交換環境下網絡嗅探的檢測與防御

摘 要信息技術的持續發展，網絡得以更大范圍地應用。與此同時，網絡受攻擊者攻擊的頻率越來越高，破壞程度也越來越大，這更突出了信息安全在信息網絡發展中的重要作用。本文結合自身實際工作經驗，分析交換環境下網絡嗅探的檢測與防御策略，以持續提升信息網絡的安全程度。

【關鍵詞】交換環境 網絡嗅探 檢測 防御

網絡嗅探，主要是指網絡信息交換過程中，利用網絡嗅探等工具得到在網絡中交互的數據包，從而對數據包完成智能分析，并得到網絡分析所需要的網絡數據。在網絡嗅探中所得到的網絡數據通常包括網絡賬號、用戶口令信息、關鍵文本等關鍵數據。在網絡安全保障工作中，網絡嗅探已成為威脅信息安全的重要問題。因而，深入地探討如何檢測并防御交互環境下的網絡嗅探問題，有助于提升網絡環境的信息安全等級，更好地保障網絡用戶數據安全。

1 交互式環境下網絡嗅探的常見實現方式

1.1 MAC地址偽造

MAC地址偽造，主要是利用修改計算機網絡中本機的MAC地址信息，促使其跟攻擊對象的計算機MAC地址信息一致，就能夠達到同樣的MAC地址信息就能夠達到同一個MAC地址信息能夠映射到交換機中不同的兩個端口信息。通過MAC地址偽造，網絡中所交互的數據包就會通過交換機中的兩個不同端口發送出去，達到網絡嗅探的入侵效果。

1.2 MAC地址溢出

計算機網絡中所布置的交換機所創建的端到端網絡連接，需要在內存中建立交換機端口與計算機終端MAC地址信息的映射關系信息。然而，受到內存大小的約束，所構建的地址映射信息所存在的端口與MAC地址映射關系相對有限。假如網絡中交換機所獲取的MAC地址信息很大比例上是攻擊者所偽造的，占用了大量的內存緩存空間，從而會導致交換機中由于所接收的大量偽造數據而造成交換機難以完成正常地數據交換，轉而通過廣播的方式將網絡信息發送到所有端口，達到傳統的網絡嗅探。

1.3 ARP欺騙攻擊

交互網絡環境下，ARP欺騙攻擊，主要是指借助于向交互式網絡內的目標主機發出偽造的ARP應答信息，從而進行更新計算機網絡中攻擊目標的計算機ARP緩存中的MAC數據及IP數據之間的對應信息，進而達到掌控網絡中數據包走向的嗅探入侵效果。

2 交換式網絡中網絡嗅探的檢測

2.1 DNS請求監視

當存在網絡嗅探問題時，需要借助于DNS的發送以反向分析所需要處理的數據包以分析確定與IP信息相關的域名數據。因而，對網絡中被嗅探的計算機主機所發出的DNS數據信息進行監測，就能夠達到分析目標主機是否存在被網絡嗅探的問題。因而，當利用PING網絡命令監測偽造的IP地址時，假如該目標計算機有返回反向查詢的DNS請求信息時，就表明該目標計算機終端有存在被網絡嗅探的風險問題。

2.2 系統響應時間分析

通常而言，網絡中的計算機系統一般不會處理來向不明的MAC地址信息所發來的數據包，因而，計算機網絡中的計算機系統被攻擊者推送大量偽造的MAC地址信息所發出的網絡數據包時，網絡嗅探監聽系統就會對這些所偽造的網絡數據包進行處理，這就耗費了大量的系統資源，增加了操作系統的相應時間，比計算機網絡中未被監聽的系統響應時間要長很多。因而，及時地關注分析操作系統的響應時間也是網絡中網絡嗅探的有效檢測方式。

2.3 PING命令監測

假如在網絡中懷疑存在網絡嗅探問題時，可以嘗試應用PING命令達到網絡監測的效果。比如，在計算機網絡中發出正確的IP地址以及異常的網絡MAC地址信息都進行PING命令監測。假如所進行的兩種方式，計算機網絡主機終端都有發出相應的網絡響應信息，這表明當前計算機網絡中存在網絡嗅探問題。比如，正常計算機網絡中目標終端是不會接收到錯誤的MAC地址信息所發出的網絡數據。想要分析計算機網絡中所存在的ARP攻擊問題，可以借助于多種方法。一方面，可以分析計算機網絡中的交換機地址映射表以確定網絡嗅探的MAC地址信息。另一方面，也可以根據網絡嗅探攻擊原理以制作網絡嗅探分析工具，從而定位ARP攻擊源的MAC信息。另外，也可以直接通過PING命令直接檢測IP網關地址，從而檢測分析與IP地址信息相對應的MAC地址信息，以分析判斷網絡攻擊的真正地址信息。

3 交換環境下網絡嗅探的防御策略

3.1 加密網絡傳輸數據

網絡加密技術，是當前網絡安全的主要實現方式，也是當前網絡嗅探防御的可行技術。網絡傳輸數據過程中進行加密，已成為對付惡意嗅探的最佳防御方式。即使網絡嗅探捕獲了網絡中所傳輸的數據包，網絡嗅探工具也無法獲悉正確地數據信息，這也使得網絡嗅探失去了其應有的作用。因而，針對當前網絡嗅探所存在的各種問題，可以通過SSH協議、IDEA加密技術等方式進行加密網絡中所傳輸的數據，以達到網絡嗅探防御的效果。

3.2 網絡分割

通常而言，網絡廣播會通過同一根網絡總線進行廣播，因而，網絡嗅探只會發生在相同的網絡段中。因而，在網絡嗅探防御工作中，就可以通過網絡分割的方式將所構建的網絡進行進一步的劃分細化，從而盡量縮小網絡嗅探的影響范圍，從而確保當發生網絡嗅探問題時其他網絡段不會受到影響。因而，在網絡搭建過程中，應該通過網絡分割的方式以解決不同網絡之間的信任關系，并在此基礎之上設計形成更為高效地網絡拓撲結構。

3.3 防止ARP欺騙

在當前的交換式網絡環境中，網絡嗅探監聽需要通過ARP欺騙的方式開展各種嗅探行為。進行ARP欺騙的核心原理在于攻擊者通過向目標終端發揮偽裝的ARP應答，從而促使目標終端構建所偽造的IP地址信息與MAC地址信息之間的映射關系，并重寫了目標終端的緩存數據。針對此種方式，可以考慮在包括防火墻以及路由器等網絡重要設備設置靜態方式的ARP，也可以將網絡中訪問頻率較高的主機的IP地址信息與MAC地址信息寫成靜態的映射關系，并定期刪除網絡中使用頻率較低的地址信息映射關系，從而最大化地減少ARP欺騙發生的次數。

4 結束語

網絡嗅探問題，已成為當前信息安全領域最大的威脅因素。因而，在實際交換環境應用中，應深入地了解網絡嗅探常見的實現方式，并制定積極有效的檢測與防御策略，以提升網絡的安全等級。

參考文獻

[1]魏為民，袁仲雄.網絡攻擊與防御技術的研究與實踐[J].信息網絡安全，2012（12）：53-56.

[2]李光輝，佟云峰，孫余一，李依蓉.網絡嗅探防御措施研究[J].有色金屬設計，2012，39（04）：59-62+67.

[3]康文崢，余鵬.交換式網絡嗅探與反嗅探研究[J].數字技術與應用，2013（03）：70.

作者簡介

韓曉琛（1995-），男，青海省海東市循化撒拉族自治縣人。撒拉族，2014級，大學本科學歷。長治學院計算機系網絡工程（網絡規劃構建方向）專業。

作者單位

長治學院 山西省長治市 046000