通信网络嗅探技术浅述.docVIP

通信网络嗅探技术浅述 　　摘要：近年来，随着网络信息技术的不断发展，通信安全已成为现代通信网络领域的一个热点问题，而其中的网络嗅探技术由于其在信息安全防御和黑客攻防技术中的特殊地位，以成为业内争论的焦点。本文从对嗅探技术的分类及其原理的分析入手，重点介绍了网络嗅探行为的判定，同时对工程实践中所采取的消除网络监听的安全策略进行了简要的叙述。 　　关键词：嗅探技术、分类、原理、判定、安全策略 　　中图分类号：E965 文献标识码：A 文章编号： 　　1、前言 　　嗅探是网络安全领域常用的窃听数据包流转指向的技术，这种技术可以实时的监视流入本机和本地进程的非法数据包，因而业内人士通常称其为“网络监听”技术。而嗅探器则是监听技术得以实施的载体，按类型的不同可将其划分为硬件和软件两种。现阶段，网络嗅探技术无论是在通信网络信息安全，还是在黑客攻防领域中都占有绝对的主导地位。因而不断加强对嗅探技术原理、应用及发展趋势的分析和研究不仅能够有效避免和预防因其滥用而引起的安全隐患，而且对实现通信网络安全体系的构建和稳定运转具有非常重要的指导意义 　　2、分类及其原理分析 　　专用嗅探器和通用型网络嗅探器是目前业内对嗅探器两种公认的划分形式，这种分类是以嗅探器工作状态下所具有的不同功能为基础的。前者类型的嗅探器主要是针对某些专用软件或其所属的专项功能，如针对一些即时通信软件而专门设定的实现专用功能的嗅探器；而后者类型的嗅探器则是支持诸如tcpdump、Snifferit等多种通信协议的通用型嗅探器。另外，嗅探技术又可按照其不同的工作环境和原理分为以下几种类型： 　　2.1、本机嗅探 　　为了能够监听和获取本地计算机内不同进程数据包间的交互，常采用本机嗅探技术并配以特殊的方式来进行本机安全系统各交互进程的窃听。本机嗅探技术不仅可以对计算机本地的交互进程实行全面的监控，而且还能实现对传递数据的全程窃听。通过对本机嗅探技术原理图的分析可知，此项技术的核心部分是数据包捕获代码的编写，而这类代码编写的原则是必须基于本地计算机硬件驱动层或操作系统协议栈层，因为通常情况下，进入执行进程的网络数据包首先要经过硬件驱动层和操作系统协议栈层的解析，之后才能为应用程序所识别和处理，最终转换为有效的网络资源数据。 　　2.2、广播网嗅探 　　通常情况，我们可将广播网定义为是一种基于局域网互联的集群网，而集线器（HUB）则是广播网内各网段的中继站，网络中的各个节点以总线式结构进行互联，网络中的数据包则通过群发或广播的方式被送往网内的所有端口。由于“数据共享”是构建广播网信息传输的基础和原则，因而在本地范围或一固定的区域内，会出现不同终端接收到相同数据包的情况。基于以上原因，目前大多数的以太网卡都在内部集成了硬件形式的过滤装置以达到无关信息和数据过滤的目的，这种过滤器可以对进入本地端口的数据信息进行筛选，有效忽略和清除与自身MAC地址不相符的数据包。简而言之，数据包在广播网的流转过程中，首先会被发送至网络各节点的所有端口，之后各节点端口处的以太网卡会对数据信息的有效性进行扫描和判定，将数据流中那些目的地址与网卡实际地址不相符的数据包自动隔离或丢弃，最终使广播网中各节点主机的安全得到了保障。广播网嗅探技术主要是针对上述基于HUB环境下组建的信息交互网络的嗅探和窃听行为，在实际应用过程中，一些网络黑客和网络安全防卫者只需将本机网卡调设成混杂模式，嗅探工具就可在广播网或多播网中完成嗅探和窃听工作。这种嗅探技术可以真正实现对广播网流经各节点端口数据流的实时性和全程性的监控。 　　2.3、基于交换机的嗅探 　　交换机的工作原理与HUB 不同，它不再将数据包转发给所有的端口，而是通过“分组交换”的方式进行单对单的数据传输。即交换机能记住每个端口的MAC 地址，根据数据包的目的地址选择目的端口，所以只有对应该目的地址的网卡能接收到数据。基于交换机的嗅探是指在交换环境中，通过某种方式进行的嗅探。由于交换机基于“分组交换”的工作模式，因此，简单的将网卡设为“混杂”模式并不能够嗅探到网络上的数据包，而只能接收本机的数据包，因此必须要采用其他的方法来实现基于交换机的嗅探。 　　3、网络嗅探行为的判定 　　如何才能知道有没有嗅探器在网上跑呢？这也是一个很难说明的问题，如果网络通信正在被窃听,那么网络可能会出现以下几种情况： 　　3.1、网络通讯掉包率反常的高 　　通过一些网络软件，你可以看到你的信息包传送情况，向ping这样的命令会告诉你掉了百分几的包。如果网络中有人在窃听，那么你的信息包传送将无法每次都顺畅的流到你的目的地。 　　3.2、网络带宽将出现反常 　　通过某些带宽控制器(通常是防火墙所带)，你可以实时看到目前网络带宽的分布情况，如果某台机器长时间的