网络嗅探技术ppt39.pptVIP

对于SunOS、和其它BSD Unix系统可以使用lsof来检测嗅探器的存在。lsof最初的设计目地并非为了防止嗅探器入侵，但因为在嗅探器入侵的系统中，嗅探器会打开其输出文件，并不断传送信息给该文件，这样该文件的内容就会越来越大。如果利用lsof发现有文件的内容不断的增大，我们就怀疑系统被嗅探。因为大多数嗅探器都会把截获的“TCP/IP”数据写入自己的输出文件中。这里可以用：ifconfig le0检查端口.然后用： ＃/usr/sbin/lsof test ＃vi test 或 grep [打开的端口号] 检测文件大小的变化。 如果你确信有人接了嗅探器到自己的网络上，可以找一些验证的工具。这种工具称为时域反射计量器(Time Domaio Reflectometer，TDR)。TDR对电磁波的传播和变化进行测量。将一个TDR连接到网络上，能够检测到未授权的获取网络数据的设备。 3.查看进程 在Windows下，按Ctrl+Alt+Del键，查看“应用程序”、“进程”和“用户”项，若发现可疑的程序、进程和用户，则可怀疑机器被sniffer，或是被病毒侵袭，或是正在被黑客攻击。 11.3.2 Sniffer的防范措施 嗅探器通常是难以被发现的，因为它是被动的程序，一个老练的攻击者可以轻易通过破坏日志文件来掩盖信息。它们并不会给别人留下进行核查的尾巴。完全主动的解决方案很难找到，我们可以采用一些被动的防御措施： l 安全的拓扑结构； l 会话加密； l 用静态的ARP或者IP－MAC对应表代替动态的ARP。 1.安全的拓扑结构 嗅探器只能在当前网段上进行数据捕获。这就意味着，将网络分段工作进行得越细，嗅探器能够收集的信息就越少。但是，除非你的公司是一个ISP，或者资源相对不受限制，否则这样的解决方案需要付出很大的代价。网络分段需要昂贵的硬件设备。有三种网络设备是嗅探器不可能跨过的：交换机、路由器、网桥。我们可以通过灵活的运用这些设备来进行网络分段。大多数早期建立的内部网络都使用HUB来连接多台工作站，这就为网络中数据的泛播(数据向所有工作站流通)，让嗅探器能顺利地工作提供了便利。普通的嗅探器程序只是简单地进行数据的捕获，因此需要杜绝网络数据的泛播。 随着交换机的价格下降，网络改造变得可行且很必要了。不使用HUB而用交换机来连接网络，就能有效地避免数据进行泛播，也就是避免让一个工作站接收与之不相关的数据。 对网络进行分段，比如在交换机上设置VLAN，使得网络隔离不必要的数据传送。一般可以采用20个工作站为一组，这是一个比较合理的数字。然后，每个月人为地对每个网段进行检测(也可以每个月采用MD5随机地对某个网段进行检测)。网络分段只适应于中小的网络。如果有一个500个工作站的网络，分布在50个以上的部门中，若要对其完全的分段的话，成本上是很高的。 2.会话加密 会话加密提供了另外一种解决方案。不用特别地担心数据被嗅探，而是要想办法使得嗅探器不认识嗅探到的数据。这种方法的优点是明显的：即使攻击者嗅探到了数据，这些数据对他也是没有用的。S/key和其它一次性口令技术一样，使窃听帐号信息失去意义。S/key的原理是远程主机已得到一个口令（这个口令不会在不安全的网络中传输），当用户连接时会获得一个“挑战”(challenge)信息，用户将这个信息和口令经过某种算法运算，产生正确的“响应”(response)信息（如果通讯双方口令正确的话）。这种验证方式无需在网络中传输口令，而且相同的“挑战/响应”也不会出现两次。S/key可从以下网址得到：ftp：///pub/nmh/skey。它的缺点是所有帐号信息都存放在一台主机中，如果该主机被入侵，则会危及整个网络安全。另外配置它也不是一件简单的事情。 Kerberos包括流加密rlogind和流加密telnetd等，它可以防止入侵者捕获用户在登录完成后所进行的操作。在加密时有两个主要的问题：一个是技术问题，一个是人为问题。 技术问题是指加密能力是否高。例如，64位的DES加密就可能不够安全，而且并不是所有的应用程序都集成了加密支持。另外，跨平台的加密方案还比较少见，一般只在一些特殊的应用之中才有。人为问题是指，有些用户可能不喜欢加密，他们觉得这太麻烦。用户可能开始会使用加密，但很少能够坚持下来。总之，必须寻找一种友好的媒介，还要具有一定的用户友好性。使用secure shell、secure copy或者IPV6协议都可以使得信息安全的传输。传统的网络服务程序，SMTP、HTTP、FTP、POP3和Telnet等在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，嗅探器非常容易就可以截获这些