通信网络嗅探技术浅析

摘要：近年来，随着网络信息技术的不断发展，通信安全已成为现代通信网络领域的一个热点问题，而其中的网络嗅探技术由于其在信息安全防御和黑客攻防技术中的特殊地位，以成为业内争论的焦点。本文从对嗅探技术的分类及其原理的分析入手，重点介绍了网络嗅探行为的判定，同时对工程实践中所采取的消除网络监听的安全策略进行了简要的叙述。

关键词：嗅探技术、分类、原理、判定、安全策略

中图分类号：E965 文献标识码：A 文章编号：

1、前言

嗅探是网络安全领域常用的窃听数据包流转指向的技术，这种技术可以实时的监视流入本机和本地进程的非法数据包，因而业内人士通常称其为“网络监听”技术。而嗅探器则是监听技术得以实施的载体，按类型的不同可将其划分为硬件和软件两种。现阶段，网络嗅探技术无论是在通信网络信息安全，还是在黑客攻防领域中都占有绝对的主导地位。因而不断加强对嗅探技术原理、应用及发展趋势的分析和研究不仅能够有效避免和预防因其滥用而引起的安全隐患，而且对实现通信网络安全体系的构建和稳定运转具有非常重要的指导意义

2、分类及其原理分析

专用嗅探器和通用型网络嗅探器是目前业内对嗅探器两种公认的划分形式，这种分类是以嗅探器工作状态下所具有的不同功能为基础的。前者类型的嗅探器主要是针对某些专用软件或其所属的专项功能，如针对一些即时通信软件而专门设定的实现专用功能的嗅探器；而后者类型的嗅探器则是支持诸如tcpdump、Snifferit等多种通信协议的通用型嗅探器。另外，嗅探技术又可按照其不同的工作环境和原理分为以下几种类型：

2.1、本机嗅探

为了能够监听和获取本地计算机内不同进程数据包间的交互，常采用本机嗅探技术并配以特殊的方式来进行本机安全系统各交互进程的窃听。本机嗅探技术不仅可以对计算机本地的交互进程实行全面的监控，而且还能实现对传递数据的全程窃听。通过对本机嗅探技术原理图的分析可知，此项技术的核心部分是数据包捕获代码的编写，而这类代码编写的原则是必须基于本地计算机硬件驱动层或操作系统协议栈层，因为通常情况下，进入执行进程的网络数据包首先要经过硬件驱动层和操作系统协议栈层的解析，之后才能为应用程序所识别和处理，最终转换为有效的网络资源数据。

2.2、广播网嗅探

通常情况，我们可将广播网定义为是一种基于局域网互联的集群网，而集线器（HUB）则是广播网内各网段的中继站，网络中的各个节点以总线式结构进行互联，网络中的数据包则通过群发或广播的方式被送往网内的所有端口。由于“数据共享”是构建广播网信息传输的基础和原则，因而在本地范围或一固定的区域内，会出现不同终端接收到相同数据包的情况。基于以上原因，目前大多数的以太网卡都在内部集成了硬件形式的过滤装置以达到无关信息和数据过滤的目的，这种过滤器可以对进入本地端口的数据信息进行筛选，有效忽略和清除与自身MAC地址不相符的数据包。简而言之，数据包在广播网的流转过程中，首先会被发送至网络各节点的所有端口，之后各节点端口处的以太网卡会对数据信息的有效性进行扫描和判定，将数据流中那些目的地址与网卡实际地址不相符的数据包自动隔离或丢弃，最终使广播网中各节点主机的安全得到了保障。广播网嗅探技术主要是针对上述基于HUB环境下组建的信息交互网络的嗅探和窃听行为，在实际应用过程中，一些网络黑客和网络安全防卫者只需将本机网卡调设成混杂模式，嗅探工具就可在广播网或多播网中完成嗅探和窃听工作。这种嗅探技术可以真正实现对广播网流经各节点端口数据流的实时性和全程性的监控。

2.3、基于交换机的嗅探

交换机的工作原理与HUB 不同，它不再将数据包转发给所有的端口，而是通过“分组交换”的方式进行单对单的数据传输。即交换机能记住每个端口的MAC 地址，根据数据包的目的地址选择目的端口，所以只有对应该目的地址的网卡能接收到数据。基于交换机的嗅探是指在交换环境中，通过某种方式进行的嗅探。由于交换机基于“分组交换”的工作模式，因此，简单的将网卡设为“混杂”模式并不能够嗅探到网络上的数据包，而只能接收本机的数据包，因此必须要采用其他的方法来实现基于交换机的嗅探。

3、网络嗅探行为的判定

如何才能知道有没有嗅探器在网上跑呢？这也是一个很难说明的问题，如果网络通信正在被窃听,那么网络可能会出现以下几种情况：

3.1、网络通讯掉包率反常的高

通过一些网络软件，你可以看到你的信息包传送情况，向ping这样的命令会告诉你掉了百分几的包。如果网络中有人在窃听，那么你的信息包传送将无法每次都顺畅的流到你的目的地。

3.2、网络带宽将出现反常

通过某些带宽控制器(通常是防火墙所带)，你可以实时看到目前网络带宽的分布情况，如果某台机器长时间的占用了较大的带宽，这台机器就有可能在听。

3.3、文件空间的容量出现反常

通常一个嗅探的记录文件会很快增大并填满文件空间。在一个大型网络中，嗅探明显加重机器负荷。这些警告信息往往能够帮助管理员发现网络存在窃听行为。

4、消除网络监听所采取的安全策略

消除嗅探器并小是一件很困难的事情，通常可采取加密和网络分割的办法来防止嗅探器的攻击。

4.1、加密

如果仅仅需要防止远程登录时用户账号和安全口令被截取，可以在主机上安装OTP系统、在使用OTP的系统中，用户在登录时根据主机提出的一个迭代值和一个种子值计算出本次登录的口令，如果需要保护电子邮件免遭窃取，可以对邮件使用PCP加密，对该算法日前还没有找到比穷尽算法更有效的破解办法。

4.2、网络分割

通常人们所能接受的防止嗅探器攻击的办法是使用安全的网络拓扑结构，我们知道，网络广播的时候，信息包只能被同一网络地址段的嗅探器所捕获)所以可以利用网络分割的技术，使得网络进一步划分，减小嗅探器能够监听的范围，这样网络的其余部分就兔受了嗅探器的攻击。

5、结语

嗅探技术是一柄既能危害通信网络安全，又能促进信息安全体系建设的双刃剑，它既可以为黑客所利用成为威胁网络安全的不法工具，又可以成为网络卫士手中应对不良黑客的有力武器。因此，在现实工作中，要摆正态度，提高觉悟，不断加强对各种网络嗅探技术的研究和探讨，这对于网络信息安全体系的建立和维护将具有非常重要的积极意义。

参考文献

[1] 张永,刘克胜,陆余良.反嗅探中的主动欺骗技术研究[J].计算机安全,2002

[2] 宫一鸣.网络监听技术概览[J].科学出版社,2002