基于嗅探技术的无线局域网安全策略.docVIP

基于嗅探技术的无线局域网安全策略 　　摘要：无线局域网(WLAN)为传统局域网的补充，在许多领域获得了广泛应用，但由于其传送数据采用无线传输媒介，无线局域网的传送信息存在被窃取的危险，其安全问题也受到格外的关注。 　　关键词：无线局域网；嗅探技术；网络安全 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)36-2858-01 　　无线局域网(WLAN)利用电磁波在空气中发送和接受数据，而无需线缆介质，因而安装方便快捷、组网灵活，在许多领域获得了广泛的应用，但由于其传送数据的开放性，发射的数据可能到达非预期的接收设备，因此通过WLAN传送的信息存在被窃取的风险。嗅探(Sniffer)技术是网络安全攻防技术中很重要的一种，是利用计算机的网络接口截获网络中数据报文的一种技术。嗅探一般工作在网络的底层，可以在对网络传输数据进行记录，从而捕获账号和口令、以及其他用户敏感信息，甚至可以用来获取更高级别的访问权限、分析网络结构进行网络渗透等。对黑客来说，通过嗅探技术能以非常隐蔽的方式攫取网络中的大量敏感信息,与主动扫描相比，嗅探行为更难被察觉，也更容易操作。对安全管理人员来说，借助嗅探技术，可以对网络活动进行实时监控，并进行发现各种网络攻击行为。 　　在WLAN中网络嗅探对信息安全的威胁具有很强的隐蔽性，运行监听程序的主机在窃听的过程中只是被动的接收网络中传输的信息，它不会与其它主机交换信息，也不修改在网络传输的信息包，使网络信息的丢失不容易被发现。尽管它没有对网络进行主动攻击或破坏行为明显，但由它造成的损失也是不可估量的。随着无线局域网技术的广泛应用，其安全问题也被越来越多的用户关注，只有掌握网络嗅探的原理与本质，才能更有效地防患于未然，增强无线局域网的安全防护能力。 　　1 网络嗅探原理 　　根据TCP/IP协议，数据包是经过封装后，再被发送的。两台计算机完成通讯依靠的是MAC地址而与IP地址无关，而目标计算机MAC地址的获取是通过ARP协议广播得到的，而获取的地址会保存在MAC地址表里并定期更新，期间，计算机是不会再去广播寻址信息获取目标MAC地址的，这就给了入侵者以可乘之机。 　　当一台计算机要发送数据给另一台计算机时，它会以IP地址为依据首先查询自身的ARP地址表，如果里面没有目标计算机的MAC信息，它就触发ARP广播寻址数据直到目标计算机返回自身地址报文，而一旦这个地址表里存在目标计算机的MAC信息，计算机就直接把这个地址作为数据链路层的以太网地址头部封装发送出去。为了避免出现MAC地址表保持着错误的数据，系统在一个指定的时期过后会清空MAC地址表，重新广播获取一份地址列表，而且新的ARP广播可以无条件覆盖原来的MAC地址表。 　　假设局域网内有两台计算机A和B在通讯，而计算机C要作为一个窃听者的身份得到这两台计算机的通讯数据，那么它就必须想办法让自己能插入两台计算机之间的数据线路里，而在这种一对一的交换式网络里，计算机C必须成为一个中间设备才能让数据得以经过它，要实现这个目标，计算机C就要开始伪造虚假的ARP报文。 　　ARP寻址报文分两种，一种是用于发送寻址信息的ARP查询包，源机器使用它来广播寻址信息，另一种则是目标机器的ARP应答包，用于回应源机器它的MAC地址，在窃听存在的情况下，如果计算机C要窃听计算机A的通讯，它就伪造一个IP地址为计算机B而MAC地址为计算机C的虚假ARP应答包发送给计算机A，造成计算机A的MAC地址表错误更新为计算机B的IP对应着计算机C的MAC地址的情况，这样一来，系统通过IP地址获得的MAC地址都是计算机C的，数据就会发给以监听身份出现的计算机C了。但这样会造成一种情况就是作为原目标方的计算机B会接收不到数据，因此充当假冒数据接收角色的计算机C必须担当一个转发者的角色，把从计算机A发送的数据返回给计算机B，让两机的通讯正常进行，这样，计算机C就和计算机A、B形成了一个通讯链路，而对于计算机A和B而言，计算机C始终是透明存在的，它们并不知道计算机C在偷听数据的传播。只要计算机C在计算机A重新发送ARP查询包前及时伪造虚假ARP应答包就能维持着这个通讯链路，从而获得持续的数据记录，同时也不会造成被监听者的通讯异常。 　　计算机C为了监听计算机A和B数据通讯而发起的这种行为，就是“ARP欺骗”（ARP Spoofing）或称“ARP攻击”（ARP Attacking），实际上，真实环境里的ARP欺骗除了嗅探计算机A的数据，通常也会顺便把计算机B的数据给嗅探了去，只要计算机C在对计算机A发送伪装成计算机B的ARP应答包的同时也向计算机B发送伪装成计算机A的ARP应答包即可，这样它就可作为一个双向代理的身份插入两者之间的通讯链路。 　　2 防范策