[摘要]从多个层面分析sniffer的嗅探原理,能攻击的协议,可能造成的危害,并介绍对其的防范技术,为研究Sniffer技术和防范网络嗅探,保障网络安全提供了技术支持。

[关键词]Sniffer 攻击 Sniffer原理 Sniffer防范

中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0810039-01

一、引言

随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。在Internet安全隐患中扮演重要角色

的是Sniffer。人们谈到黑客攻击,一般所指的都是以主动方式进行的,例如利用漏洞或者猜测系统密码的方式对系统进行攻击。但是其实还有一类危害非常大的被动攻击方式往往为大家所忽视,那就是利用Sniffer进行嗅探攻击。

二、什么是Sniffer

Sniffer,中文可以翻译为嗅探器,是一种威胁性极大的被动攻击工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。黑客们常常用它来截获用户的口令。据说某个骨干网络的路由器曾经被黑客攻人,并嗅探到大量的用户口令。

三、Sniffer的工作原理

不同传输介质的网络的可监听性是不同的。一般来说,以太网被监听的可能性比较高,因为以太网是一个广播型的网络;FDDI Token被监听的可能性也比较高;微波和无线网被监听的可能性同样比较高,因为无线电本身是一个广播型的传输媒介,弥散在空中的无线电信号可以被很轻易的截获。一般情况下,大多数的嗅探器至少能够分析下面的协议:

标准以太网、TCP/IP、IPX、DECNET、FDDI Token、微波和无线网。

实际应用中的嗅探器分软、硬两种。软件嗅探器便宜易于使用,缺点是往往无法抓取网络上所有的传输数据(比如碎片),也就可能无法全面了解网络的故障和运行情况;硬件嗅探器的通常称为协议分析仪,它的优点恰恰是软件嗅探器所欠缺的,但是价格昂贵。目前主要使用的嗅探器是软件的。

嗅探器捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的--例如将以太网卡设置成杂收模式。帧通过特定的为网络驱动程序的软件进行成型,然后通过网卡发送到网线上。通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧的到达,然后对其进行存储。如果某在工作站的网络接口处于杂收模式,那么它就可以捕获网络上所有的报文和帧,如果一个工作站被配置成这样的方式,它(包括其软件)就是一个嗅探器。这也是嗅探器会造成安全方面的问题的原因。通常使用嗅探器的入侵者,都必须拥有基点用来放置嗅探器。对于外部入侵者来说,能通过入侵外网服务器、往内部工作站发送木马等获得需要,然后放置其嗅探器,而内部破坏者就能够直接获得嗅探器的放置点,比如使用附加的物理设备作为嗅探器,除非人为地对网络中的每一段网线进行检测,没有其他容易方法能够识别出这种连接,或者使用网络拓扑映射工具可以检测到额外的IP地址。

嗅探器可能造成的危害: 嗅探器能够捕获口令;能够捕获专用的或者机密的信息;可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限;分析网络结构,进行网络渗透。

四、Sniffer的防范

虽然发现一个Sniffer是非常困难的,但是我们仍然有办法抵御Sniff

er的嗅探攻击。

一种方法是,事先要对这些信息进行加密,黑客即使捕捉到了机密信息,也无法解密,这样,Sniffer就失去了作用。

黑客主要用Sniffer来捕获Telnet、FTP、POP3等数据包,因为这些协议以明文在网上传输,我们可以使用一种叫做SSH的安全协议来替代Telnet等容易被Sniffer攻击的协议。

SSH又叫Secure Shell,它是一个在应用程序中提供安全通信的协议,建立在客户/服务器模型上。SSH服务器分配的端口是22,连接是通过使用一种来自RSA的算法建立的。在授权完成后,接下来的通信数据用IDEA技术来加密。这种加密方法通常是比较强的,适合于任何非秘密和非经典的通信。

另一种抵御Sniffer攻击的方法是使用安全的拓扑结构。因为Sniffer只对以太网、令牌环网等网络起作用,所以尽量使用交换设备的网络可以从最大程度上防止被Sniffer窃听到不属于自己的数据包。还有一个原则用于防止Snther的被动攻击,一个网络段仅由能互相信任的计算机组成。注意每台机器是通过硬连接线接到集线器(Hub)的,集线器再接到交换机上。由于网络分段了,数据包只能在这个网段上被捕获,其余的网段将不可能被监听。

所有的问题都归结到信任上面。计算机为了和其他计算机进行通信,它就必须信任那台计算机。如果使得计算机之间的信任关系很小。这样,就建立了一种框架,告诉你什么时候放置了一个Sniffer,在哪里,谁放的等等。

如果局域网要和Internet相连,仅仅使用防火墙是不够的。入侵者已经能从一个防火墙后面扫描,并探测正在运行的服务。应该关心的是一旦入侵者进人系统,他能得到些什么。你必须考虑一条这样的路径,即信任关系有多长。

Sniffr往往是在攻击者侵人系统后使用的,用来收集有用的信息。因此,防止系统被突破很关键。系统安全管理员要定期的对所管理的网络进行安全测试,防止安全隐患。同时要控制拥有相当权限的用户的数量,因为许多攻击往往来自网络内部。

参考文献:

[1]武新华主编,《狙击黑客——黑客攻防技术见招拆招》[M].北京:清华大学出版社,2008.6.

[2](美)Tom Sheldon主编,《网络与通信技术百科全书》[M].北京:人民邮电出版社,2004.8.

[3]陈兵主编,《电子政务安全技术》[M].北京:北京大学出版社,2005.7.

[4]牛冠杰主编,《网络安全技术实践与代码详解》[M].北京:人民邮电出版社,2007.8.

作者简介:

王秋菊(1981-),女,汉族,河北廊坊人,助教,在读工程硕士,主要研究方向:计算机网络安全与电子商务。