王 率

（武昌职业学院 湖北 430202）

0 引言

网络欺骗就是黑客使目标主机用户相信信息资源存在有价值，当然这些资源是伪造的，将用户引向带有病毒或恶意代码的资源，实施网络欺骗可显著提高入侵的成功率。欺骗能够成功的关键是在受攻击者和其他web服务器之间，建立起攻击者的web服务器，这种攻击方法在安全问题中被称为“来自中间的攻击”[1]。要想网络欺骗攻击成功，就必须建立起中间web服务器，黑客经常通过改变URL链接地址、填写表单等方法建立中间Web服务器，从而实现网络欺骗。

1 网络欺骗的原理及作用

网络欺骗就是使入侵者相信系统存在有价值的、可利用的安全弱点，并具有一些可攻击窃取的资源，并将入侵者引向这些错误的资源。它能够显著地增加人侵者的工作量、入侵复杂度以及不确定性，从而使入侵者不知道其进攻是否奏效或成功。而且它允许防护者跟踪入侵者的行为，在入侵者之前修补系统可能存在的安全漏洞。

从原理上讲，每个有价值的网络系统都存在着安全弱点，而且这些弱点都可能被攻击者所利用。网络欺骗主要有以下3个作用：①影响攻击者，使之按照防护者的意志进行选择。②迅速地检测到攻击者的进攻并获知其进攻技术和意图。③消耗攻击者的资源。网络欺骗一般通过隐藏和伪装等技术手段实现，前者包括隐藏服务、多路径和维护安全状态信息机密性，后者包括重定向路由、伪造假信息和设置圈套等。

2 防范网络欺骗的手段

对于源IP地址欺骗行为，可以采取以下措施来尽可能的保护系统免受这类攻击：

(1)抛弃基于地址的信任策略：阻止这类攻击的一种十分容易的办法就是放弃以地址为基础的验证。不允许这类远程调用命令的使用；删除hosts文件；清空/etc/hosts．equiv文件。这将迫使所有用户使用其他远程通信手段，如Telnet、SSH、skey等。

(2)使用加密方法：在包发送到网络上之前，对数据进行加密处理。加密处理虽然会使网络环境复杂化，可是加密后数据的真实性、完整性和完全性将会有极大的提高。

(3)进行包过滤：可以配置路由器使其能够拒绝网络外部与本网内具有相同地址的连接请求。而且，当包的IP地址不在本网内时，路由器不应该把本网主机的包发送出去。要提醒大家一点，路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此，它们仅能对声称是来自于内部网络的外来包进行过滤，如果你的网络存在外部可信任主机，那么路由器将无法防止别人冒充这些主机进行IP欺骗。

3 嗅探技术及其在防范网络欺骗中的应用

嗅探(sniffer)技术是一种重要的网络安全攻防技术。对黑客来说，通过嗅探技术能以非常隐蔽的方式攫取网络中的大量敏感信息。与主动扫描相比，嗅探行为更难被察觉，也更容易操作。对安全管理人员来说，借助嗅探技术．可以对网络活动进行实时监控，发现各种网络攻击行为。嗅探技术最初是作为网络管理员检测网络通信的必备技术，既可以是软件，又可以是一个硬件设备。软件Sniffer应用方便，针对不同的操作系统平台都有多种不同的软件Sniffer；硬件Sniffer通常被称做协议分析器，其价格一般都很高昂。

在局域网中，由于以太网的共享特性决定了嗅探能够成功。因为以太网是基于广播方式传送数据的，所有的物理信号都会被传送到每一个主机节点，此外，网卡可以被设置成混杂接收模式，在这种模式下，无论监听到的数据帧目的地址如何，网卡都能予以接收。而TCP/IP协议栈中的应用协议大多数以明文形式在网络上传输，在这些明文数据中往往包含一些敏感信息(如账号、密码等)，使用Sniffer可以监听到所有局域网内的数据通信，并得到这些敏感信息。Sniffer的隐蔽性好，它只是被动接收数据，不向外发送数据，所以在传输数据过程中，根本无法察觉。Sniffer的局限性是只能在局域网的冲突域中进行，或者是在点到点连接的中间节点上进行监听。

3.1 网络嗅探器

网络嗅探器在当前网络技术使得非常广泛。网络嗅探器既可以作为网络故障的诊断工具，也可以作为监听工具。传统的网络嗅探技术是被动地监听网络通信、用户名和口令。而新的网络嗅探技术开始主动地控制通信数据。大多数的嗅探器至少能够分析下面的协议：标准以太网、TCP，/IP、IPX、DECNET等。

根据功能不同，嗅探器可以分为通用网络嗅探器和专用嗅探器。前者支持多种协}义，如Tcpdump、Snifferit等；后者一般是针对特定软件或提供特定功能，如专门针对MSN等即时通信软件的嗅探器、专门嗅探邮件密码的嗅探器等。

3.2 嗅探的安防作用

3.2.1 网络安全审计

网络审计是指通过网络嗅探工具，将网络数据包捕狭、解码并加以存储，以备后期查询或提供即时报警。通过嗅探技术，网络审计可以实现上网行为审计、网络违规数据的监控等功能。利，H网络嗅探技术开发的网络行为审计类软件是运行在关键的网络节点。对网络传输的数据流进行合法性检查的工具。

3.2.2 蠕虫病毒的控制

采用嗅探技术，对蠕虫病毒的控制可起到以下作用：

（1)基于网络嗅探的流量检测，及时发现网络流量异常，并根据已经建成的流量异常模型，初步判断网络蠕虫病毒爆发的前兆。

（2)基于网络嗅探的网络协议分析，进一步确认蠕虫病毒的发作，并及时给m预警信息。

（3)基于网络嗅探技术的蜜罐，尽早捕获蠕虫病毒的样本，并通过对其进行详细的分析，制定出有效的防御方案和清除方案。

（4)通过旗于网络嗅探技术的入侵检测，能够准确定位局域网络中的蠕虫病毒传播源，从而及时扼杀蠕虫病毒的传播行为。

3.3 网络布控与追踪

针对网络犯罪。如黑客入侵、拒绝服务攻击等。通过嗅探技术进行追踪，协助执法部门定位网络犯罪分子。现代网络犯罪往往采用跳板进行。即通过一台中间主机进行网络攻击和犯罪活动，这对犯罪分子的捕获造成了很大的障碍，而嗅探技术可以有效地帮助执法人员解决这一问题。

网络追踪是引起对伪造IP地址攻击的一种追查方法。由于网络攻击往往采用虚拟的IP地址(特别是大规模的拒绝服务攻击)，从被攻击机嗅探获取的数据无法直接判断攻击源，需要果用移动的网络嗅探器，以溯源的方式从终点逐个前溯，直到发现攻击的起源点。

3.4 网络取证

基于嗅探的网络取证工具可以运行在需要取证的犯罪分子所使用的计算机上(如个人计算机或公共场所的计算机)，并可以将该犯罪分子的网络行为(如邮件、聊天信息、上网记录等)加以实时记录，从而协助案件的侦破和起诉证据的获取。为了确保利用嗅探工具所获得的网络证据具备不可篡改性，网络取证工具中还需要内置数字签名工具，防止操作人员人为修改或误删数字证据。嗅探技术在黑客攻防技术及信息安全体系建设中都起到了非常重要的作用，而反嗅探技术也是确保网络私密性的关键之一。同时，嗅探技术在网络安全管理工作中也具有很大的帮助。

4 结论

在进行嗅探技术的合法应用的同时，还需要关注嗅探技术滥用带来的泄密和破坏个人隐私问题。在未来，随着网络技术的发展，嗅探技术和反嗅探技术还将不断进步，目前在高速化、可视化、针对加密的嗅探和无线切人技术四个方向上都可以见到新技术的出现。

[1]何智钦，金伟. 基于欺骗式塔康干扰技术研究与仿真[J]. 现代防御技术，2013，02：107-111.

[2]王慧. 网络欺骗技术与档案信息化安全[J]. 兰台世界，2013，S2：88.

[3]李静媛，丁照光. 网络欺骗技术在网络安全防护中的作用[J].软件导刊，2013，06：118-119.

[4]刘柏强. 网络安全中网络欺骗的作用初探[J]. 计算机光盘软件与应用，2012，03：68-70.

[5]张宏伟. 网络欺骗在网络安全中的作用研究[J]. 计算机光盘软件与应用，2012，04：107-108.