網絡嗅探及對策研究

摘要：嗅探是局域網中的一種監聽技術，通過它可以獲得網絡中的大量信息。該文從網絡嗅探的原理入手，分析其潛在安全隱患，并提出了多種檢測和防范嗅探監聽的方法。

關鍵詞：網絡嗅探；混雜模式；加密

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)31-0835-03

The Network Sniffer and Its Countermeasures

YU Peng， XIA Yong-xiang

(The Teaching and Researching Department of Naval Flying Academy， Huludao 125001， China)

Abstract: A lot of information can be acquired by sniffing in LAN. The principle and potential risk of network sniffing analyzed. Several methods to detecting network sniffing and some preventive measures were introduced.

Key words: network sniffing; promiscuous mode; encrypt

網絡嗅探器(Sniffer)本來是用于捕獲、分析網絡中的協議和數據包，幫助管理員管理和監測網絡運行狀況的一種技術手段，卻時常被黑客用來非法偵聽、竊取用戶信息。由于該技術具有被動性和非干擾性的特點，因而利用網絡嗅探來入侵內部網絡，竊取網絡中的重要信息具有很強的隱蔽性，用常規的辦法很難檢測其存在。因此，研究其防御措施成為一項重要課題。

1 Sniffer原理

嗅探器的原理其實很簡單。它是一種數據鏈路層的技術，利用的是共享式的網絡傳輸介質。共享即意味著網絡中的一臺機器可以嗅探到傳遞給本網段（沖突域）中的所有機器的報文。例如最常見的以太網就是一種共享式的網絡技術，以太網卡收到報文后，通過對目的地址進行檢查，來判斷是否是傳遞結自己的，如果是，則把報文傳遞給操作系統；否則，將報文丟棄不進行處理；網卡存在一種特殊的工作模式，在這種工作模式下，網卡不對目的地址進行判斷，而直接將他收到的所有報文都傳遞給操作系統進行處理。這種特殊的工作模式，就稱之為混雜模式。網絡嗅探器通過將網卡設置為混雜模式，并利用數據鏈路訪問技術來實現對網絡的嗅探。實現了數據鏈路層的訪問，我們就可以把嗅探能力擴展到任意類型的數據鏈路幀，而不光是IP數據報。例如Tcpdump、Netxray就是直接訪問數據鏈路層的常用程序。

2 Sniffer的安全威脅

一般來說，因為網絡信息流量很大，存儲資源往往顯得不足，所以網絡黑客喜歡用嗅探器只捕獲每個信息包的前200~300B。通常這里面包含用戶ID和口令，有了用戶的ID和口令后，網絡黑客能很容易地進行下一步的入侵，令網絡管理員防不勝防。如果某網絡被未經授權者設置了嗅探器，那么該網絡的安全實際上已遭到嚴重破壞，特別是LAN接入Internet的情況下，被外來者設置了嗅探器將是很糟糕的事情。任何主機通FTP、Telnet或者Rlogin等方式聯到有嗅探器的系統，都將有被截獲口令的危險。通常，使用Sniffer是在網絡中進行欺騙的開始，它可能造成的危害有以下方面。

2.1 捕獲口令

Sniffer可以記錄到明文傳送的Userid和Passwd，即使網絡傳送過程中使用了加密的數據，Sniffer記錄的數據一樣有可能使入侵者想辦法算出你的算法。一般Sniffer只嗅探每個報文的前200到300個字節，而用戶名和口令都包含在這一部分中。

2.2 能夠捕獲專用的或者機密的信息

比如金融帳號，許多用戶很放心在網上使用自己的信用卡或現金帳號，然而Sniffer可以很輕松截獲在網上傳送的用戶姓名，口令，信用卡號碼，截止日期，帳號和 PIN。比如偷窺機密或敏感的信息數據，通過攔截數據包，入侵者可以很方便記錄別人之間敏感的信息傳送，或者干脆攔截整個的Email會話過程。

2.3 可以用來危害網絡鄰居的安全，或者用來獲取更高級別的訪問權限

一旦入侵者得到用戶名和口令，必然可以通過信任關系危害網絡鄰居的安全，既而獲取更高級別的訪問權限。

2.4 窺探低級的協議信息

通過對底層的信息協議記錄，比如記錄兩臺主機之間的網絡接口地址、遠程網絡接口 IP 地址、IP 路由信息和TCP連接的字節順序號碼等。這些信息由入侵者掌握后將對網絡安全構成極大的危害，例如通常的IP地址欺騙就是要求準確插入TCP連接的字節順序號。當然，簡單的放置一個嗅探器并將其隨便放置將不會起到什么作用。如果將嗅探器放置于被攻擊機器，網關或網絡附近，可以捕獲到很多口令。如果將Sniffer運行在路由器，或有路由器功能的主機上，可以對大量的數據進行監控。Sniffer屬第二層次的攻擊。通常是攻擊者已經進入了目標系統，然后使用Sniffer這種攻擊手段，以便得到更多的信息，并捕獲網絡和其他網絡進行身份鑒別的過程。

由于Sniffer是作用在網絡基礎結構的底層，通常情況下，用戶并不直接和該層打交道，有些甚至不知道有這一層存在，所以Sniffer的危害是相當之大的，網絡安全分析也表明，嗅探器是網絡安全的第二大隱患。

3 如何探測Sniffer的存在

雖然嗅探器是一種被動工作的程序在理論上無法發現，但是根據嗅探器在工作中對主機系統或網絡通訊的影響，也可從中判斷其是否存在。具體可從以下幾個方面入手：

3.1 源路徑方法

假設檢測主機、被檢測主機和任意主機A在同一網段，且主機A不具有轉發功能。檢測主機構造一IP報文，其中IP頭中配置源路由為主機A。將該報文發送到被檢測主機。由于該報文必須經過主機A，而主機A不具備轉發功能，所以正常情況下被檢測主機不能接收到該報文。若檢測主機能收到應答報文且TTL值域不變則說明被檢測主機運行在混雜模式下。

3.2 主動發錯誤包比較檢測

如果懷疑有嗅探器在工作，可以采用的一種方法是大負載沖擊法，即往網上發大量不存在的MAC地址包，由于運行嗅探程序的機器的網卡處于混雜模式，它會接收目的地是任何地址的數據包，這必然導致運行嗅探程序機器的性能下降。管理員可以使用ICMP Echo Delay等方法比較前后該機器的性能的變化，作為推斷該機器可能存在嗅探器的依據。更簡單地，對所懷疑的機器發送IP正確而MAC地址不存在的ICMP Echo Request包，如果仍收到應答，說明此主機的網卡處于監聽模式。

3.3 負載檢測

由于網絡的信息流量較大，嗅探器工作需要占用大量網絡資源，特別是當嗅探器對所有或者很多網絡流量同時進行嗅探時，所以可以通過某些帶寬控制器，檢測網絡帶寬的分布情況，如果某臺機器長時間占用大量帶寬，那么這臺機器很有可能正在監聽。

3.4 采用DNS技術檢測網絡嗅探行為

正常情況下，局域網中不監聽網絡通訊的機器一般不會試圖反向解析數據包中的IP地址，但是許多攻擊者使用的網絡嗅探工具都對IP地址進行反向DNS解析，希望根據域名尋找更有價值的主機。根據這個現象，測試時，測試主機首先將自己的工作模式設置為/混雜模式0，然后向網絡發送偽造的虛假目標IP地址的數據包，同時監聽是否有機器向DNS服務器發送請求解析該虛假目標IP地址的數據包，如果有，則該設備可能工作在嗅探狀態。

4 防御Sniffer監聽的安全對策

對Sniffer監聽的防御一般要據所傳輸數據的重要性、安全性以及所需的花費來決定采用什么措施。預防措施一般采用以下一種或幾種方式：

4.1 對傳輸信息加密

加密是對付惡意嗅探最好的預防方法，經過加密的數據包即使被捕獲，嗅探器也無法理解其中的含義，這樣Sniffer就失去了作用。黑客主要用Sniffer來捕獲Telnet、FTP、POP3等數據包、因為這些協議以明文在網上傳輸，我們可以使用一種叫做SSH的安全協議來替代Telnet等容易被Sniffer攻擊的協議。SSH又叫Secure Shell，它是一個在應用程序中提供安全通信的協議，建立在客戶/服務器模型上。SSH服務器分配的端口是22，連接是通過使用一種來自RSA的算法建立的。在授權完成后，接下來的通信數據用IDEA技術來加密。這種加密方法通常是比較強的，適合于一般密級的通信。對于目前已經出現的可對報文進行解碼的嗅探器，如EEYE的IRIS100，由于其解碼工作一般無法在實時嗅探中進行而是在事后處理，所以可通過使用一次性密碼來防止此類嗅探器的竊聽。

4.2 一次性口令技術

如果局域網中的用戶在訪問局域網中的資源時采用一次性口令技術，那么即使嗅探者得到了這次訪問的口令，他也不能利用該口令進一步獲取資源。S/key就是這樣一種技術，其原理是遠程主機已得到一個口令(這個口令不會在不安全的網絡中傳輸)，當用戶連接時會獲得一個“挑戰”(challenge)信息，用戶將這個信息和口令經過某個算法運算，產生正確的“響應”(response)信息(如果通信雙方口令正確的話)。這種驗證方式無需在網絡中傳輸口令，而且相同的“挑戰/響應”也不會出現兩次。

4.3 采用交換式網絡拓撲結構

除非使用ARP欺騙，否則Sniffer只對共享式的網絡起作用。交換機內部的單片機程序能記住每個接口的MAC地址。因此，在收到數據幀后，根據接口的MAC地址準確地將幀發給目的主機，而不會同時發給其他的主機。所以使用交換機的網絡可以從最大程度上防止Sniffer攻擊。

4.4 防止ARP欺騙

在交換式環境下Sniffer監聽要借助ARP欺騙來實現。ARP欺騙的核心思想就是向目標主機發送偽造的應ARP應答，并使目標主機接收應答中偽造的地址與地址之IP與MAC間的映射對，以此更新目標主機緩存。針對ARP欺騙修改ARP映射表的攻擊特點，可以在關鍵設備如防火墻和邊界路由器上設置靜態ARP，或者將經常訪問的主機相關映射記錄設成靜態項，保存記錄以便校對，并經常刪除未用過的不熟悉的映射記錄項．這些措施可以減少ARP欺騙的發生。

4.5 網絡分割

我們知道，廣播一般只存在于同一根網絡總線上，所以信息包只能被同一網絡塊（或網絡段）的嗅探器所捕獲。我們可以利用網絡分割的技術，使得網絡進一步劃分，減小嗅探器的監聽范圍，這樣網絡的其余部分就免受了嗅探器的攻擊。當然一個網絡塊應該是由那些互相可以信任的計算機組成。典型的情況是這些計算機在同一房間或者同一辦公室。網絡分割有很多優點。一名不道德的雇員安裝了嗅探器，由于受到物理限制，他僅僅能夠捕獲合作伙伴的工作站的信息流。如果發現了在某一分支有嗅探器，那么很容易確定是哪些人所設置。網絡分割要解決的問題是確立信任關系，只有在此基礎上才能設計網絡拓撲。

4.6 虛擬網技術

虛擬網技術主要基于近年發展的交換技術，特別是局域網交換技術。實際上應用虛擬局域網和交換器后，一方面虛擬網外面的節點不能訪問虛擬網內部的節點，同時，虛擬局域網之間的通信需要路由，并可提供一定的訪問控制，甚至屏蔽某個虛擬局域網；另一方面虛擬網內部的交換技術又使得內部主機之間的通信避免了基于廣播的形式，從而整個局域網內部的通信方式都實現了點對點的形式。這就使得網絡嗅探從根本上的得到防范，并且隨著基于第三層交換技術的成熟和所需硬件價格的下降，虛擬局域網技術將得到廣泛的推廣。

隨著網絡安全重要性的不斷提高，嗅探作為一種重要的網絡安全技術手段，應得到網絡管理人員的充分認識，在一些比較敏感的機構，比如軍事部門、金融系統，更要時時提防非法數據嗅探。本文所提出的針對嗅探的檢測和防御手段仍有一定的局限性，不可能對所有的攻擊都起到抑制作用，尤其是當Sniffer和Spoof（欺騙）以及其他技術手段結合在一起使用時其防范將更為困難，因此對于一個安全性要求嚴格的部門，在使用技術防范的同時還要加強安全管理，采用妥善的安全策略才能真正把黑客的惡意嗅探拒之門外。

參考文獻：

[1] 何焱.網絡嗅探及反嗅探的原理及實現[J].現代電子技術，2003，(11):27-28.

[2] 濮青，基于不同網絡環境下的嗅探與反嗅探研究[J].計算機工程與設計，2004，25(07):1130-1132.

[3] 張雪芹，顧春華，林家駿.入侵檢測技術的挑戰與發展[J].計算機工程與設計，2004，25(07):1097-1099.

[4] 龔偉.網絡嗅探器的檢測及安全對策[J].微計算機信息，2006，22(05):72-73.