局域网中网络监听与防范技术.docx

    局域网中网络监听与防范技术    张辉 郭杜娟 张洪军Summary：本文主要针对局域网中常用的网络监听等技术的实现方法和防范措施进行了详细的研究与分析，分析表明不同局域网应用范围和使用环境下应该采用不同的安全控制策略和相应的技术，提出了一系列的安全控制策略，列举了一些常见的局域网攻击方法，并总结了对应的防范措施Key：局域网;网络监听;防范措施前言计算机局域网的应用在现代社会各行各业中起着举足轻重作用目前比较常见的局域网攻击类型有DoS攻击、ARP攻击、网络监听等等，为了确保所有组网部件能根据需求提供必要的功能且只有授权者可以访问网络，并且应能保证其信息完整、准确地传播，必须对大多数常见的局域网攻击的原理以及步骤有所了解，并对应的掌握一定的防范的方法1.局域网中网络监听与防范技术网络监听技术是利用计算机的网络接口截获目的地为其它计算机的数据报文的一种技术网络监听器（sniffer）原来是提供给网络管理员的一类管理工具，使用这组工具可以监视网络的状态、数据流动情况以及网络上传出的消息，并利用这些消息来排除网络故障1.1网络监听的实现按传输技术计算机网络可以分为两种：点到点网络和广播式网络。

局域网下目前以广播式的共享网络居多，由于局域网下的数据传输主要是在数据链路层进行的，因此监听也集中在这一层实现1.1.1共享式局域网监听共享式局域网采用的是广播信道，每一台主机都共享一条网络总线，这意味着所有的主机都可以接收到总线上的数据包但我们实际情况是每个主机只接受发给它的数据包，丢弃不属于自己的数据包，这是通过每台主机网卡上唯一的MAC 地址实现的只有当数据包中目的地址与自己的MAC地址相同，主机才接收该数据包，否则不接受该数据包1.1.2交换式局域网的监听标准的交换式网络是基于数据链路层的点到点信道，在交换式局域网中可以通过以下3种方法达到监听的目的1）MAC 洪水（MAC Flooding）：交换机要负责建立两个节点之间的“虚电路”，就必须维护一张交换机端口与MAC地址的映射表2）MAC 复制（MAC Duplicating）：由于很多网卡允许修改内部的MAC 地址，所以可以利用这一点修改本地的MAC 地址，使它和被监听主机的MAC 地址相同，这样，交换机就会发现，有两个端口对应相同的MAC 地址，于是到该MAC 地址的数据包将同时从这两个交换机端口发送出去3）ARP 欺骗（ARP Spoofing）：ARP 欺骗能够实现的主要原因是ARP 协议在早期设计上的缺陷造成的。

下面举例详细说明ARP 欺骗的过程假设在局域网中有3台主机通过交换机相连，正常情况下，主机B 是收不到主机A 与主机C 之间的通信报文的，如果主机B要监听主机A 与主机C 的通信报文，那么主机B 就要分别向主机A 和主机C 发送假冒的ARP 应答包对于主机B 发往主机A 的应答包中IP 地址与MAC 地址的对应关系是：主机C 的IP 地址：192.168.100.3对应主机B 的MAC 地址：00-51-24-35-33-02，这样在主机A 收到应答包后会刷新自己本地的ARP 表这样当主机A 要发往主机C 的报文实际上已发给了主机B，因为数据包是根据MAC 地址发送的而不是根据IP 地址发送的同样对于主机B 发往主机C 的应答包中IP 地址与MAC 地址的对应关系是：主机A 的IP 地址：192.168.100.1对应主机B 的MAC地址：00-51-24-35-33-02这样就可监听主机A 与主机C 之间的所有报文了，这里，主机B相当于充当了一个中间人的角色，因此这种监听方法被称为“Man-In-The-Middle ”方法1.2网络监听的防范针对网络监听的防范主要有两方面组成：被动防范与主动检测。

被动防范是指从网络自身的完整性出发，加强相关的防范措施，将网络监听所能利用的漏洞降至最低，不给网络监听任何机会主动检测是指主动出击把局域网中的监听主机挖掘出来，并对监听主机进行定位，最大可能的防止信息的泄漏1.2.1被動防范被动防范常用的方法主要有以下几种：（1）分割网段：细化网络会使得局域网中被监听的可能性减小，这是因为局域网下的各种监听方法无法跨网段进行，使用交换机、网桥等设备就可以有效地阻止被窃听2）使用静态ARP 表：静态ARP 表采用手工输入的方法，在连网的过程中不处理ARP 响应包，不对ARP表做任何修改3）数据加密这种方法的初衷就是即使监听者可以监听到信息，也无法阅读信息有很多加密技术， PGP（Pretty Good Privacy） and S/MIME （Secure MIME）：是用于E-mail 信息加密的两种技术SSh（Secure Shell）：目前已经替代Telnet成为远程登录Unix系统的标准程序，而且其它很多协议也可以通过SSh 进行隧道传输VPN（Virtual Private Networks）：可以在Internet 上提供一条加密通道，但是如果黑客连接到VPN 网络的某个终端结点，他仍然可以窃听到网络数据。

1.2.2主动检测（1）MAC检测：网卡处于混杂模式时，它会将所有接收到的数据都向内核协议栈提交，而很多操作系统内核的协议栈并不对底层提交的数据帧的目的MAC地址进行检查，或者只进行简单的检查2）DNS 检测：许多窃听程序对所听到IP 地址会自动发一些反向DNS 请求，因此可以通过观察DNS 相关数据包探测到监听你可以对一个根本不存在的IP 地址发Ping 命令，只有监听程序听到此数据包后会对该地址发反向的DNS 请求，通过这样的方法，我们也可以简单地进行探测3）负载检测：直接的选择是使用ICMP 应答请求，然而许多操作系统的TCP/IP 协议栈总是对ICMP 包尽快处理：一接收到ICMP 应答请求包，系统就立即进行应答与局域网类似，广域网下同样存在着诸如IP 欺骗、DNS 欺骗、路由欺骗等网络监听的手段，也应加强对这一方面防范措施的研究工作，使攻击者无机可乘Reference：[1]周明全、吕林涛、李军怀网络信息安全技术，西安电子科技大学出版社，2008年[2]周良洪，信息网络安全概论，群众出版社，2005年3月[3]荆继武，信息安全技术教程，中国人民公安大学出版社，2007年[4]庞南，信息安全管理教程，中国人民公安大学出版社，2007年  -全文完-。