，交换机可以在很大程度上避免非法的网络监听。但交换机也不是绝对安全的，仍然可以对其进行监听。由于ARP协议在设计时注重效率，是不可靠的协议，即使主机没有发出ARP请求，也会接受发给它的ARP回应，并将回应的MAC地址和IP地址的对应关系放入自己的ARP缓存中。因此我们可以由一台监听主机向目标主机发送伪造的ARP应答包，骗取目标系统更新ARP表，将被监听主机的网关的MAC地址修改为监听主机的MAC地址，使数据包都经过监听主机，并把数据包转发到真正的网关，从而获取所有监听主机的数据包。如图2所示，主机B对主机A和网关C分别发出ARP欺骗包，使A和C的ARP缓存的MAC表“中毒”，以获取所有主机发给网关C的数据帧，并将数据传给真正的网关以维持数据通信。因此，交换式以太网中的计算机网卡不需要设置为混杂模式即可实现对网络的监听，但被监听的主机却感觉不到正被别的计算机监听。 2 监听检测技术 对网络监听主要有两种对策：一是利用监听检测技术找出处于混杂模式的监听主机或运行了监听程序的主机，并采取相应主动措施，二是对网络分段、划分VLAN和数据加密为主的被动防范措施。 网络监听是被动的，而且不会在网络上留下痕迹，但仍有办法进行监听检测。可以使用专业的监听检测软件，如常用的AntiSniffer对网络内部实施监听的