網(wǎng)絡(luò)攻擊之嗅探攻擊的原理及仿真實現(xiàn)

張 蕾

(云南大學(xué)職業(yè)與繼續(xù)教育學(xué)院，云南 昆明 650091)

0 引言

網(wǎng)絡(luò)時代的到來，無論是個人敏感信息還是商業(yè)機密，大多都存儲在了計算機網(wǎng)絡(luò)中，這樣就對網(wǎng)絡(luò)信息存儲安全提出了更高的要求。而嗅探攻擊技術(shù)的使用，可給數(shù)據(jù)的快速獲取提供技術(shù)支持，但是同時也會給信息安全造成一定的破壞。因此，應(yīng)全面地了解嗅探攻擊技術(shù)，確保揚長避短，最大化地發(fā)揮出其應(yīng)用價值，降低對網(wǎng)絡(luò)信息的破壞。本文就針對網(wǎng)絡(luò)攻擊之嗅探攻擊的原理及仿真實現(xiàn)展開具體的分析與討論。

1 網(wǎng)絡(luò)攻擊概念與分類

網(wǎng)絡(luò)安全威脅主要就是指：在網(wǎng)絡(luò)環(huán)境下，分布在各個主機上的信息資源受到了安全威脅，存在著一定程度的安全風(fēng)險，導(dǎo)致信息系統(tǒng)無法正常運轉(zhuǎn)。因此，一旦信息系統(tǒng)遭受到網(wǎng)絡(luò)攻擊，相應(yīng)的信息系統(tǒng)就會出現(xiàn)崩潰甚至癱瘓的狀況，這樣就導(dǎo)致大量的數(shù)據(jù)信息泄露或者丟失。而嗅探攻擊作為一種常見的網(wǎng)絡(luò)攻擊類型，就應(yīng)做好對其的防范，避免造成更大的經(jīng)濟損失。而網(wǎng)絡(luò)攻擊一般都具備較強的目的性，其攻擊的目的主要就是為了破壞網(wǎng)絡(luò)中的各項數(shù)據(jù)信息，造成數(shù)據(jù)信息的泄露，甚至破壞整個系統(tǒng)的運行狀況[1]。此外，針對網(wǎng)絡(luò)攻擊而言，其一般可分為：主動攻擊和被動攻擊兩種類型。其中，主動攻擊可以改變網(wǎng)絡(luò)中信息的狀態(tài)，并且可破壞信息的完整性、保密性和可用性，對于網(wǎng)絡(luò)的破壞影響較大。欺騙攻擊就是一種常見的額主動攻擊類型，其在攻擊網(wǎng)絡(luò)時主要就是根據(jù)錯誤的信息來誤導(dǎo)數(shù)據(jù)的傳輸，進而就對用戶或者資源發(fā)起攻擊。而被動攻擊較主動攻擊不同的是：其不會直接攻擊網(wǎng)絡(luò)狀態(tài)或者網(wǎng)絡(luò)信息，故一般只會破壞網(wǎng)絡(luò)信息的保密性。其中，嗅探攻擊就屬于一種典型的被動攻擊類型，其在攻擊時，只會復(fù)制網(wǎng)絡(luò)信息，但是并不會直接改變信息的狀態(tài)。因此，做好網(wǎng)絡(luò)攻擊的防護工作，對于有效地保護網(wǎng)絡(luò)安全是十分必要的[2]。

2 嗅探攻擊的概念及原理

做好嗅探攻擊概念及原理的分析與研究工作，就能在一定程度上有效地幫助我們?nèi)媪私庑崽焦簦_保能夠有效地增強網(wǎng)絡(luò)的邊界，來實現(xiàn)對網(wǎng)絡(luò)應(yīng)用的合理保護，確保保障網(wǎng)絡(luò)信息安全。下面，針對嗅探攻擊的概念及原理展開具體的分析與討論。

2.1 嗅探攻擊的概念

嗅探器是嗅探攻擊技術(shù)常用的一種設(shè)備，其可以實時地監(jiān)測網(wǎng)絡(luò)運行狀態(tài)，當在大量的信息中發(fā)現(xiàn)到可用且有價值的信息時，其就開始進行竊取。因此，網(wǎng)絡(luò)黑客經(jīng)常將嗅探器作為網(wǎng)絡(luò)攻擊的主要武器，來竊聽網(wǎng)絡(luò)上的數(shù)據(jù)信息。因此，及時地發(fā)現(xiàn)嗅探攻擊，對于保護網(wǎng)絡(luò)信息安全是至關(guān)重要的。其中，當發(fā)現(xiàn)網(wǎng)絡(luò)通信的丟包率較高時，就可判斷有人監(jiān)聽，這主要是由于數(shù)據(jù)包遭受嗅探器攔截所導(dǎo)致的。此外，當發(fā)現(xiàn)寬帶出現(xiàn)異常時，也能在一定程度上推斷有相應(yīng)的機器在監(jiān)聽網(wǎng)絡(luò)的運行狀態(tài)。因此，就可實時地監(jiān)測網(wǎng)絡(luò)運行狀態(tài)，確保根據(jù)其運行狀況來判斷嗅探器是否存在，以此也就能實現(xiàn)對數(shù)據(jù)信息的合理保護[3]。

2.2 嗅探攻擊的原理

信息的交互需要建立一條信息傳輸?shù)耐ǖ溃ㄟ^該通道發(fā)送方將數(shù)據(jù)信息發(fā)送至接收方。而嗅探攻擊的工作原理則與信息傳輸原理大致相同，但是不同的是，信息不僅由發(fā)送方傳至接收方，而且還會沿著終端至黑客終端的路徑進行傳輸，且終端至黑客終端的發(fā)送對于發(fā)送方和接收方而言都是完全透明的。其中，集線器作為一種廣播設(shè)備，當其從某個端口接收到MAC幀以后，不僅要接收MAC幀的端口，而且還需要將MAC幀傳輸至其他端口。因此，當集線器接收到MAC幀后，就會沿著路由器至黑客這條路徑將MAC幀輸出，這樣就極易造成數(shù)據(jù)的泄露，以此也就達到了網(wǎng)絡(luò)嗅探的目的。其中，當網(wǎng)絡(luò)遭受到嗅探攻擊之后，數(shù)據(jù)信息就會遭到泄露，此時黑客就可實現(xiàn)對信息的惡意篡改。當黑客持續(xù)收取到信息后，其就會將信息發(fā)送到目的終端，或者加強信息發(fā)送的頻次，以此來增強對網(wǎng)絡(luò)攻擊的次數(shù)，這樣就會給整個網(wǎng)絡(luò)系統(tǒng)造成更大的損害[4]。

3 網(wǎng)絡(luò)攻擊之嗅探攻擊的仿真實現(xiàn)

3.1 仿真過程

交換機將終端A與終端B連接在了一起，而交換機又與路由器相連。這樣當終端A通過交換機向終端B發(fā)送MAC幀后，其必須通過路由器才能實現(xiàn)數(shù)據(jù)的互通和共享。倘若黑客想要通過嗅探攻擊來竊取系統(tǒng)中的信息時，就可在路由器和交換機之間插入相應(yīng)的集線器，并將集線器連接至黑客的一端，這樣黑客一端就能實現(xiàn)對數(shù)據(jù)信息的收集[5]。

3.2 仿真實驗步驟

在進行具體的嗅探攻擊仿真實驗時，應(yīng)首先采用直通線將終端A與終端B連接起來，并連接至交換機和相對應(yīng)的端口上，進而再將交換機與路由器進行相連。其中，在終端A上應(yīng)進行IP地址網(wǎng)絡(luò)信息的配置，并輸入正確的子網(wǎng)掩碼。對于終端B，同樣地也應(yīng)在相應(yīng)的配置窗口中，設(shè)置相對應(yīng)的IP地址，以此就能實現(xiàn)終端A與終端B信息的互通，確保兩者之間可以實現(xiàn)數(shù)據(jù)的交互。此外，在路由器上還應(yīng)設(shè)置相對應(yīng)的接口，使其IP地址與終端A和終端B默認的網(wǎng)關(guān)地址相同。當終端A與終端B完成路由器接口的配置后，就應(yīng)選擇相應(yīng)的報文工具，來檢測終端A與終端B的互通性，確保兩者之間能夠?qū)崿F(xiàn)數(shù)據(jù)的傳輸與共享。為了模擬嗅探攻擊的場景，還應(yīng)在原有的架構(gòu)圖中增加集線器和黑客終端兩種設(shè)備，并將其設(shè)置到對應(yīng)的集線器上。此外，應(yīng)注意的是：應(yīng)將過濾窗口的報文類型設(shè)置為ICMP，這樣就能保證所添加的集線器和黑客終端對于終端A和終端B是透明的。通過以上操作，就能有效地模擬嗅探攻擊，這對我們有效地防范網(wǎng)絡(luò)攻擊是十分必要的[6]。

4 網(wǎng)絡(luò)嗅探攻擊的主要應(yīng)對措施

4.1 劃分子網(wǎng)

針對當前所使用的網(wǎng)絡(luò)嗅探攻擊技術(shù)而言，其大多都是在一個子網(wǎng)下面來完成網(wǎng)絡(luò)嗅探的分析工作，這樣就給嗅探攻擊工作的展開造成了一定的難度。其中，對于在不同子網(wǎng)中工作的主機而言，其所存在的IP地址不同，故就要對其進行相應(yīng)的前綴匹配等操作，不能直接運用MAC廣播幀的方式來實現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)與傳遞，否則就無法實現(xiàn)數(shù)據(jù)的共通。因此，針對網(wǎng)絡(luò)嗅探攻擊，首先就應(yīng)做好子網(wǎng)的劃分，確保將內(nèi)部的組織網(wǎng)絡(luò)合理的劃分，以此才能有效地避免嗅探攻擊事件的發(fā)生，才能有效地保障網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運行[7]。

4.2 加大網(wǎng)絡(luò)流量的監(jiān)控力度

在嗅探攻擊模式下，終端A可將數(shù)據(jù)傳至黑客端，并且嗅探器可以監(jiān)視到系統(tǒng)流量以及數(shù)據(jù)的使用情況，對于所要捕獲的數(shù)據(jù)可以做到隨時獲取，這樣就大大增大了數(shù)據(jù)存儲以及轉(zhuǎn)發(fā)的危險性。因此，為了實現(xiàn)對數(shù)據(jù)信息的合理保護，就應(yīng)加大對網(wǎng)絡(luò)流量的監(jiān)控力度，一旦發(fā)現(xiàn)網(wǎng)絡(luò)流量存在異常情況，應(yīng)及時查明原因，判斷其是否由嗅探攻擊引起。此外，嗅探器還會接收來自同一網(wǎng)絡(luò)的所有數(shù)據(jù)幀，這樣就導(dǎo)致其會占用大量的寬帶。因此，在檢測網(wǎng)絡(luò)系統(tǒng)是否出現(xiàn)異常時，就可根據(jù)網(wǎng)絡(luò)流量的大小來衡量其是否存在嗅探器，一旦發(fā)現(xiàn)應(yīng)立即采取相應(yīng)的防范措施，避免遭受更大的損失。

4.3 數(shù)據(jù)加密

數(shù)據(jù)加密也是應(yīng)對嗅探攻擊的一種主要方式，通過增加數(shù)據(jù)的保密性，就能減少數(shù)據(jù)被泄露以及被竊取的風(fēng)險。其中，針對網(wǎng)絡(luò)協(xié)議而言，其最初的設(shè)計是為了增強數(shù)據(jù)包傳遞的方便性和快捷性，但是對于數(shù)據(jù)傳遞的安全性卻有所忽略，這樣就導(dǎo)致在網(wǎng)絡(luò)中傳遞的大部分數(shù)據(jù)包都是以明文的形式存在的，以此也就增大了其遭受泄露的風(fēng)險。因此，為了避免數(shù)據(jù)包在傳遞時出現(xiàn)泄露，在數(shù)據(jù)傳輸之前，就應(yīng)采取加密操作，這樣嗅探器就無法獲取到數(shù)據(jù)包中用戶的信息，以此也就達到了保障用戶信息安全的目的。

4.4 “誘騙—暴露”策略

嗅探器在進行數(shù)據(jù)嗅探時，首先會將自己的網(wǎng)卡模式設(shè)置為“混雜模式”，這樣嗅探器就能在一定程度上接收到來自同一網(wǎng)段上的所有MAC幀，進而接收這些MAC幀，并從中提取各個協(xié)議段中的數(shù)據(jù)，以此也就完成了數(shù)據(jù)的嗅探功能。基于此種背景下，就可采用“誘騙-暴露”策略來實現(xiàn)對嗅探攻擊的應(yīng)對。其中，對于嗅探器而言，其只會接收所有的MAC數(shù)據(jù)幀，但是對于MAC幀是否真實的存在于子網(wǎng)中，卻毫不知情，這樣就給嗅探攻擊的防范提供了契機。因此，就可在子網(wǎng)中發(fā)送一個IP地址正確，但是MAC地址錯誤的數(shù)據(jù)幀，這樣就能有效地檢測出子網(wǎng)中是否真正的存在嗅探器。倘若在檢測的過程中，并未發(fā)現(xiàn)存在嗅探器，則就表明所傳遞過來的數(shù)據(jù)幀并不會被任何主機所接收，相應(yīng)的也不會收到任何的回應(yīng)報文。倘若在子網(wǎng)中檢測到了嗅探器，則就意味著數(shù)據(jù)幀已被捕捉到，此時就可表明存在嗅探器[8]。

5 結(jié)語

不斷地研究與分析網(wǎng)絡(luò)攻擊之嗅探攻擊的原理及仿真實現(xiàn)，對于有效地保障網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運行，保護用戶的個人隱私不受侵害以及防范網(wǎng)絡(luò)嗅探攻擊，避免造成更大的經(jīng)濟損失都有至關(guān)重要的作用。因此，我們應(yīng)首先認識與了解網(wǎng)絡(luò)攻擊概念與分類和嗅探攻擊的概念及原理，進而對網(wǎng)絡(luò)攻擊之嗅探攻擊進行仿真實現(xiàn)，以此來從劃分子網(wǎng)、加大網(wǎng)絡(luò)流量的監(jiān)控力度、數(shù)據(jù)加密以及“誘騙-暴露”策略4個方面來有效的應(yīng)對嗅探攻擊，確保保障數(shù)據(jù)信息安全，編織更為安全的網(wǎng)絡(luò)邊界防護網(wǎng)，以此就能有效地降低外來攻擊對網(wǎng)絡(luò)信息系統(tǒng)的侵害。