網(wǎng)絡(luò)嗅探的工作原理和運(yùn)行環(huán)境是什么?
無(wú)線局域網(wǎng)(WLAN)因其安裝便捷、組網(wǎng)靈活的優(yōu)點(diǎn)在許多領(lǐng)域獲得了越來(lái)越廣泛的應(yīng)用,但由于其傳送數(shù)據(jù)通過(guò)無(wú)線電波傳播,發(fā)射的數(shù)據(jù)可能到達(dá)預(yù)期之外的接收設(shè)備,因此WLAN的傳送信息存在被竊取的危險(xiǎn)。這就是我們今天要說(shuō)的嗅探技術(shù),它是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲網(wǎng)絡(luò)中數(shù)據(jù)報(bào)文的一種技術(shù)。嗅探一般工作在網(wǎng)絡(luò)的底層,可以在對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行記錄,從而捕獲賬號(hào)和口令、以及其他用戶敏感信息,甚至可以用來(lái)獲取更高級(jí)別的訪問(wèn)權(quán)限、分析網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行網(wǎng)絡(luò)滲透等。隨著無(wú)線局域網(wǎng)技術(shù)的廣泛應(yīng)用,其安全問(wèn)題也被越來(lái)越多的用戶關(guān)注。 WLAN中無(wú)線信道的開放性給網(wǎng)絡(luò)嗅探帶來(lái)了極大的方便。在WLAN中網(wǎng)絡(luò)嗅探對(duì)信息安全的威脅來(lái)自其被動(dòng)性和非干擾性,運(yùn)行監(jiān)聽程序的主機(jī)在竊聽的過(guò)程中只是被動(dòng)的接收網(wǎng)絡(luò)中傳輸?shù)男畔ⅲ粫?huì)與其它主機(jī)交換信息,也不修改在網(wǎng)絡(luò)傳輸?shù)男畔沟镁W(wǎng)絡(luò)嗅探具有很強(qiáng)的隱蔽性,往往使網(wǎng)絡(luò)信息的丟失不容易被發(fā)現(xiàn)。盡管它沒(méi)有對(duì)網(wǎng)絡(luò)進(jìn)行主動(dòng)攻擊或破壞行為明顯,但由它造成的損失也是不可估量的。只有通過(guò)分析網(wǎng)絡(luò)嗅探的原理與本質(zhì),才能更有效地防患于未然,增強(qiáng)無(wú)線局域網(wǎng)的安全防護(hù)能力。 字串9 網(wǎng)絡(luò)嗅探原理 字串3 要理解網(wǎng)絡(luò)嗅探的本質(zhì),就必須要清楚數(shù)據(jù)在網(wǎng)絡(luò)中封裝、傳輸?shù)倪^(guò)程。根據(jù)TCP/IP協(xié)議,數(shù)據(jù)包是經(jīng)過(guò)封裝后,再被發(fā)送的。假設(shè)客戶機(jī)A、B和FTP服務(wù)器C通過(guò)接入點(diǎn)(AP)或其他無(wú)線連接設(shè)備連接,主機(jī)A通過(guò)使用一個(gè)FTP命令向主機(jī)C進(jìn)行遠(yuǎn)程登錄,進(jìn)行文件下載。那么首先在主機(jī)A上輸入登錄主機(jī)C的FTP口令,F(xiàn)TP口令經(jīng)過(guò)應(yīng)用層FTP協(xié)議、傳輸層TCP協(xié)議、網(wǎng)絡(luò)層IP協(xié)議、數(shù)據(jù)鏈路層上的以太網(wǎng)驅(qū)動(dòng)程序一層一層包裹,最后送到了物理層,再通過(guò)無(wú)線的方式播發(fā)出去。主機(jī)C接收到數(shù)據(jù)幀,對(duì)數(shù)據(jù)信息進(jìn)行對(duì)比分析處理。這時(shí)主機(jī)B也同樣接收到主機(jī)A播發(fā)的數(shù)據(jù)幀,并檢查在數(shù)據(jù)幀中的地址是否和自己的地址相匹配,如不匹配則丟棄包。這就是TCP/IP協(xié)議通信的一般過(guò)程。 字串8 網(wǎng)絡(luò)嗅探就是從通信中捕獲和解析信息。假設(shè)主機(jī)B想知道登陸服務(wù)器C的FTP口令是什么,那么它要做的就是捕獲主機(jī)A向C發(fā)送的數(shù)據(jù)包,對(duì)包信息進(jìn)行解析,依次剝離出以太幀頭、IP包頭、TCP包頭等,然后對(duì)報(bào)頭部分和數(shù)據(jù)部分進(jìn)行相應(yīng)的分析處理,從而得到包含在數(shù)據(jù)幀中的有用信息。 字串7 俗話說(shuō)巧婦難為無(wú)米之炊,在進(jìn)行嗅探前,首先設(shè)置嗅探的計(jì)算機(jī)(安裝配置無(wú)線網(wǎng)卡并把網(wǎng)卡設(shè)置為混雜模式)。這樣網(wǎng)卡能夠接收一切通過(guò)它的數(shù)據(jù)包,進(jìn)而對(duì)數(shù)據(jù)包解析,實(shí)現(xiàn)數(shù)據(jù)監(jiān)聽;其次循環(huán)包,并將抓到的包送到數(shù)據(jù)解析模塊處理;最后進(jìn)行數(shù)據(jù)解析,依次提取出以太幀頭、IP包頭、TCP包頭等,然后對(duì)各個(gè)報(bào)頭部分和數(shù)據(jù)部分進(jìn)行相應(yīng)的分析處理。 字串9 防范策略 字串5 盡管嗅探技術(shù)實(shí)現(xiàn)起來(lái)比較隱蔽,但并不是沒(méi)有防范的方法,下面筆者再來(lái)介紹下如何對(duì)嗅探行為進(jìn)行防護(hù)。 字串3 首先,加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制。一種極端的手段是通過(guò)房屋的電磁屏蔽來(lái)防止電磁波的泄漏,通過(guò)強(qiáng)大的網(wǎng)絡(luò)訪問(wèn)控制可以減少無(wú)線網(wǎng)絡(luò)配置的風(fēng)險(xiǎn)。同時(shí)配置勘測(cè)工具也可以測(cè)量和增強(qiáng)AP覆蓋范圍的安全性。雖然確知信號(hào)覆蓋范圍可以為WLAN安全提供一些有利條件,但這并不能成為一種完全的網(wǎng)絡(luò)安全解決方案。攻擊者使用高性能天線仍有可能在無(wú)線網(wǎng)絡(luò)上嗅探到傳輸?shù)臄?shù)據(jù)。 字串7 其次,設(shè)置網(wǎng)絡(luò)為封閉系統(tǒng)。為了避免網(wǎng)絡(luò)被NetStumbler之類的工具發(fā)現(xiàn),應(yīng)把網(wǎng)絡(luò)設(shè)置為封閉系統(tǒng)。封閉系統(tǒng)是對(duì)SSID標(biāo)為“any”的客戶端不進(jìn)行響應(yīng),并且關(guān)閉具有網(wǎng)絡(luò)身份識(shí)別的功能的系統(tǒng)。這樣可以比較好的禁止非授權(quán)訪問(wèn),但不能完全防止被嗅探。 字串4 再其次,采用可靠的加密協(xié)議。如果用戶的無(wú)線網(wǎng)絡(luò)是用于傳輸比較敏感的數(shù)據(jù),那么僅用WEP加密方式是遠(yuǎn)遠(yuǎn)不夠的,需要進(jìn)一步采用適合用戶需求的第三方加密方式。加密協(xié)議簡(jiǎn)單的可以理解為,介于HTTP協(xié)議與TCP協(xié)議之間的可選層,如SSL是在TCP之上建立了一個(gè)加密通道,對(duì)通過(guò)這一層的數(shù)據(jù)進(jìn)行加密,從而達(dá)到保密的效果。 字串3 另外,使用安全Shell而不是Telnet。SSH是一個(gè)在應(yīng)用程序中提供安全通信的協(xié)議,通過(guò)使用RSA的算法建立連接。在授權(quán)完成后,接下來(lái)的通信數(shù)據(jù)是用IDEA技術(shù)來(lái)加密的。SSH后來(lái)發(fā)展成為F-SSH,提供了高層次的、軍方級(jí)別的對(duì)通信過(guò)程的加密。它為通過(guò)TCP/IP網(wǎng)絡(luò)通信提供了通用的最強(qiáng)的加密。目前,還沒(méi)有人突破過(guò)這種加密方法。嗅探到的信息自然將不再有任何價(jià)值。此外,使用安全拷貝而不是用文件傳輸協(xié)議也可以加強(qiáng)數(shù)據(jù)的安全性。 字串3 最后,使用一次性口令。通常的計(jì)算機(jī)口令是靜態(tài)的,容易被嗅探竊取。采用一次性口令技術(shù),能使竊聽賬號(hào)信息失去意義。例如S/key的原理是遠(yuǎn)程主機(jī)已得到一個(gè)口令(這個(gè)口令不會(huì)在不安全的網(wǎng)絡(luò)中傳輸),當(dāng)用戶連接時(shí)會(huì)獲得一個(gè)請(qǐng)求信息,用戶將這個(gè)信息和口令經(jīng)過(guò)算法運(yùn)算,產(chǎn)生一個(gè)正確的響應(yīng)回執(zhí)信息(如果通信雙方口令正確的話)。這種驗(yàn)證方式無(wú)需在網(wǎng)絡(luò)中傳輸口令,而且相同的“請(qǐng)求/響應(yīng)信息”也不會(huì)出現(xiàn)兩次。 字串5 網(wǎng)絡(luò)嗅探實(shí)現(xiàn)起來(lái)比較簡(jiǎn)單,特別是借助良好的開發(fā)環(huán)境,可以通過(guò)編程輕松實(shí)現(xiàn)預(yù)期目的,但防范嗅探卻相當(dāng)困難。目前還沒(méi)有一個(gè)切實(shí)可行的防御方法。當(dāng)然防范的方法也不止這些,在盡量實(shí)現(xiàn)上面提到的安全措施外,還應(yīng)注重不斷提高網(wǎng)管人員的安全意識(shí),以及用戶的使用習(xí)慣。