Sniffer监听与网络安全管理.docVIP

Sniffer监听与网络安全管理 摘要： 随着计算机网络的普及和发展，我们的生活和工作都越来越依赖于网络。与此相关的网络安全问题也随之凸现出来，目前网络监听技术经常被计算机网络管理员及黑客使用，以得到用其他方法很难获得的信息。网络管理员可以利用网络监听技术分析网络异常，维护网络安全。 关键字： 网络安全 监听 sniffer 本文主要阐述了目前的网络监听的技术现状、用途和未来的发展方向，并提出了相应的防范机制。对最广泛的监听工具Sniffer做了简单的描述， 一、网络安全威胁与监听概述 最普遍的安全威胁来自内部，同时这些威胁通常都是致命的。其中网络监听对于安全防护一般的网络来说威胁巨大，很多黑客也使用监听器进行网络入侵的渗透。网络监听器对信息安全的威胁来自其被动性和非干扰性，使得其具有很强的隐蔽性，往往使信息泄密不易被发现。数据包监听器指的是与局域网相连并从以太网帧获取信息的应用程序软件或硬件设备。这些系统的最初意图在于对以太网通信进行故障排除和分析，或者深入了解帧以检查单个的 IP 数据包。监听器以混杂模式运行，即它们侦听物理线路上的每个数据包。 我国的网络正在快速发展中，相应的问题也就显现出来，网络管理及相应应用自然将越发重要，而监听技术正是网络管理和应用的基础，其意义当然重要，放眼当前相关工具有ethereal, sniffer等无一不是国外软件，随着中国网络的发展，监听系统必将大有用武之地，因此监听技术的研究已是时势的要求。 网络数据监听有助于网络管理、故障报警及恢复，也就是运用强大的专家分析系统帮助维护人员在最短时间内排除网络故障。 二、Sniffer软件介绍 1、sniffer工作原理 通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：帧的目标区域具有和本地网络接口相匹配的硬件地址；帧的目标区域具有广播地址。 在接受到上面两种情况的数据包时，网卡通过cpu产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。 而sniffer就是一种能将本地网卡状态设成混杂状态的软件，当网卡处于这种混杂方式时，该网卡具备广播地址，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。 可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：sniffer是极其安静的，它是一种消极的安全攻击。 2、监听器的主要工作流程 通常启动监听器后，首先要得到本地操作系统的版本号。由用户选择监听的网络适配器号，然后，将所选择的设备打开，这里可以设置为“混杂”模式打开，也可以是“直接”模式打开。接着用一个指针定位这个设备并对其进行初始化操作，开始接受网络包了。最后打印数据包，释放数据包的存储空间和指向设备的指针，关闭设备，退出。 3、Sniffer的扩展应用 （1）专用领域的Sniffer Sniffer被广泛应用到各种专业领域，例如FIX (金融信息交换协议)、MultiCast(组播协议)、3G (第三代移动通讯技术)的分析系统。其可以解析这些专用协议数据，获得完整的解码分析。 （2）长期存储的Sniffer应用 由于现代网络数据量惊人，带宽越来越大。采用传统方式的Sniffer产品很难适应这类环境，因此诞生了伴随有大量硬盘存储空间的长期记录设备。例如nGenius Infinistream等。 （3）易于使用的Sniffer辅助系统 由于协议解码这类的应用曲高和寡，很少有人能够很好的理解各类协议。但捕获下来的数据却非常有价值。因此在现代意义上非常流行如何把协议数据采用最好的方式进行展示，包括产生了可以把Sniffer数据转换成Excel的BoneLight类型的应用和把Sniffer分析数据进行图形化的开源系统PacketMap等。这类应用使用户能够更简明地理解Sniffer数据。 三、Sniffer在网络管理中的应用 Sniffer在网络中的应用，主要是利用其流量分析和查看功能，解决网络中出现的网络传输质量问题。 1、专家分析系统 Sniffer与其他网络协议分析最大的差别在于它的人工智能系统（Expert Syistem）。Sniffer能够监视并捕获所有网络上的信息数据包，并同时建立一个特有网络环境下的目标知识库。智能的专家技术扫描这些信息以检测网络异常现象，并自动对每种异常现象进行归类。经过问题分离、分析且归类