检测和防范局域网监听方法的设计研究
2022-12-06郑秀琴
◆郑秀琴
检测和防范局域网监听方法的设计研究
◆郑秀琴
(衢州职业技术学院 浙江 324000)
随着网络应用的蓬勃发展,网络安全技术的运用已经逐渐深入各行各业当中。本文就局域网中监听技术的基础原理进行研究和探索,对局域网,尤其是以太网中检测网络监听的方式进行了具体分析,并结合实践过程中的工作经验对检测和预防监听的方法和相关测试进行总结,其常见的防御网络监听方法有arp防火墙、防止MAC泛洪、控制SNMP的使用等等。
网络安全;监听检测;监听防范
所谓网络监听技术,通常是指使用一些网络工具软件或网络设备来实现监视网络数据传输的技术,它的应用是把双刃剑:一方面一些黑客在入侵局域网的时候,都将扫描以及监听当作是入侵的基本步骤和常用手段;另一方面,网络管理员也可以及时地运用相关软件和设备来进行局域网状态以及数据流量的状况监测,从而实现进一步的全局监控,以便对局域网的性能进行及时优化。由此可见,研究检测和防范局域网的监听方式具有很重要的意义。因为网络监听隐蔽性极高,很难被察觉,以至于相关方面的监测方式以及监听措施都缺乏系统研究。
1 局域网监听技术的定义及原理
局域网技术是将分散在各个小地理范围内的计算机终端、外围设备以及网络设备,通过各种数据通讯设备相互连接,使其实现资源共享,达到高速通信目标的技术。运用局域网进行数据传输,其数据传输的单位为数据包。共享网络中数据包会通过共享通道传送到同一个广播域内的每一个主机,而主机会根据目标MAC接收发给本主机的数据包,其他主机自动过滤掉该数据包。交换网络中数据包则根据MAC地址表直接发送到目标主机,若传输的数据包为广播包,包括定向广播和有限广播数据包,如ARP、DHCP等数据包,则广播域内所有主机都会收到该数据包。若接入交换机上设置了镜像端口,且将该端口下的主机网卡设置监听模式,那么它就相当于一个网络嗅探器,能收集该局域网传输的数据,这些数据可以是机密文件,也可以是用户的账号和密码等等。网络探嗅设备主要运行在路由设备以及有路由功能的网络设备上,这样可以更好地对大量数据进行实时监控。另外通过ARP欺骗或MAC泛洪攻击也可以实施监听。从上述内容可知,网络嗅探设备几乎可以捕捉到局域网网上传输的所有数据包。
2 检测局域网监听的方法
2.1 通过主机反映的一些现象检测
(1)网络通信丢包率高出正常标准。运用一些网络软件可以对相关情况进行了解,这些软件会及时告知所丢数据的数量,若传输过程遭人监听,那么信息就无法正常传送到应传送的目的地。该现象可能是因为网络嗅探器拦截引起的。
(2)上网设备的网络带宽出现异常。一般情况下,网络带宽情况可以通过相应的防火墙带宽控制器查看分布状况。若某台机器带宽占时较长,给予外界响应很慢,那么这台机器极有可能已被监听。
(3)对网络警告信息进行及时查看。对于一个大型的网络应用,其被安装网络嗅探器后会严重增加负荷,相关日志也会被填满。相关人员就可以通过这些信息及时发现网络嗅探器的存在。
(4)对具备网络混杂模式的接口进行检测。实际上,网络上的网络监听设备会将网络接口设置为混杂模式。该种模式可以更好地通过检测来判断是否被监听。虽然非混杂模式下该网卡也可以捕捉到本机会话,但无法纵观局域网全部进行检测。
2.2 主动检测
除上述方法外,还可以通过以下检测的方式来进行局域网是否被监听:
第一,搜索法。该种方法应用于本地主机上,对本机中的所有运行进程进行检测,从而发现网络监听。相关网络中存在的硬件和命令就会以各种形式进行传达,最后产生一个包含所有进程的清单。
第二,探测法。通常情况下,网卡会自动过滤掉目标物理地址不是本机的相关数据包。若这个数据传送包的目的地址的确为本机地址或相应的广播地址,那么其传输的信息就会被传送到内核进行处理。若网卡处于监听状态,所有传送到的数据包都会被系统进行分析并构造一个有效的返回数据包。如原数据包存在一个echo request,若网卡处于混杂模式则系统会返回echo reply,这样就会最终暴露监听主系统伪造数据包的地址,达到引蛇出洞的效果。
第三,DNS测试。监听者为了寻找更有价值的主机,常常会使用网络数据收集工具进行反向DNS解析。这一操作之下,监听工具就由被动型变为了主动型,不进行监听的网络通讯主机是不会试图进行相关数据解析从而获得相应地址的。可以向反向查询者提供虚假的目标地址数据包,该操作就很好地避免了主机相关信息泄露,然后,相关工作人员就可以通过机器发送该虚假目标的反向DNS查询。
3 局域网监听的防范方法
3.1 网络分段
从宏观角度来讲,网络分段是一种防范网络监听的手段,主要作用是将非法用户和敏感网络资源进行隔离,此种方式可以防止非法的监听。实际上,网络分段可分为两种方式,物理分段和逻辑分段。物理分段应用于保密级别较高的网络,而逻辑分段则应用于保密级别较低的网络。物理分段实际上是运用相关的硬件设备将不同的网络进行物理隔离。就现在情况来看,大多数的交换机都具有一定的访问控制能力,也可以实施物理分段,因该种分段方式,可以极大程度上避免相关信息的流失。逻辑分段,主要运用了网段划分以及IP路由策略制定的方式来实现。对相关网络环境可以将网络分为若干个IP子网,各个子网之间可以通过路由器、交换器等设备进行相互连接,同时利用这些中间的设备实现各个子网之间的相互访问以及进行安全访问控制。在实际应用过程中,一般采用物理分段和逻辑分段结合的方式来应对网络系统中的安全问题。
依据现实生活中实际情况,对网络进行分段技术的运用,建立安全的网络拓扑结构,从总体上在网络中减小冲突域和广播域,运用不同的中间连接器来实现连接,同时也实现相互隔离。正常的用户在使用网络时不会察觉到相应网段的存在,但该种方式却很好地防范了网络监听风险,哪怕某个网段被监听,其他网段也处于安全状态。
3.2 访问控制
所谓对访问的控制,实际上是要求对访问进行认证和授权,甚至是进行全过程的实时监控,以此来确保相应合法用户的访问权利。认证通过后,相应用户可以得到访问授权,每次访问都会有相应的审计进行跟踪。可以说访问控制更好地防止了局域网信息泄露。总体上来看其主要任务是更好地保证网络资源不被非法使用或访问,其常见的访问控制策略有以下几种:
(1)对计算机的使用控制
将相关用户的身份进行鉴别,保证合法用户的权利,禁止非法用户对于计算机的操作,在物理方面做好相关的访问控制。
(2)用户权限控制
合法用户会被赋予一定权限,该权限限定于用户可以访问的资源。根据其不同权限的设定,不同的用户也会被分为系统管理员用户以及受限用户。根据资源操作能力的不同,访问权限也可以分为多种级别。相关的网络系统,管理人员可以按照指定的访问权限,对客户服务器资源访问进行一定的控制,从而进一步保证网络和服务器的安全。
(3)网络监测和锁定控制:
为了保证网络的安全运行,相关管理员要对网络实施监控,用户对于网络资源访问的内容进行实时记录。若有非法的网络访问,服务器内也应该将该内容记录到相应的日志当中,从而让管理员注意相应问题。若该账户在非法访问的方面操作次数超过限定值,那么该账户就会被自动锁定。
3.3 以交换机代替集线器
哪怕对局域网中心交换机实施了网络分段,也不可避免局域网中存在的其他监听漏洞。实际上出现该种漏洞的主要原因是其中用户接入是通过集线器来实现的,而不是交换机。因此,计算机进行相应的数据传输时,就会因这些集线器使数据包被同一台集线器上的其他计算机监听。由此可见,运用交换机而不是集线器,相对于用共享式集线器来说更为安全可靠,可以极大程度上防止非法监听。
3.4 划分VLAN
划分VLAN或PVLAN,缩小了广播域或将以太网通信转变为点到点通信,这样可以防止网络监听。同一VLAN内部采用交换方式实现,而不同VLAN之间则采用路由实现。在通常情况下的关键服务器处于一个VLAN中,这个VLAN不允许有任何其他节点存在,以此更好地保护了敏感的主机。
3.5 加密技术
预防监听最好的办法就是对数据进行相关的加密。使用这种方式之后,哪怕数据遭到窃听,他们也无法直接阅读到相关信息内容。以下为加密技术的三种方式介绍:
其一,SSL/TLS。该种加密手段应用在应用层与传输层之间,作为数据安全层存在。实际上,其最早应用与浏览器以及服务器之间,而现在已经被运用到了邮件、LDAP等相关应用当中,已然成为网络安全加密的经典加密技术之一。
其二,SSH。该种加密技术与上一种加密技术的应用相同,都应用于应用层与传输层之间。除此之外,该加密技术还拥有很大的认证机制以及加密通信能力,在压缩相关传输数据包的同时还可以很好地防御监听,并防止信息篡改。远程登录尽量不用Telnet而使用SSH。
其三,IPSec与VPN。IPSec加密技术用于IPv4与IPv6的安全体系结构。总体上见,该技术可分为两大部分,IP数据包认证加密协议以及密钥交换协议。该种加密技术应用于网络层的加密,其主要应用于VPN技术上。所谓VPN技术,其主要是运用加密以及隧道技术将企业的重要文件信息进行加密封装,通过公网隧道进行传输,从而保证相关数据的运输安全。
3.6 防御软件
安装ARP防火墙类软件,该种软件可以与网关MAC地址进行强行绑定,使相关监听系统成为摆设。目前像360安全卫士、火绒、电脑管家、金山毒霸等软件均有相关的功能模块,ARP防护启用后,若发生异常状况,就会第一时间弹出信息提示用户。
3.7 增强安全意识
网络用户们也要加强自身对于网络安全使用的意识,及时对系统进行升级,及时安装系统补丁,将重要的机密信息进行加密传输。相关的网络系统管理人员要经常检测网络设备及其安全配置,最大程度上关闭交换机未使用的端口,尽量停止对于共享式集线器的使用,启用网络设备上的防监听安全选项。
4 结论
综上所述,我们对局域网监听技术进行了基本工作原理的研究和探索,也分析了诸多检测和监听局域网的方法,对防范局域网监听,保护网络应用安全提出了相应的解决方法。就目前状况来看,局域网安全状态仍需要网络管理人员进行进一步的技术细节挖掘,更全面地对局域网内的非法监听采取有效的安全防护,为广大用户制造一个良好的网络环境,更好地防御黑客侵入,保护用户的数据安全。
[1]过玉清.网络安全中网络监听与防范技术探析[J].数字技术与应用,2016(01):223.
[2]张莉萍.计算机局域网安全与防范技术研究[J].计算机光盘软件与应用,2013,16(23):158+160.
[3]林莲芳.浅谈局域网监听的原理及其防范对策[J].科技广场,2011(03):82-83.
[4]刘茹.检测和防范局域网监听方法的讨论研究[J].电脑知识与技术,2008(15):1024-1026.
[5]段严兵.检测和防范局域网监听方法的设计[J].机械设计与制造,2007(09):168-170.
[6]张芳芳.局域网监听的原理、实现方法与防范措施[J].辽宁经济管理干部学院学报,2005(03):42-42.