基于嗅探技术内部网络安全探究.docVIP

基于嗅探技术内部网络安全探究 　　摘 要：内网一般由代理服务器、二层交换机、大量终端等组成，由于网络边界处的防火墙、入侵检测系统可以有效的防御来自于外网的入侵，却忽视了网络内部的安全。针对这样的情况，通过使用OMNI PEEK软件对内网进行实时的流量监控和数据包分析，较好的加强并保障了内网的管理和安全。 关键词：内网安全；流量监控；数据包分析 中图分类号：D92 文献标志码：A 文章编号：1673-291X（2013）16-0216-03 一、引言 由于TCP/IP协议簇本身存在许多安全问题，所以使网络安全难以保障。网络安全一般来说分为网络外部和网络内部两方面，如今这两方面出现的安全问题的比例约为3∶7，显然，最普遍的安全威胁主要来自于内部，而且这些威胁通常都是致命的，其破坏性也远大于外部威胁。内网因终端多，使用人员技术水平等因素的影响，使内网安全难以保障，而且与企业的内网安全关注更多的是数据保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）方面不同，一般（学校、网吧）的内网关注更多的是内部系统的稳定性，防止人为破坏或无意破坏。 由于网络边界处的防火墙（Firewall）、入侵检测（IDS）等多方面监控，且代理服务器只允许外网的终端访问它自身，并有选择地将数据传输给内网终端，对来自网络外部的威胁进行了非常完善的防护，却忽略了内网的安全性。内部网络由大量的终端和网络设备组成，内网用户的非法操作往往具有隐蔽性强，威胁大等特点，内网任何一部分的安全问题，都可能导致整个内部网络的瘫痪。安全问题是三分技术，七分管理，管理才是关键。 二、基于网络嗅探的实时监控 （一）嗅探技术简介 网络监测方法主要有基于网络管理信息的测量方法（如基于SNMP的测量技术）与基于网络嗅探技术的被动监测方法。本实验的网络嗅探是指利用计算机的网络接口截获目的地为其他计算机的数据报文的一种手段。网络嗅探技术不主动向网络发送数据包，而是通过监听、提取和解析网络中正在传输数据包。但是在一个交换式的局域网，此时在其中的任一台主机上安装网络嗅探工具，无论它的嗅探功能如何强大，在交换网络中它也无能为力，这时它只能嗅探到从本机进出的数据包，因此把嗅探工具安装在代理服务器上便可解决此问题。 网络嗅探技术是一把双刃剑，不可用于窃取私密信息，它的的正当用处主要是分析网络的流量，以便找出网络中潜在的问题.如果某时段一网段运行不畅，信息包的发送比较慢，丢包现在严重，而网络管理员又不知道问题所在，此时就可以用嗅探器作出较准确的判断。 （二）实时网络监控 1.协议分析。对内网的实时监控，目的不是为了实时记录网络状态，而是为了发现异常和攻击。本实验对一些常见的内网安全问题进行分析，正常的数据包就不再此阐释。通过运行omni peek，捕获数据包，经查看发现内网主机36的数据包可疑，刚开机不久便向IP地址为00发送大量数据包，且这台主机发出的所有的数据包都是基于HTTP的（见图1）。 通过对某个数据包的源码分析（见图2），解码后（见下页表1）。 由于HTTP是基于请求/响应范式的，信息交换过程要分四个部分：建立连接、发送请求、发送响应、关闭连接。但我们捕获到得36所发出的数据包却很可疑，图3是通过OMNI PEEK对TCP的解析，发现所有数据包均是SYN包，而SYN包是主机要发起TCP连接时发出的数据包，也就是这台内网主机不断的向外网中的某主机建立HTTP连接，但没有得到任何回应（既未收到ACK确认包，也没有释放连接）。 这种情况一般有下面几种可能：（1）成为黑客控制的“肉鸡”，不断向外网发送大量发送无意义的UDP数据包阻塞网络，以至成为造成DDOS攻击的终端；（2）也有可能是某种p2p下载软件的共享功能的原因（从图看出，它收到了2 642个数据包）。有关调查表明P2P业务不断增加，造成了网络带宽的巨大消耗，引起网络拥塞，降低其他业务的性能经查看该终端确实是P2P软件Emule的原因导致，令其关闭软件恢复网络畅通。 3.防止内网ARP欺骗攻击。在局域网中，最常见的破坏某过于ARP欺骗攻击了。由于要通过ARP来完成IP地址转换为第二层物理地址（即MAC地址），ARP对网络安全具有重要的意义。ARP的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。受到ARP攻击主要现象有：局域网内频繁性区域或整体掉线，网速是否时快时慢，极其不稳定等等。于此同时能够在网络中产生大量的ARP通信量使网络阻塞。 由于ARP的原因（不会验证包的来源是否合理），使得一台主机在从未收到ARP请求包时，也可以发送ARP应答包。一旦某台主机收到ARP应答包，即