网络嗅探和反嗅探技术浅析.docVIP

网络嗅探和反嗅探技术浅析 　　[摘要] 网络嗅探对于安全防护一般的网络来说，操作简单的同时威胁巨大，网络嗅探技术对信息安全的威胁来自其被动性和非干扰性，使得网络嗅探具有很强的隐蔽性，往往让网络信息泄密变得不容易被发现。本文介绍了网络嗅探的基本概念、原理，合理防范嗅探技术的危害。 　　[关键字] 嗅探器 嗅探技术 入侵 网络安全 　　 　　一、前言 　　网络嗅探对于安全防护一般的网络来说，操作简单的同时威胁巨大，嗅探技术对信息安全的威胁来自其被动性和非干扰性，使得网络嗅探具有很强的隐蔽性，往往让网络信息泄密变得不容易被发现。 　　网络嗅探技术被广泛应用于网络维护和管理方面，它工作的时候就像一部被动声纳，默默的接收来自网络的各种信息，通过对这些数据的分析，网络管理员可以深入了解网络当前的运行状况，找出网络中的漏洞。网络嗅探技术已逐步成为那些有经验的网络管理员用来解决某些数据传输问题时使用的一种有效工具。因此它本身就隐含着一种危机，如果被那些熟练的网络黑客所利用，将会给网络安全造成很大的威胁。在网络安全日益被注意的今天，我们不但要正确使用网络嗅探技术，还要合理防范嗅探技术的危害。 　　二、嗅探基础知识 　　1、嗅探（Sniff）的概念 　　SNIFF早已是一个长久的话题，关于在网络上采用SNIFF来获取敏感信息已经不是什么新鲜事，也不乏很多成功的案例，那么，SNIFF究竟是什么呢？SNIFF就是嗅探技术。 　　嗅探技术是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。它工作在网络的底层，把网络传输的全部数据记录下来. 嗅探技术可以帮助网络管理员查找网络漏洞和检测网络性能.嗅探技术可以分析网络的流量,以便找出所关心的网络中潜在的问题。 　　SNIFF可以是软件，也可以是硬件，既然是软件那就要分平台，有WINDOWS下的、UNXI下的等，硬件的SNIFF称为网络分析仪，反正不管硬件软件，目标只有一个，就是获取在网络上传输的各种信息。 　　2、工作原理 　　实际应用中的嗅探技术分软、硬两种。软件嗅探技术便宜易于使用，缺点是往往无法抓取网络上所有的传输数据，也就可能无法全面了解网络的故障和运行情况；硬件嗅探技术的通常用于协议分析仪，它的优点恰恰是软件嗅探技术所欠缺的，但是价格昂贵。目前主要使用的嗅探技术是软件的。 　　嗅探技术主要就是监听网络上流经的数据包捕获真实的网络报文。不同传输介质的网络的可监听性是不同的。一般来说，以太网这种广播型网络被监听的可能性比较高； FDDI Token被监听的可能性也比较高；微波和无线网被监听的可能性同样比较高，因为无线电本身是一个广播型的传输媒介，弥散在空中的无线电信号可以被很轻易的截获。通常嗅探器通过将其置身于网络接口来捕获网络报文。数据在网络上是以帧(Frame)的单位传输的。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上。通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧的到达，然后对其进行存储。就是在这个传输和接收的过程中，每一个在LAN上的工作站都有其硬件地址。这些地址唯一地表示着网络上的机器。当用户发送一个报文时，这些报文就会发送到LAN上所有可用的机器。在一般情况下，网络上所有的机器都可以听到通过的流量，但对不属于自己的报文则不予响应。如果某在工作站的网络接口处于杂收模式，那么它就可以捕获网络上所有的报文和帧，如果一个工作站被配置成这样的方式，它（包括其软件）就是一个嗅探器。 　　通常使用嗅探器的入侵者，都必须拥有基点用来放置嗅探技术。对于外部入侵者来说，能通过入侵外网服务器、往内部工作站发送木马等获得需要，然后放置其嗅探器，而内部破坏者就能够直接获得嗅探技术的放置点，比如使用附加的物理设备作为嗅探器。这也是嗅探技术会造成安全方面的问题的原因。 　　三、反嗅探技术 　　为了减少网络嗅探造成的危害，因此提出反嗅探技术概念。反嗅探的提出包含以下几方面： 　　1、检测嗅探器。 　　检测嗅探器可以采用检测混杂模式网卡的工具。由于嗅探器需要将网络中入侵的网卡设置为混杂模式才能工作，因此网络自身出现一系列特点： 　　（1）网络通讯丢包率非常高 　　通过一些网管软件，可以看到信息包传送情况，最简单是ping命令。它会告诉你掉了百分之多少的包。如果你的网络结构正常，而又有20％－30％数据包丢失以致数据包无法顺畅的流到目的地。就有可能有人在监听，这是由于嗅探技术拦截数据包导致的。 　　（2）网络带宽出现反常 　　通过某些带宽控制器，可以实时看到目前网络带宽的分布情况，如果某台机器长时间的占用了较大的带宽，这台机器就有可能在监听。应该也可以察觉出网络通讯速度的变化。