钟晓桢 1.武汉大学研究生院；2.江汉大学物理与信息工程学院

浅析基于ARP网络嗅探的防范技术

钟晓桢1.21.武汉大学研究生院；2.江汉大学物理与信息工程学院

嗅探是对较底层网络基础设施的安全威胁，这层支持使用互联网的应用程序。用户并不直接与这些底层打交道，通常完全不知道它们的存在。如果不对这些威胁进行审慎考虑，就不可能在高层构建有效的安全保障。

sniffing；network partitioning；hardware barrier

嗅探是利用一个网络接口接收不是为这台机器在该接口所在位置预期的数据。它的存在意味着：恶意攻击者可以利用这种装置或修改现有机器来窥探网络通信。嗅探程序可以被用来收集密码，阅读不同机器间的电子邮件，并检查客户/服务器数据库中转记录。

1 嗅探：它是如何做的

在共享媒体网络，如以太网，所有网络段的网络接口都可以获取在媒体上传输的所有数据。每个网络接口都有一个硬件层地址，它应不同于网络上所有其他网络接口的硬件层地址。每个网络也至少有一个广播地址，一般来说，网络接口只会响应那些携带帧目标字段中它自己的硬件层地址或目标字段中的“广播地址”的数据帧。

共享媒体网络的广播属性极大地影响网络的性能和可靠性，所以网络从业人员使用网络分析仪或嗅探器来解决问题。嗅探器置于混杂模式的网络接口，使嗅探器可以监控每个网段上的数据包。使用网络分析仪，你可以检查特定的一对主机间传输的数据，按协议对其分类，也可以对其进行分析。

2 嗅探：它如何威胁安全

从网络嗅探的数据导致了几种信息隐私权的丧失。如果电脑网络是安全的，这些信息应该是隐私的。这类信息包括以下内容：密码、金融账户号码、私人数据、底层协议的信息。

2.1 嗅探密码

也许电脑隐私最常见的损失就是密码被盗。当用户输入密码时，系统不会在电脑屏幕上显示，但是，一套能通过网络发送密码中的每一字符的装置就能使任意以太网嗅探器非常容易地看到它们。终端用户认识不到这密码是可以多么容易地被人用简单和通用的软件发现。

2.2 嗅探金融账户号码

大多数用户对在互联网上发送金融账户号码，账号隐私最有可能丧失的地点还是在传输的终端。据估测，企业电子交易对安全性的要求挑剔得如同纸质交易，所以最高风险可能来自于用户输入密码的同一个本地网络。这些涉及账户号码的传送的交易，一个嗅探器就可以获取；窃贼便可以转移资金到自己的账户或或者支付企业账户的商品账单。

2.3 嗅探私人数据

隐私的丧失在电子邮件中也很常见。许多未经发送者或接收者允许的电子邮件被公开。在电子邮件中包含机密商业信息或个人信息并不罕见。即使是日常备忘录，如果落入坏人手中也会使人尴尬。

2.4 嗅探底层协议信息

在电脑间发送的信息网络协议包括：本地网络接口的硬件地址、远程网络接口的IP地址、IP路由信息和为TCP连接分配的字节的序列号。嗅探器能够获取这些数据的任何一项。攻击者取得资料之后，他或她将由被动攻击变成主动攻击，可能带来更大的危害。

3 嗅探：如何预防

为了能够防止嗅探攻击，你首先需要了解网络组成部分和电脑系统之间的信任。

3.1 网络分割

一个网段包括一套机器设备，它们共享底层设备和线路， 收发相同的一组数据。中继器两端的线路在同一网段，一个普通的集线器基本上是一个多端口中继器，所有连接到它的线路都是同一网段的组成部分。高层设备，如网桥，情况则有所不同。在网桥两侧的线路不属于同一网段的组成部分，网桥两侧流过的数据不相同。正如网桥可用于建立网段间的边界，交换机也可以。交换机基本上是多端口网桥。因为它们限制了所有数据的流动，小心引入网桥和交换机可限制敏感信息的流动，并防止被不信任的机器嗅探。

引入交换机和网桥到网络中还能通过减少组件的碰撞率来增强性能。网段是机器在同一个子网的一个子集。路由器将网络划分成子网。网桥和交换机不与其他器件的软件发生联系，路由器则不同。它们与网络中器件的网络层软件有联系。网段组合为子网，尽管网络中的许多子网仅由一个网段组成。用路由器将网络划分为子网，而不是将子网划分为网段，是一个更根本的解决嗅探问题的办法。

3.2 对“信任”的理解

通常情况下，人们认为“信任”存在于文件服务器和客户之间的应用层中。显然，文件服务器信任其客户，授权给它。然而，这种信任的概念也可以延伸到底层网络设备。例如，在网络层，路由器被信任，由它来传输数据和更正路由表给网络上的主机。主机信任路由器，路由器就是被信任的机器。如果你把信任的概念向下扩展到数据链路层，就可以嗅探。一台机器要在特定网段发送隐私数据，它必须信任该网段上所有的机器。要想值得信任，机器和它们之间的线路必须具有足够的物理安全性，以确保攻击者无法在该网段安装嗅探器。嗅探威胁来自于通常安装在网络电脑上的嗅探软件，或者甚至安装未经授权的网络连接到嗅探器。为了对付这些，你必须依靠操作系统自身的安全性能来防止未经授权的嗅探，只让可信赖的人访问网络组件所在房间，用物理安全措施来防止不可信赖的人进入这些房间。

3.3 硬件屏障

要构建值得信赖的网段，必须在安全网段和不安全网段间设置屏障。网段上的所有机器都必须相互信任，数据在网段中传输。这种网段的一个例子就是一个不向计算设备机房外扩展的网段。所有的机器都在一个合作和互信的系统的工作人员控制下。工作人员个人之间的信任反映在由他们所负责的系统之间的相互信任上。

与此相反理解是，某些网段被认为不安全。不安全网段不必被信任，它们只能携带公开的或非关键数据。比如，只有学生使用的大学实验室就是这样的网段。对这个网络驱动器来说，只能采取合理的预防措施来维持密码保护，文件系统的访问列表和定期备份。

3.4 安全用户网段

安全是一个相对的概念。你能让一个网段如何安全？这取决于你撤掉多少技术上不被信任的终端用户，他们在具有有限的物理安全性的地点使用网络。在某些情况下，你会认为剥夺终端用户对机器的控制是适当的，因为你不能信任技术角度上的终端用户。

3.5 有互信机器的网段

有的学术和工业部门的研究，需要终端用户对桌面机器有完全的访问权。在这种情况下，使用安全网段是不可能的。除非终端用户具有无可挑剔的道德和技术能力，以在他们所控制的机器上维护系统安全。如果假定终端用户能确保自己的桌面系统的安全性，网段上的所有机器都被认为在嗅探方面可以相互信任。你必须对分立网段的不被信任机器进行定位。需要跨越网段边界交流的机器，只可处理非隐私数据。你可以通过安全网段加入彼此信赖的网段

3.6 连接单向信任的网段

考虑两个相互信任的网段的简单情况，相互信任存在于第一网段的机器之间，和第二网段的机器之间。然而，在第一网段的机器沟通的信息没有第二网段敏感。在第一网段的机器可以信任那些在第二网段的，反之则不行，你必须使用诸如网桥的屏障，以防止在相反方向的数据流。单向信任在安全网段和其他类型网段之间是相当普遍的。安全性较差的机器必须信任更安全的机器，反之则不行。同样，单向信任的方式可能存在于相互信任的网段和不安全网段之间。

3.7 不安全网段

在许多情况下，在不相互信任的机器之间构建网段边界是不切实际的。原因是这样的设置无法阻止嗅探。不安全网段在安全要求低的区域也许可以接受。然而，大多数用户希望获得此类设置可以提供的更高级别的安全。如果你必须使用不安全网段，而仍然期待更高程度的安全，唯一的解决方案是基于软件的技术，如加密技术，而不是基于硬件的技术。

3.8 案例分析：一个小部门子网

从案例研究中可以学习和寻求解决的几件事：最低成本的解决方案不可能提供安全；一个完全安全的系统非常昂贵，但一个比较安全的系统则不是；不同方法的成本和性能的权衡可以组合成一个安全的系统。数学系和计算机科学系有不同的设备预算和网络性能需求；就像在计算机科学系的解决方案中显示的，单一解决方案可以同时提供安全和加强的性能。提供安全的解决方案大大增加了成本。数学系的单一网段和以上解决方案几乎没有成本差距。因为网桥将两网段分割开，所以需要一根从底层的职员的集线器连到楼上职员的集线器的电线，这是一项额外成本。

至止，本文已讲了如何避免从互联网本地部分来的数据被嗅探。这样的行动似乎是直接着眼于对内部人员的保护，而不是针对外部威胁。然而，许多安全漏洞是由内部人员有意或无意地帮助而造成的。在这种情况下，本文所述的硬件屏障可以限制物理上或远或近的入侵者用嗅探器所做的事。不仅是信任网段需要在物理上更安全，而且那些负责电脑系统的也需要更强的技术能力。技术能力至少要能保护系统不被远程入侵，系统不能被从远程位置（如一台简单的个人电脑）下达命令。可以接受来自远程位置命令的系统必须由具有足够技术能力的人管理，他们可以阻止远程入侵者，不犯允许的远程入侵者进入系统的错误。

[1] ARP协议分析.中国协议分析网.http://www.itzero.com

[2]硅谷动力.ARP攻击的防范.http://www.enet.com.cn

[3]谭思亮.监听与隐藏— —网络侦听揭密与数据保护技术.北

民邮电出版社.2002

ARP-based netw ork sniffer of Prevention Technology

Zhong Xiaozhen
1. Graduate School of Wuhan University 2. School of Physics and Information Engineering,Jianghan University,Wuhan 430056,Chian

sniffing is security threats that target the lower layers of the networking infrastructure supporting applications that use the Internet. Users do not interact directly with these lower layers and are typically completely unaware that they exist. Without a deliberate consideration of these threats, it is impossible to build effective security into the higher levels.

10.3969/j.issn.1001-8972.2011.10.084

钟晓桢，1 9 7 4年出生，汉族，籍贯：湖北黄冈，讲师。