網絡欺騙和嗅探技術研究

王 率

（武昌職業學院 湖北 430202）

0 引言

網絡欺騙就是黑客使目標主機用戶相信信息資源存在有價值，當然這些資源是偽造的，將用戶引向帶有病毒或惡意代碼的資源，實施網絡欺騙可顯著提高入侵的成功率。欺騙能夠成功的關鍵是在受攻擊者和其他web服務器之間，建立起攻擊者的web服務器，這種攻擊方法在安全問題中被稱為“來自中間的攻擊”[1]。要想網絡欺騙攻擊成功，就必須建立起中間web服務器，黑客經常通過改變URL鏈接地址、填寫表單等方法建立中間Web服務器，從而實現網絡欺騙。

1 網絡欺騙的原理及作用

網絡欺騙就是使入侵者相信系統存在有價值的、可利用的安全弱點，并具有一些可攻擊竊取的資源，并將入侵者引向這些錯誤的資源。它能夠顯著地增加人侵者的工作量、入侵復雜度以及不確定性，從而使入侵者不知道其進攻是否奏效或成功。而且它允許防護者跟蹤入侵者的行為，在入侵者之前修補系統可能存在的安全漏洞。

從原理上講，每個有價值的網絡系統都存在著安全弱點，而且這些弱點都可能被攻擊者所利用。網絡欺騙主要有以下3個作用：①影響攻擊者，使之按照防護者的意志進行選擇。②迅速地檢測到攻擊者的進攻并獲知其進攻技術和意圖。③消耗攻擊者的資源。網絡欺騙一般通過隱藏和偽裝等技術手段實現，前者包括隱藏服務、多路徑和維護安全狀態信息機密性，后者包括重定向路由、偽造假信息和設置圈套等。

2 防范網絡欺騙的手段

對于源IP地址欺騙行為，可以采取以下措施來盡可能的保護系統免受這類攻擊：

(1)拋棄基于地址的信任策略：阻止這類攻擊的一種十分容易的辦法就是放棄以地址為基礎的驗證。不允許這類遠程調用命令的使用；刪除hosts文件；清空/etc/hosts．equiv文件。這將迫使所有用戶使用其他遠程通信手段，如Telnet、SSH、skey等。

(2)使用加密方法：在包發送到網絡上之前，對數據進行加密處理。加密處理雖然會使網絡環境復雜化，可是加密后數據的真實性、完整性和完全性將會有極大的提高。

(3)進行包過濾：可以配置路由器使其能夠拒絕網絡外部與本網內具有相同地址的連接請求。而且，當包的IP地址不在本網內時，路由器不應該把本網主機的包發送出去。要提醒大家一點，路由器雖然可以封鎖試圖到達內部網絡的特定類型的包。但它們也是通過分析測試源地址來實現操作的。因此，它們僅能對聲稱是來自于內部網絡的外來包進行過濾，如果你的網絡存在外部可信任主機，那么路由器將無法防止別人冒充這些主機進行IP欺騙。

3 嗅探技術及其在防范網絡欺騙中的應用

嗅探(sniffer)技術是一種重要的網絡安全攻防技術。對黑客來說，通過嗅探技術能以非常隱蔽的方式攫取網絡中的大量敏感信息。與主動掃描相比，嗅探行為更難被察覺，也更容易操作。對安全管理人員來說，借助嗅探技術．可以對網絡活動進行實時監控，發現各種網絡攻擊行為。嗅探技術最初是作為網絡管理員檢測網絡通信的必備技術，既可以是軟件，又可以是一個硬件設備。軟件Sniffer應用方便，針對不同的操作系統平臺都有多種不同的軟件Sniffer；硬件Sniffer通常被稱做協議分析器，其價格一般都很高昂。

在局域網中，由于以太網的共享特性決定了嗅探能夠成功。因為以太網是基于廣播方式傳送數據的，所有的物理信號都會被傳送到每一個主機節點，此外，網卡可以被設置成混雜接收模式，在這種模式下，無論監聽到的數據幀目的地址如何，網卡都能予以接收。而TCP/IP協議棧中的應用協議大多數以明文形式在網絡上傳輸，在這些明文數據中往往包含一些敏感信息(如賬號、密碼等)，使用Sniffer可以監聽到所有局域網內的數據通信，并得到這些敏感信息。Sniffer的隱蔽性好，它只是被動接收數據，不向外發送數據，所以在傳輸數據過程中，根本無法察覺。Sniffer的局限性是只能在局域網的沖突域中進行，或者是在點到點連接的中間節點上進行監聽。

3.1 網絡嗅探器

網絡嗅探器在當前網絡技術使得非常廣泛。網絡嗅探器既可以作為網絡故障的診斷工具，也可以作為監聽工具。傳統的網絡嗅探技術是被動地監聽網絡通信、用戶名和口令。而新的網絡嗅探技術開始主動地控制通信數據。大多數的嗅探器至少能夠分析下面的協議：標準以太網、TCP，/IP、IPX、DECNET等。

根據功能不同，嗅探器可以分為通用網絡嗅探器和專用嗅探器。前者支持多種協}義，如Tcpdump、Snifferit等；后者一般是針對特定軟件或提供特定功能，如專門針對MSN等即時通信軟件的嗅探器、專門嗅探郵件密碼的嗅探器等。

3.2 嗅探的安防作用

3.2.1 網絡安全審計

網絡審計是指通過網絡嗅探工具，將網絡數據包捕狹、解碼并加以存儲，以備后期查詢或提供即時報警。通過嗅探技術，網絡審計可以實現上網行為審計、網絡違規數據的監控等功能。利，H網絡嗅探技術開發的網絡行為審計類軟件是運行在關鍵的網絡節點。對網絡傳輸的數據流進行合法性檢查的工具。

3.2.2 蠕蟲病毒的控制

采用嗅探技術，對蠕蟲病毒的控制可起到以下作用：

（1)基于網絡嗅探的流量檢測，及時發現網絡流量異常，并根據已經建成的流量異常模型，初步判斷網絡蠕蟲病毒爆發的前兆。

（2)基于網絡嗅探的網絡協議分析，進一步確認蠕蟲病毒的發作，并及時給m預警信息。

（3)基于網絡嗅探技術的蜜罐，盡早捕獲蠕蟲病毒的樣本，并通過對其進行詳細的分析，制定出有效的防御方案和清除方案。

（4)通過旗于網絡嗅探技術的入侵檢測，能夠準確定位局域網絡中的蠕蟲病毒傳播源，從而及時扼殺蠕蟲病毒的傳播行為。

3.3 網絡布控與追蹤

針對網絡犯罪。如黑客入侵、拒絕服務攻擊等。通過嗅探技術進行追蹤，協助執法部門定位網絡犯罪分子。現代網絡犯罪往往采用跳板進行。即通過一臺中間主機進行網絡攻擊和犯罪活動，這對犯罪分子的捕獲造成了很大的障礙，而嗅探技術可以有效地幫助執法人員解決這一問題。

網絡追蹤是引起對偽造IP地址攻擊的一種追查方法。由于網絡攻擊往往采用虛擬的IP地址(特別是大規模的拒絕服務攻擊)，從被攻擊機嗅探獲取的數據無法直接判斷攻擊源，需要果用移動的網絡嗅探器，以溯源的方式從終點逐個前溯，直到發現攻擊的起源點。

3.4 網絡取證

基于嗅探的網絡取證工具可以運行在需要取證的犯罪分子所使用的計算機上(如個人計算機或公共場所的計算機)，并可以將該犯罪分子的網絡行為(如郵件、聊天信息、上網記錄等)加以實時記錄，從而協助案件的偵破和起訴證據的獲取。為了確保利用嗅探工具所獲得的網絡證據具備不可篡改性，網絡取證工具中還需要內置數字簽名工具，防止操作人員人為修改或誤刪數字證據。嗅探技術在黑客攻防技術及信息安全體系建設中都起到了非常重要的作用，而反嗅探技術也是確保網絡私密性的關鍵之一。同時，嗅探技術在網絡安全管理工作中也具有很大的幫助。

4 結論

在進行嗅探技術的合法應用的同時，還需要關注嗅探技術濫用帶來的泄密和破壞個人隱私問題。在未來，隨著網絡技術的發展，嗅探技術和反嗅探技術還將不斷進步，目前在高速化、可視化、針對加密的嗅探和無線切人技術四個方向上都可以見到新技術的出現。

[1]何智欽，金偉. 基于欺騙式塔康干擾技術研究與仿真[J]. 現代防御技術，2013，02：107-111.

[2]王慧. 網絡欺騙技術與檔案信息化安全[J]. 蘭臺世界，2013，S2：88.

[3]李靜媛，丁照光. 網絡欺騙技術在網絡安全防護中的作用[J].軟件導刊，2013，06：118-119.

[4]劉柏強. 網絡安全中網絡欺騙的作用初探[J]. 計算機光盤軟件與應用，2012，03：68-70.

[5]張宏偉. 網絡欺騙在網絡安全中的作用研究[J]. 計算機光盤軟件與應用，2012，04：107-108.