基于嗅探技术的内部网络安全研究

摘 要：内网一般由服务器、二层交换机、大量终端等组成，由于网络边界处的防火墙、入侵检测系统可以有效的防御来自于外网的入侵，却忽视了网络内部的安全。针对这样的情况，通过使用OMNI PEEK软件对内网进行实时的流量监控和数据包分析，较好的加强并保障了内网的管理和安全。

关键词：内网安全；流量监控；数据包分析

中图分类号：D92 文献标志码：A 文章编号：1673-291X（2013）16-0216-03

一、引言

由于TCP/IP协议簇本身存在许多安全问题，所以使网络安全难以保障。网络安全一般来说分为网络外部和网络内部两方面，如今这两方面出现的安全问题的比例约为3∶7，显然，最普遍的安全威胁主要来自于内部，而且这些威胁通常都是致命的，其破坏性也远大于外部威胁。内网因终端多，使用人员技术水平等因素的影响，使内网安全难以保障，而且与企业的内网安全关注更多的是数据保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）方面不同，一般（学校、网吧）的内网关注更多的是内部系统的稳定性，防止人为破坏或无意破坏。

由于网络边界处的防火墙（Firewall）、入侵检测（IDS）等多方面监控，且服务器只允许外网的终端访问它自身，并有选择地将数据传输给内网终端，对来自网络外部的威胁进行了非常完善的防护，却忽略了内网的安全性。内部网络由大量的终端和网络设备组成，内网用户的非法操作往往具有隐蔽性强，威胁大等特点，内网任何一部分的安全问题，都可能导致整个内部网络的瘫痪。安全问题是三分技术，七分管理，管理才是关键。

二、基于网络嗅探的实时监控

（一）嗅探技术简介

网络监测方法主要有基于网络管理信息的测量方法（如基于SNMP的测量技术）与基于网络嗅探技术的被动监测方法。本实验的网络嗅探是指利用计算机的网络接口截获目的地为其他计算机的数据报文的一种手段。网络嗅探技术不主动向网络发送数据包，而是通过监听、提取和解析网络中正在传输数据包。但是在一个交换式的局域网，此时在其中的任一台主机上安装网络嗅探工具，无论它的嗅探功能如何强大，在交换网络中它也无能为力，这时它只能嗅探到从本机进出的数据包，因此把嗅探工具安装在服务器上便可解决此问题。

网络嗅探技术是一把双刃剑，不可用于窃取私密信息，它的的正当用处主要是分析网络的流量，以便找出网络中潜在的问题.如果某时段一网段运行不畅，信息包的发送比较慢，丢包现在严重，而网络管理员又不知道问题所在，此时就可以用嗅探器作出较准确的判断。

（二）实时网络监控

1.协议分析。对内网的实时监控，目的不是为了实时记录网络状态，而是为了发现异常和攻击。本实验对一些常见的内网安全问题进行分析，正常的数据包就不再此阐释。通过运行omni peek，捕获数据包，经查看发现内网主机192.168.0.136的数据包可疑，刚开机不久便向IP地址为24.89.201.200发送大量数据包，且这台主机发出的所有的数据包都是基于HTTP的（见图1）。

通过对某个数据包的源码分析（见图2），解码后（见下页表1）。

由于HTTP是基于请求/响应范式的，信息交换过程要分四个部分：建立连接、发送请求、发送响应、关闭连接。但我们捕获到得192.168.0.136所发出的数据包却很可疑，图3是通过OMNI PEEK对TCP的解析，发现所有数据包均是SYN包，而SYN包是主机要发起TCP连接时发出的数据包，也就是这台内网主机不断的向外网中的某主机建立HTTP连接，但没有得到任何回应（既未收到ACK确认包，也没有释放连接）。

这种情况一般有下面几种可能：（1）成为黑客控制的“肉鸡”，不断向外网发送大量发送无意义的UDP数据包阻塞网络，以至成为造成DDOS攻击的终端；（2）也有可能是某种p2p下载软件的共享功能的原因（从图看出，它收到了2 642个数据包）。有关调查表明P2P业务不断增加，造成了网络带宽的巨大消耗，引起网络拥塞，降低其他业务的性能经查看该终端确实是P2P软件Emule的原因导致，令其关闭软件恢复网络畅通。

3.防止内网ARP欺骗攻击。在局域网中，最常见的破坏某过于ARP欺骗攻击了。由于要通过ARP来完成IP地址转换为第二层物理地址（即MAC地址），ARP对网络安全具有重要的意义。ARP的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。受到ARP攻击主要现象有：局域网内频繁性区域或整体掉线，网速是否时快时慢，极其不稳定等等。于此同时能够在网络中产生大量的ARP通信量使网络阻塞。

由于ARP的原因（不会验证包的来源是否合理），使得一台主机在从未收到ARP请求包时，也可以发送ARP应答包。一旦某台主机收到ARP应答包，即使它从未向发送此应答包的主机发送过ARP请求包，仍会对本地的ARP缓存进行更新，将应答包中的IP和MAC地址存储在ARP缓存中，所以很多人利用ARP存在的这种缺陷，通过发送伪造的ARP应答包给发出请求的主机，从而改变它们之间的数据传输过程。

一般正常情况下通过在MS-DOS环境下使用arp-a 命令来查看ARP缓存，每一个内网IP都有唯一的MAC地址与之对应。当内网有人通过软件或是中了ARP病毒，窜改MAC地址时，情况如下图。图8为192.168.0.105的主机伪造服务器192.168.0.1的MAC地址，并不断发出ARP应答包，欺骗其他在线主机。

通过OMNI PEEK对ARP数据包进行分析，红色部分是ARP Response包（见图9）得知这个时段内有大量的ARP应答包，分析可能是有人在运行ARP欺骗攻击软件或者是网内感染ARP 欺骗木马。其中大部分的ARP 应答包都通过软件伪造其他主机的MAC地址以达到欺骗的目的。

内网管理员可以通过OMNI PEEK第一时间察觉到ARP攻击。对于如何防范ARP欺骗攻击，除了安装ARP防火墙外，当前用的比较多的方法主要有：（1）设置静态的MAC与IP对应表，不要让主机刷新设定好的转换表；（2）定期检查主机上的ARP缓存，查看有无异样；（3）停止使用ARP协议等等。

三、结束语

本实验通过网络嗅探软件OMNI PEEK，在基于服务器环境下的内网进行实时监控，对常见的安全问题进行了着重分析阐述，特别是第一种，由于内网主机本身没有真实IP地址，通过服务器的公共IP地址隐藏终端来攻击外网主机，而被攻击者又很难确定这台没有真实IP地址的终端。下一步的研究，我们将从被攻击者的角度，来确定这台没有固定IP地址的终端，既非真实IP地址网络终端定位方法的研究。

参考文献：

[1] 杨云江.计算机网络管理技术：第2版[M].北京：清华大学出版社，2009.

[2] 李峰，陈向益. TCP/IP——协议分析与应用编程[M].北京：人民邮电出版社，2008.

[3] 秦相林.二层交换网络上的嗅探技术研究[J].哈尔滨商业大学学报，2005，（4）：489-492.

[4] 孙谦，黄家林，傅军.基于协议分析的ARP欺骗病毒源自动定位[J].现代计算机，2008，（289）：136-139.

[5] 蔡林.网络嗅探技术在信息安全中的应用[J].计算机时代，2008，（6）：16-18.