荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: hellsolaris (qq), 信区: Security
标 题: 数据网络监听和嗅探器--beta 版
发信站: 荔园晨风BBS站 (Sat Oct 25 18:17:26 2003), 站内信件
数据网络监听和嗅探器--beta 版
---(一)基础教育---
***** ICEMOUSE *****
一,嗅探器和计算机网络安全
嗅探器(Sniffer)泛指一种能够对网络传输进行监听并能捕获网络报文的
网络设备。Sniffer这一术语来源于通用网络公司一个产品名称。它本身是网络
协议分析器,一开始该产品就被命名为Sniffer。随着通用公司的产品越来越来
越在网络市场中占主导地位,Sinffer一词也越来越流行。最后,所有能对网络
进行监听协及议分析程序和设备都被统称为嗅探器(Sniffer)。
一个嗅探器可以由软件或者专用硬件实现。强大的嗅探设备还能够对所捕获
的报文进行过滤及对多数协议进行分析,从大量报文中提取对监听者有用的信息
和报告。嗅探器被正当运用于网络设计,流量分析,故障诊断,性能优化和网络
安全监测等方面。例如,知名的Internet Security System公司的入侵检测系
统(IDS) RealSecure里面的Network Monitor就是一个安装在计算机上能对同
一个网段中的传输进行监测,并能够分析识别攻击信号的一种嗅探程序(软件)。
由于嗅探器可以监听网络传输并捕获报文,所以当嗅探器被未授权用户或入侵
者所利用的时,就会危害网络信息安全。第一次广为人知对通信网络的监听发生
在美国内战期间。南北双方都在对方电话线上架设了监听设备,以截取对方的通信,
获得对方的军队部署及兵力分布情报。现在,使用嗅探器对数据网络的攻击可以截
获在网络中传输的报文中的数据,而这些数据可能包括银行帐号密码,军事机密文
件,用户在表格里填的个人信息,私人电子邮件等。由此可见,理论上凡是在网络上
传输的数据都可能被嗅探器截获。
二,在不同的物理媒体上的监听:
1.在铜质数据线路上监听:
a.在数字线路中进行监听:
这包括两种常用的主要传输媒体。一种是双绞线(Twised-Pair),一种是50欧
姆的同轴电缆。双绞线是一种现在最普遍的网络传输媒体。现在的LAN中多数使用Cat
5 双绞线用星型拓扑进行组网。Cat 5 UTP由4对24号线组成。每对信号线绞在一起
并在其中传输的是相反的信号,从而减低电器干扰。在双绞线外部用感应放大器可以
轻易接收双绞线泄露的信号。或从没有用的线对上读取感应信号,再利用网络检测器
可简单地对从线上读取的数据进行解码。对于屏蔽试双绞线(STP),由于有一层接地
屏蔽,信号泄露明显小一些。但是其所泄露的信号还是容易被敏感的感应放大器接收。
而同轴电缆相对双绞线有强得多的抗干扰能力,这是因为同轴电缆的内芯导线完全
被同轴的接地外皮所屏蔽,能够屏弊大部分电磁感应信号。从同轴电缆外部接收信号
比双绞线难得多。但是,可以使用简单的同轴电缆接收设备探针刺破电缆的外皮和屏
弊层直接到达导线,进行物理监听。
b.在模拟线路中监听:
而在电话网这种以模拟信号传输的数据网络里,由于监听还包括模数转换和频分
多路复用和各种速率(如ADSL)等等问题,而且对模拟信号监听容易引起信号改变而
被管理员发现。所以对于一般的入侵者来说,除非有专用设备和对通信技术有一定的
了解,不然监听模拟传输是比较困难的。
2.对无线数据网络(无线电,微波,红外等)中监听:
由于无线网络属于广播行网络,而且它的传输介质本身就是最不安全的。在接收
范围内任何有设备的人都可以接收数据。所以在这种网络设备开发和安装的时候都会
考虑到安全问题。一般这种设备本身会使用加密技术保证数据安全(特别是微波传输)。
所以即使能截获数据。如果不是明文的话,怎样解密就是个关键问题了。
3.对光纤的监听
光纤一直被认为是一种速度高,稳定的传输介质。由于它不象铜介质一样因为电
磁现象而有信号泄露的可能。而且光纤非常的细如果要剥开光纤的包层而不破坏光纤
是很难的,所以它一直被认为是一种安全的传输介质。信号在光纤内传输是基于光的
反射。当光纤被弯曲超过光反射的临界角时,可能会有些较强的信号被离散出来。在
弯曲处安装极敏感的接受器,是有可能对实现光纤进行监听。但是,由于这中设备肯
定是很昂贵而且复杂的,所以一般人不可能拥有这样的设备,一般都是安全机关及专
业的间谍组织才会进行这样的监听。
二,嗅探器和局域网
1.在Ethernet--基于CASM/CD(IEEE802.3,100VG-AnyLAN等)中使用嗅探器:
大多数基于嗅探器的攻击是在同一个以太网段发生的。因为在同一个以太网段内
数据传输是被广播的。当一台计算机和另外一台计算机进行通讯时,在同一个网段内
(包括了源地址主机所在的网段和目的地址主机所在的网段)内的所有计算机都能够
接收并对帧的头部所包含的地址进行识别。但只有目的主机才会真正接收数据。而一
个嗅探器会接收所有数据,并不理会这个帧的目的地址是不是自己的。当然,为了减
少储存空间和CPU的开销它可能会对数据报进行过滤,只接收监听者指定的数据。
2.在令牌环型网络中(FDDI,和IEEE 802.5等)使用嗅探器:
在令牌环中安装嗅探器的问题显得有点复杂。因为在令牌环网络中,由于目的主
机回接收并消除目的地址是自己的数据报,并放出令牌。所以如果嗅探器刚好安装在
目的主机的“下面”的话,是无法截获数据的。
三 ,嗅探器和Internet
入侵者能使用嗅探器截获网络传输,那么他必须将嗅探器安装在目标主机通信时报
文一定要经过的链路。从上面的叙述可以知道,由于大多LAN是广播型的。所以在LAN
里安装嗅探器是比较常见的。而且在目标LAN内安装嗅探器可以比较集中地收集目标的
数据传输。而在Internet上,由于数据的路由是动态选择的,所以要使用嗅探器是比
较困难。所以如果要在Internet上使用嗅探器,就要将Sniffer装在数据报必须经过
的地方。一是在位目标提供接入服务的IAP的内网上安装Sniffer,或者是在远程代理
服务器上安装Sniffer,然后引诱用户使用该Proxy server。
现在很多169A用户为了取得Internet的访问权,用Proxy Hunter寻找免费的代理
服务器。然后用该服务器获得访问Internet的权限。事实上,入侵者可能使用一个免
费的代理端口引诱用户,然后在该代理服务器上安装Sniffer截获用户的数据。当然,
有些人会认为自己没使用Proxy做关键性的数据传输。但是,自称为“黑客”的人并不
是都想要去偷取机密性数据。他们的目的只是为了以入侵行为炫耀自己的能力。这个就
是为什么那么多自称为“黑客”的人对别人的Web服务器那么有兴趣的原因。因为侵入
web服务器并修改页面,是别人能看得到的。当然,能截获你的数据,而对你造成麻烦
(例如,偷取你的BBS帐号和密码然后在上面乱发文章)也是可以炫耀自己的能力的一
条途径。
四,防止嗅探保护数据安全
1,对局域网进行合理分段
由于嗅探大部分是在同一个以太网段发生。使用路由器,交换机和能对网络实施
分段的智能集线器对网络进行划分是一种有效解决的方法。由于路由和交换设备能够
将目的不属于该段的传输隔离。所以能够很好的利用带宽,并能够阻止嗅探的发生。
但是由于路由及交换设备比较昂贵,所以并不是所有的公司都能使用这种解决方法。
2,使用加密设备对数据进行处理
加密是一种阻止嗅探的有效而廉价的方法。但是要保证所使用的加密技术是难以
被破解的。加密包括了对连续数据流的加密和对文件进行加密。特别是在Internet上
进行传输的时候,应该明确了解Internet是不安全的。在Internet上和商业合作伙伴
进行业务数据交换的时候,应该使用虚拟专用网(VPN)的技术进行数据流加密。对于
电子邮件,应该用类似于PGP等公匙系统进行加密。而对于基于WEB的商业应用,必要
的时候要使用类似于安全套接字层(SSL)等技术,进行安全传输。
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.223]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店