利用计算机的网络接口截获目的地为其他,网络欺骗和嗅探技术探讨.doc

网络欺骗和嗅探技术探讨.doc

网络欺骗和嗅探技术探讨

摘 要：网络欺骗存在的原因是在网络世界里，存在着针对网络身份的授权、监督和审计机制。针对网络欺骗，一方面要综合使用多种技术防止欺骗的发生，另一方面要在网络的管理和使用过程中增强主动防范意识。嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据包的一种工具。嗅探器是一种常用的数据收集方法。本文将探讨网络欺骗的类型及防范技术，以及嗅探技术在防范网络欺骗中的应用。

关键词：网络欺骗；嗅探技术；防范

中图分类号：TP393.08

网络欺骗能够显著地增加攻击者的工作量、攻击复杂度以及不确定性，从而使攻击者不知道其进攻是否奏效或成功，而且它允许防护者跟踪攻击者的行为，在攻击者之前修补系统可能存在的安全漏洞。嗅探器(sniffer)是利用计算机的网络接口截获目的地为其他计算机的数据包的一种工具[1]。嗅探器是一种常用的数据收集方法。它通常用于分析网络的流量，以便找出网络中潜在的问题。但是由于它能够捕获网络数据，因此有可能威胁网络安全。它可以捕获网络上的敏感信息，如用户的帐号、密码或者商业机密等。

1 网络欺骗概述

从原理上讲，每个有价值的网络系统都存在着安全弱点，而且这些弱点都可能被攻击者所利用。网络欺骗主要有以下3个作用：(1)影响攻击者，使之按照防护者的意志进行选择；(2)迅速地检测到攻击者的进攻并获知其进攻技术和意图；(3)消耗攻击者的资源。一个理想的网络欺骗可以使攻击者感到他们不是很容易地达到了期望的目标(当然目标是假的)，并使其相信攻击取得了成功。

2 网络欺骗的防范

2.1 IP欺骗的防范。针对改变数据包源地址的欺骗已经有了一些防范措施，比如在网络出口处的路由器或者防火墙上设置规则，不允许源地址不是本网络的数据包流出。那些精心设计的源路由欺骗现在已经很难奏效了，因为很多路由器都忽略源路由选项，而且一般防火墙都禁止有源路由选项的数据包通过。至于主机间的信任关系，首先应该尽量减少使用这种基于简单信任关系的共享机制，另一方面，即使使用信任关系，也要精心设计信任规则，防止由于放松条件导致不必要的威胁。

2.2 邮件欺骗的防范。针对相似的电子邮件地址、欺骗性的别名和“回复地址”等问题，还是要依靠用户自己增强安全意识，尤其是涉及传送敏感信息时，要多审查，多验证。另一方面，越来越多的邮件系统管理员意识到攻击者在利用他们的系统进行欺骗，所以较新版本的邮件服务器本身也采取了许多安全措施，如不允许邮件转发、对发信人的身份进行认证、或者设置邮件服务器只发送或者接收指定域名的邮件等，使邮件服务的安全得到整体提高[2]。

2.3 Web欺骗的防范。 防范Web欺骗最根本的方法是对服务器和客户端的身份进行鉴别。目前比较常用的方式是使用SSL协议，服务器和客户端使用数字证书证明自己的身份。用户登录网站时，网站向客户提供自己的证书，服务器可以选择是否对客户进行认证，认证通过之后可以对双方的会话进行加密。

2.4 社会工程的防范。首先，社会工程很难防范，因为它涉及人及社会关系，属于网络安全管理的范畴。要防范通过社会工程的欺骗，不仅要制定合理的制度和规范，而且要加强对相关人员的教育和培训，使其时刻保持安全意识。

3 嗅探技术

嗅探器在形式上可以是硬件产品，也可以是运行的软件程序。为了说明以太网监听的原理，首先分析以太网中常用的网络互联设备：共享集线器和交换机在处理数据转发时的不同方式。

共享集线器是一个总线结构的网络连接设备，以共享方式工作，即当一个机器向另一个机器发送数据时，接享集线器先收到数据，然后把数据发给与之连接的其他接口，所以共享集线器连接的所有机器的网卡都能接收到数据。显然，在共享集线器工作模式下，两个机器间传输数据的时候，其他的接口也被占用，此时同一网段同一时间只能有两个机器进行数据通信；而使用交换机连接的网络中，两个机器间传输数据的时候没有占用其他端口，所以其他端口之间也可以传输数据。这就是共享集线器与交换机的关键区别所在[3]。

网卡是主机用来接收网络数据的物理设备。当网卡收到传输来的数据时，网卡内的程序先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断是否接收。如果认为应该接收就产生中断信号通知CPU，否则就将其丢弃。CPU得到中断信号产生中断，操作系统根据网卡中断程序地址调用驱动程序来接收数据，驱动程序接收数据后放入堆栈让操作系统处理。可见，网卡能够根据目标MAC地址判断是否接收数据。

数据在链路层以帧为单位进行传输。网卡驱动程序将上层协议数据打包成帧，通过网卡发送到网线k。通过网线到达目的机器后，在目的机器上执行相反的过程。接收端机器的网卡捕获到这些帧，告诉操作系统帧到达，并对其进行存储