交換環(huán)境下網(wǎng)絡(luò)嗅探的檢測與防御

摘 要信息技術(shù)的持續(xù)發(fā)展，網(wǎng)絡(luò)得以更大范圍地應(yīng)用。與此同時，網(wǎng)絡(luò)受攻擊者攻擊的頻率越來越高，破壞程度也越來越大，這更突出了信息安全在信息網(wǎng)絡(luò)發(fā)展中的重要作用。本文結(jié)合自身實際工作經(jīng)驗，分析交換環(huán)境下網(wǎng)絡(luò)嗅探的檢測與防御策略，以持續(xù)提升信息網(wǎng)絡(luò)的安全程度。

【關(guān)鍵詞】交換環(huán)境 網(wǎng)絡(luò)嗅探 檢測 防御

網(wǎng)絡(luò)嗅探，主要是指網(wǎng)絡(luò)信息交換過程中，利用網(wǎng)絡(luò)嗅探等工具得到在網(wǎng)絡(luò)中交互的數(shù)據(jù)包，從而對數(shù)據(jù)包完成智能分析，并得到網(wǎng)絡(luò)分析所需要的網(wǎng)絡(luò)數(shù)據(jù)。在網(wǎng)絡(luò)嗅探中所得到的網(wǎng)絡(luò)數(shù)據(jù)通常包括網(wǎng)絡(luò)賬號、用戶口令信息、關(guān)鍵文本等關(guān)鍵數(shù)據(jù)。在網(wǎng)絡(luò)安全保障工作中，網(wǎng)絡(luò)嗅探已成為威脅信息安全的重要問題。因而，深入地探討如何檢測并防御交互環(huán)境下的網(wǎng)絡(luò)嗅探問題，有助于提升網(wǎng)絡(luò)環(huán)境的信息安全等級，更好地保障網(wǎng)絡(luò)用戶數(shù)據(jù)安全。

1 交互式環(huán)境下網(wǎng)絡(luò)嗅探的常見實現(xiàn)方式

1.1 MAC地址偽造

MAC地址偽造，主要是利用修改計算機網(wǎng)絡(luò)中本機的MAC地址信息，促使其跟攻擊對象的計算機MAC地址信息一致，就能夠達到同樣的MAC地址信息就能夠達到同一個MAC地址信息能夠映射到交換機中不同的兩個端口信息。通過MAC地址偽造，網(wǎng)絡(luò)中所交互的數(shù)據(jù)包就會通過交換機中的兩個不同端口發(fā)送出去，達到網(wǎng)絡(luò)嗅探的入侵效果。

1.2 MAC地址溢出

計算機網(wǎng)絡(luò)中所布置的交換機所創(chuàng)建的端到端網(wǎng)絡(luò)連接，需要在內(nèi)存中建立交換機端口與計算機終端MAC地址信息的映射關(guān)系信息。然而，受到內(nèi)存大小的約束，所構(gòu)建的地址映射信息所存在的端口與MAC地址映射關(guān)系相對有限。假如網(wǎng)絡(luò)中交換機所獲取的MAC地址信息很大比例上是攻擊者所偽造的，占用了大量的內(nèi)存緩存空間，從而會導(dǎo)致交換機中由于所接收的大量偽造數(shù)據(jù)而造成交換機難以完成正常地數(shù)據(jù)交換，轉(zhuǎn)而通過廣播的方式將網(wǎng)絡(luò)信息發(fā)送到所有端口，達到傳統(tǒng)的網(wǎng)絡(luò)嗅探。

1.3 ARP欺騙攻擊

交互網(wǎng)絡(luò)環(huán)境下，ARP欺騙攻擊，主要是指借助于向交互式網(wǎng)絡(luò)內(nèi)的目標主機發(fā)出偽造的ARP應(yīng)答信息，從而進行更新計算機網(wǎng)絡(luò)中攻擊目標的計算機ARP緩存中的MAC數(shù)據(jù)及IP數(shù)據(jù)之間的對應(yīng)信息，進而達到掌控網(wǎng)絡(luò)中數(shù)據(jù)包走向的嗅探入侵效果。

2 交換式網(wǎng)絡(luò)中網(wǎng)絡(luò)嗅探的檢測

2.1 DNS請求監(jiān)視

當(dāng)存在網(wǎng)絡(luò)嗅探問題時，需要借助于DNS的發(fā)送以反向分析所需要處理的數(shù)據(jù)包以分析確定與IP信息相關(guān)的域名數(shù)據(jù)。因而，對網(wǎng)絡(luò)中被嗅探的計算機主機所發(fā)出的DNS數(shù)據(jù)信息進行監(jiān)測，就能夠達到分析目標主機是否存在被網(wǎng)絡(luò)嗅探的問題。因而，當(dāng)利用PING網(wǎng)絡(luò)命令監(jiān)測偽造的IP地址時，假如該目標計算機有返回反向查詢的DNS請求信息時，就表明該目標計算機終端有存在被網(wǎng)絡(luò)嗅探的風(fēng)險問題。

2.2 系統(tǒng)響應(yīng)時間分析

通常而言，網(wǎng)絡(luò)中的計算機系統(tǒng)一般不會處理來向不明的MAC地址信息所發(fā)來的數(shù)據(jù)包，因而，計算機網(wǎng)絡(luò)中的計算機系統(tǒng)被攻擊者推送大量偽造的MAC地址信息所發(fā)出的網(wǎng)絡(luò)數(shù)據(jù)包時，網(wǎng)絡(luò)嗅探監(jiān)聽系統(tǒng)就會對這些所偽造的網(wǎng)絡(luò)數(shù)據(jù)包進行處理，這就耗費了大量的系統(tǒng)資源，增加了操作系統(tǒng)的相應(yīng)時間，比計算機網(wǎng)絡(luò)中未被監(jiān)聽的系統(tǒng)響應(yīng)時間要長很多。因而，及時地關(guān)注分析操作系統(tǒng)的響應(yīng)時間也是網(wǎng)絡(luò)中網(wǎng)絡(luò)嗅探的有效檢測方式。

2.3 PING命令監(jiān)測

假如在網(wǎng)絡(luò)中懷疑存在網(wǎng)絡(luò)嗅探問題時，可以嘗試應(yīng)用PING命令達到網(wǎng)絡(luò)監(jiān)測的效果。比如，在計算機網(wǎng)絡(luò)中發(fā)出正確的IP地址以及異常的網(wǎng)絡(luò)MAC地址信息都進行PING命令監(jiān)測。假如所進行的兩種方式，計算機網(wǎng)絡(luò)主機終端都有發(fā)出相應(yīng)的網(wǎng)絡(luò)響應(yīng)信息，這表明當(dāng)前計算機網(wǎng)絡(luò)中存在網(wǎng)絡(luò)嗅探問題。比如，正常計算機網(wǎng)絡(luò)中目標終端是不會接收到錯誤的MAC地址信息所發(fā)出的網(wǎng)絡(luò)數(shù)據(jù)。想要分析計算機網(wǎng)絡(luò)中所存在的ARP攻擊問題，可以借助于多種方法。一方面，可以分析計算機網(wǎng)絡(luò)中的交換機地址映射表以確定網(wǎng)絡(luò)嗅探的MAC地址信息。另一方面，也可以根據(jù)網(wǎng)絡(luò)嗅探攻擊原理以制作網(wǎng)絡(luò)嗅探分析工具，從而定位ARP攻擊源的MAC信息。另外，也可以直接通過PING命令直接檢測IP網(wǎng)關(guān)地址，從而檢測分析與IP地址信息相對應(yīng)的MAC地址信息，以分析判斷網(wǎng)絡(luò)攻擊的真正地址信息。

3 交換環(huán)境下網(wǎng)絡(luò)嗅探的防御策略

3.1 加密網(wǎng)絡(luò)傳輸數(shù)據(jù)

網(wǎng)絡(luò)加密技術(shù)，是當(dāng)前網(wǎng)絡(luò)安全的主要實現(xiàn)方式，也是當(dāng)前網(wǎng)絡(luò)嗅探防御的可行技術(shù)。網(wǎng)絡(luò)傳輸數(shù)據(jù)過程中進行加密，已成為對付惡意嗅探的最佳防御方式。即使網(wǎng)絡(luò)嗅探捕獲了網(wǎng)絡(luò)中所傳輸?shù)臄?shù)據(jù)包，網(wǎng)絡(luò)嗅探工具也無法獲悉正確地數(shù)據(jù)信息，這也使得網(wǎng)絡(luò)嗅探失去了其應(yīng)有的作用。因而，針對當(dāng)前網(wǎng)絡(luò)嗅探所存在的各種問題，可以通過SSH協(xié)議、IDEA加密技術(shù)等方式進行加密網(wǎng)絡(luò)中所傳輸?shù)臄?shù)據(jù)，以達到網(wǎng)絡(luò)嗅探防御的效果。

3.2 網(wǎng)絡(luò)分割

通常而言，網(wǎng)絡(luò)廣播會通過同一根網(wǎng)絡(luò)總線進行廣播，因而，網(wǎng)絡(luò)嗅探只會發(fā)生在相同的網(wǎng)絡(luò)段中。因而，在網(wǎng)絡(luò)嗅探防御工作中，就可以通過網(wǎng)絡(luò)分割的方式將所構(gòu)建的網(wǎng)絡(luò)進行進一步的劃分細化，從而盡量縮小網(wǎng)絡(luò)嗅探的影響范圍，從而確保當(dāng)發(fā)生網(wǎng)絡(luò)嗅探問題時其他網(wǎng)絡(luò)段不會受到影響。因而，在網(wǎng)絡(luò)搭建過程中，應(yīng)該通過網(wǎng)絡(luò)分割的方式以解決不同網(wǎng)絡(luò)之間的信任關(guān)系，并在此基礎(chǔ)之上設(shè)計形成更為高效地網(wǎng)絡(luò)拓撲結(jié)構(gòu)。

3.3 防止ARP欺騙

在當(dāng)前的交換式網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)嗅探監(jiān)聽需要通過ARP欺騙的方式開展各種嗅探行為。進行ARP欺騙的核心原理在于攻擊者通過向目標終端發(fā)揮偽裝的ARP應(yīng)答，從而促使目標終端構(gòu)建所偽造的IP地址信息與MAC地址信息之間的映射關(guān)系，并重寫了目標終端的緩存數(shù)據(jù)。針對此種方式，可以考慮在包括防火墻以及路由器等網(wǎng)絡(luò)重要設(shè)備設(shè)置靜態(tài)方式的ARP，也可以將網(wǎng)絡(luò)中訪問頻率較高的主機的IP地址信息與MAC地址信息寫成靜態(tài)的映射關(guān)系，并定期刪除網(wǎng)絡(luò)中使用頻率較低的地址信息映射關(guān)系，從而最大化地減少ARP欺騙發(fā)生的次數(shù)。

4 結(jié)束語

網(wǎng)絡(luò)嗅探問題，已成為當(dāng)前信息安全領(lǐng)域最大的威脅因素。因而，在實際交換環(huán)境應(yīng)用中，應(yīng)深入地了解網(wǎng)絡(luò)嗅探常見的實現(xiàn)方式，并制定積極有效的檢測與防御策略，以提升網(wǎng)絡(luò)的安全等級。

參考文獻

[1]魏為民，袁仲雄.網(wǎng)絡(luò)攻擊與防御技術(shù)的研究與實踐[J].信息網(wǎng)絡(luò)安全，2012（12）：53-56.

[2]李光輝，佟云峰，孫余一，李依蓉.網(wǎng)絡(luò)嗅探防御措施研究[J].有色金屬設(shè)計，2012，39（04）：59-62+67.

[3]康文崢，余鵬.交換式網(wǎng)絡(luò)嗅探與反嗅探研究[J].數(shù)字技術(shù)與應(yīng)用，2013（03）：70.

作者簡介

韓曉琛（1995-），男，青海省海東市循化撒拉族自治縣人。撒拉族，2014級，大學(xué)本科學(xué)歷。長治學(xué)院計算機系網(wǎng)絡(luò)工程（網(wǎng)絡(luò)規(guī)劃構(gòu)建方向）專業(yè)。

作者單位

長治學(xué)院 山西省長治市 046000