計算機信息安全管理中網絡嗅探技術的具體應用

朱　江

（廣東凱通軟件開發有限公司，廣東　廣州　501663）

計算機信息安全管理中網絡嗅探技術的具體應用

朱江

（廣東凱通軟件開發有限公司，廣東廣州501663）

在現代計算機網絡系統中，嗅探技術是計算機信息安全應用和管理過程中較為常用的一種技術手段，不僅可以作為不法分子的侵入工具，還可作為網絡系統安全管理的重要工具和方法。實踐中，應當立足實際，通過嗅探技術和方法的應用，對整個計算機網絡系統實時監控，及時準確地發現攻擊行為。文章主要分析了嗅探技術手段在檢測、侵入防范過程中的應用，并在此基礎上闡述觀點和認識。

計算機；信息；嗅探技術；安全管理

所謂嗅探技術，有時也稱之為監聽技術，在現代計算機網絡安全系統中，通常是指利用某種方式進行竊聽并發送給本機的數據包動態過程。從某種意義上來講，嗅探技術在計算機信息安全管理、黑客防御過程中，起到了舉足輕重的作用。

1　網絡嗅探技術分類及其機理

從功能的視角考慮，網絡嗅探器包括兩種類型，一種是利用網絡設備，另一種則是專用設備，這里所講的設備是指嗅探器。其中，前者支持的協議呈現出多樣性特點，比如Snifferit；對于后者而言，通常是針對特定的技術軟件、特定功能等進行即時通訊的軟件，比如嗅探器、專門嗅探密碼的裝置等。基于工作環境以及工作機理分析，嗅探技術包括廣播網、本機以及交換機等幾種類型的嗅探等方法。

1.1本機嗅探技術

所謂本機嗅探是指在某臺計算機內，嗅探程序通過某種方式，獲取發送給其他進程的數據包的過程。例如，當郵件客戶端在收發郵件時，嗅探程序可以竊聽到所有的交互過程和其中傳遞的數據。通常情況下，獲得網絡數據包以后，需經硬件驅動以及操作協議棧方可進入應用程序進行處理。實踐中，若在硬件驅動層、協議棧層對數據包獲取代碼進行編寫，可以獲得其他程序運行和應用實踐中中的網絡數據和信息。

1.2廣播網嗅探技術

對于廣播網而言，通常是在Hub（集線器）局域網絡應用基礎上，利用總線方式獲得的數據包在網絡系統中被發送至端口位置。廣播網在傳輸信息數據過程中，主要是通過“共享”，本地網范疇中的計算機接收的數據包是一樣的。基于此，以太網卡作為硬件“過濾”設備；該過濾器嚴重忽略了與本身沒有任何關系的網絡信息，即忽略了與媒體接入控制（Media Access Control，MAC）地址不符合的相關信息。廣播網中，全部網卡均會收到數據包；再基于過濾器過濾無關數據包，將本機網卡設置成混雜形式，即可使嗅探技術支持廣播網的嗅探應用。

1.3交換機應用放入嗅探技術

交換機的工作原理與Hub不同，它不再將數據包轉發給所有的端口，而是采用分組交換模式傳輸單至單的信息數據。在此過程中，交換機能夠將各端口MAC地址準確地記錄下來。同時，結合數據包目的地址對目的端口進行優選，通過對預設地址網卡的把控，可以對數據信息進行準確把握。在交換機嗅探作用下，尤其是在交換環境條件中，通過一定的方式和方法嗅探。對于交換機而言，其主要是采用分組交換模式，僅僅將網卡簡單地設定成混雜的模式，無法嗅探出相關的網絡數據包，僅接收本機的信息數據包，采用其他方式進行嗅探。

2　計算機信息安全管理過程中的網絡嗅探技術應用

2.1對網絡入侵進行嚴格監測和控制

對于網絡入侵檢測而言，實際上就是采用模式匹配以及異常分析等方法，全面分析網絡數據包，對入侵、病毒蠕蟲以及攻擊和傳播等違規事件和行為進行嚴格把控，尤其要對所采用的軟硬件進行監控。對于網絡入侵檢測而言，其帶有一定嗅探工具，而且具有專家系統。在檢測網絡入侵問題時，應當將嗅探到的數據包進行分析。在此過程中，分析模塊應當結合專家庫特征、模型等提取有害或者可疑事件，對網絡系統蠕蟲病毒、系統進行安全報警。從實踐來看，入侵檢測與協議分析設備基本一致，通常在交換機鏡像端口之上。

2.2對網絡系統運行安全進行嚴格審計

所謂網絡審計，實際上就是利用網絡嗅探技術和工具，獲取數據包、解碼以后對其進行存儲，目的在于為后期查詢進行實時報警。采用嗅探技術的應用，網絡審計能夠優選實現上網審計、違規數據嚴格監控等。基于嗅探技術應用的網絡審計軟件，其在重點網絡節點進行運行，并對網絡系統中的數據流合法性進行嚴格的檢查。

2.3對計算機網絡蠕蟲病毒進行嚴格控制

調查發現，當前計算機網絡系統中的病毒蠕蟲呈現出泛濫狀態，而且其傳播范圍也不斷地擴大，傳播速度加快。在該種情況下，利用嗅探技術手段控制蠕蟲病毒，能夠起到非常好的應用效果。第一，利用網絡嗅探技術進行流量檢測，可以發現網絡流量問題，一旦出現異常，可根據已建異常模型，對網絡蠕蟲病毒進行提前預知。第二，通過對網絡嗅探協議進行分析，對蠕蟲病毒情況及其發作與否進行全面了解，并且及時進行預警。第三，通過利用嗅探技術，盡早對蠕蟲病毒樣本進行獲取，通過詳細分析，制定防御、清除措施和應對方案。第四，利用嗅探技術對入侵進行嚴格檢測，以此對局域網絡內的蠕蟲病毒源進行確定，及時對病毒蠕蟲進行扼殺。

2.4網絡布控及其追蹤

結合當前計算機網絡犯罪特點和趨勢，利用嗅探技術手段對黑客入侵以及拒絕服務攻擊等進行追蹤，并且協助執法部門對計算機網絡犯罪行為、違反者進行準確定位。對于當前的計算機網絡犯罪而言，通常采用的是跳板，通過中間主機攻擊或危害計算機網絡系統，從事非法活動。值得一提的是，在捕獲不法分子過程中，上述問題帶來了非常大的技術障礙；嗅探技術工具的應用，能夠幫助執法人員很好地應對該問題。在網絡布控過程中，其具體操作如下。某犯罪行為是基于中間跳板主機而發生的，暫時對主機無法進行明顯操作；而嗅探技術的應用，可以對其采取24小時不間斷跟蹤監控，只要不法分子對該主機進行遠程登錄，則嗅探器即可將該不法分子所在的網絡協議（Internet Protocol，IP）地址準確地定位下來，這樣既可實現協助定位以及實時跟蹤監控。在此過程中需要注意以下事項：部分不法分子采用跳板方式侵入網絡系統，對此應當多次進行布控，只有這樣才能獲得準確的IP地址。從本質上來講，網絡追蹤實際上就是針對偽造的某一IP地址攻擊追查法。實踐中，因網絡攻擊多采用的是虛假IP地址，尤其是那些規模較大的拒絕服務侵入，所以從嗅探技術應用獲取的相關數據信息分析，難以準確對攻擊源進行判斷。針對該種情況，需利用移動的嗅探技術和工具，采用溯源方式自終點逐個進行前溯，最后找到攻擊起源。

2.5網絡取證

從市場調查現狀來看，目前國內計算機網絡犯罪率不斷升高，加之傳統犯罪網絡化趨勢明顯，而傳統的電話錄音、取證等方法已經無法有效滿足日益變化和發展要求。在該種情況下，嗅探技術的應用，成為一種有力的取證工具和手段，而且可以有效填補傳統空白。在嗅探技術應用過程中，網絡取證工具能夠利用在需取證犯罪行為所需的計算機以及網絡系統之中，并且可以將違法犯罪分子的行為（比如上網記錄、發的郵件以及QQ聊天信息等）進行實時跟蹤和調取信息內容進行分析，這有利于案件的及時偵破。

3　結語

總而言之，國內計算機網絡系統中的網絡嗅探技術應用，大大提高了網絡安全可靠性及其管理效率。然而，目前尚無那種技術手段是一勞永逸的，不可能采取某種技術手段和方法就能永久防止不法入侵。當前所應用的嗅探技術，不過是在不法分子入侵系統以后用以有價值信息的收集，在計算機網絡安全管理與維護時，防止系統被侵入至關重要；同時，還要定期檢測網絡系統的運行安全可靠性，防止出現潛在的風險。實踐中，為了能夠有效防止或者避免嗅探侵入，建議按時對安全報告、網絡狀態進行追蹤，一旦發現異常，則需及時進行介入，以此來有效減少網絡危害，最大限度地發揮嗅探技術的應用作用。

［1］魏強.計算機網絡欺騙和嗅探技術研究［J］.渭南師范學院學報，2014（19）：44-48.

［2］褚宗饒.探究計算機技術如何保障信息安全［J］.電腦知識與技術，2015（6）：10-14.

［3］高強.探析網絡嗅探技術［J］.農業網絡信息，2012（5）：84-86.

［4］王曉華，程兆敏.通信網絡嗅探技術淺析［J］.中國科技財富，2012（15）：24-27.

［5］俞淑婷.基于WLAN嗅探攻防的安全技術研究［D］.天津：天津大學，2013.

Specific application of network sniffer technology in security management of computer information

Zhu Jiang
（Guangdong KaiTong software development Co.， Ltd.， Guangzhou 501663， China）

In modern computer network system， sniffer technology is a commonly used technical means in the process of application and management of computer information security， which can not only be a lawless intrusion tool， but also an important tools and methods of security management in network system.In the practice， we should take real-time monitoring of the entire computer network system on the basis of reality， through the use and method of sniffer technology， to find the attack timely and accurately. This article mainly analyzes the sniffer technology application in the process of detection， intrusion prevention and on the basis of which， idea and understanding of the sniffer technology are elaborated.

computer； information； sniffer technology； safety management

朱江（1975— ），男，浙江杭州，本科；研究方向：通信技術。