论文部分内容阅读
摘要:随着计算机技术的发展,互联网以前所未有的速度广泛应用于社会经济生活的各个领域,引起了人们生活方式、生产方式和思想观念的巨大变化,有力地推动着人类的社会发展和文明进步,信息化水平已成为衡量一个国家现代化和综合国力的重要标志。然而,由于网络的开放性,使网络信息安全面临着多方面的威胁,如非法访问、有害信息入侵、计算机病毒和破坏性程序的传播以及黑客的骚扰等。在信息处理能力提高的同时,系统的连接能力也在不断地提高。但在连接信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。不论是外部网还是内部网的网络都会受到安全的问题。
1 引言
网络监听,在网络安全中通常发生在以太网中对其他主机的监听,一直以来,都缺乏很好的检测方法。这是由于产生网络监听行为的主机在工作时只是被动地收集数据包,不会主动发出任何信息的原因。目前有如下解决方法:向怀疑有网络监听行为的网络发送大量垃圾数据包,根据各个主机回应的情况进行判断,正常的系统回应的时间应该没有太明显的变化,而处于混杂模式的系统由于对大量的垃圾信息照单全收,所以很有可能回应时间会发生较大的变化;许多的网络监听软件都会尝试进行地址反向解析,因为这些检测都是建立在假设之上的,其检测结果准确率有待提高。在实际中也很难实现。
作为一种发展比较成熟的技术,网络监听在协助网络管理员检测网络传输数据,排除网络故障方面具有不可替代的作用,但网络监听也给以太网络安全带来了极大隐患,许多的网络入侵往往都是伴随着以太网内网络监听行为,从而造成口令失窃,敏感数据被截获等连锁性安全事故。在网络上,监听效果最好的地方是在网关、路由器、防火墙一类的设备处,通常由网络管理员来操作。
2 网络监听原理
以太网可以把相邻的计算机、终端、大容量存储器的外围设备、控制器、显示器以及为连接其他网络而使用的网络连接器等相互连接起来,具有设备共享、信息共享、高速数据通讯等特点。以太网这种工作方式,一个形象的比喻:学校很多的学生集中在一间大教室里,教室就像是一个共享的信道,里面的每个人好像是一台主机。教师所说的话是信息包,在教室中到处传播。当我们对其中某同学说话时,所有的人都能听到。正常情况下只有名字相符的那个人才会作出反应,并进行回应。但其他人了解谈话的内容,也可对所有谈话内容作出反应。因此,网络监听用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。
3 网络监听的特点
(1)手段灵活。网络监听可以在网上的任何位置实施,可以是网上的一台主机、路由器,也可以是调制解调器。
(2)隐蔽性强。进行网络监听的主机只是被动地接收网上传输的信息,没有任何主动的行为,既不修改网上传输的数据包,也不往链路上插入任何数据,很难被网络管理员觉察到。
4 网络监听的检测
(1)对于怀疑运行监听程序的机器,向局域网内的主机发送非广播方式的ARP包(错误的物理地址),如果局域网内的某个主机响应了这个ARP请求,我们就可以判断该机器处于杂乱模式。而正常的机器不处于杂乱模式,对于错误的物理地址不会得到响应。
(2)网络和主机响应时间测试。向网上发大量不存在的物理地址的包,处于混杂模式下的机器则缺乏此类底层的过滤,由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,骤然增加的网络通讯流量会对该机器造成较明显的影响,这将导致性能下降。通过比较前后该机器性能加以判断是否存在网络监听。
(3)使用反监听工具如antisniffer等进行检测。
5 网络监听的防范
首先是网络分段,网络分段即采用网络分段技术建立安全的拓扑结构,将一个大的网络分成若干个小网络,如将一个部门、一个办公室等可以相互信任的主机放在一个物理网段上,网段之间再通过网桥、交换机或路由器相连,实现相互隔离。这样只有相互信任的主机才在同一网段,才可进行直接的通信。这是控制网络风暴的一种基本手段,也是防范网络监听的一项重要措施。因此,网段外的主机无法直接对网段内的主机进行监听,从而减少网段内主机被基于广播原理监听的可能性,即使某个网段被监听了,网络中其他网段还是安全的,因为数据包只能在该子网的网段内被截获,网络中的剩余部分则被保护了。
其次是数据加密,数据加密的优越性在于,即使攻击者获得了数据,如果不能破译,这些数据对他们也是没有用的。一般而言,人们真正关心的是那些秘密数据的安全传输,使其不被监听和偷换。如果这些信息以明文的形式传输,就很容易被截获而且阅读出来。因此,对秘密数据进行加密传输是一个很好的办法。
再次是加强身份验证,采用一定的安全措施,使主机之间的信任和主机身份识别需要IP地址和MAC地址,而不是单纯依靠IP地址或MAC地址。这样监听者主机就无法利用ARP欺骗技术来冒充被监听的主机。
6 结束语
网络监听是网络信息安全领域内非常重要的技术,但它又同时扮演着正反两方面的角色。对于网络管理员来说,网络监听技术可以用来分析网络性能,检查网络是否被入侵发挥着重要的作用;对于入侵者来说可以用来窃取明文传输的密码和各种机密数据,对网络安全造成极大威胁。为了保护网络数据传输的安全,必须采取反监听措施,时刻探明现有网络的安全状况,掌握时机以保证网络和信息的安全。
1 引言
网络监听,在网络安全中通常发生在以太网中对其他主机的监听,一直以来,都缺乏很好的检测方法。这是由于产生网络监听行为的主机在工作时只是被动地收集数据包,不会主动发出任何信息的原因。目前有如下解决方法:向怀疑有网络监听行为的网络发送大量垃圾数据包,根据各个主机回应的情况进行判断,正常的系统回应的时间应该没有太明显的变化,而处于混杂模式的系统由于对大量的垃圾信息照单全收,所以很有可能回应时间会发生较大的变化;许多的网络监听软件都会尝试进行地址反向解析,因为这些检测都是建立在假设之上的,其检测结果准确率有待提高。在实际中也很难实现。
作为一种发展比较成熟的技术,网络监听在协助网络管理员检测网络传输数据,排除网络故障方面具有不可替代的作用,但网络监听也给以太网络安全带来了极大隐患,许多的网络入侵往往都是伴随着以太网内网络监听行为,从而造成口令失窃,敏感数据被截获等连锁性安全事故。在网络上,监听效果最好的地方是在网关、路由器、防火墙一类的设备处,通常由网络管理员来操作。
2 网络监听原理
以太网可以把相邻的计算机、终端、大容量存储器的外围设备、控制器、显示器以及为连接其他网络而使用的网络连接器等相互连接起来,具有设备共享、信息共享、高速数据通讯等特点。以太网这种工作方式,一个形象的比喻:学校很多的学生集中在一间大教室里,教室就像是一个共享的信道,里面的每个人好像是一台主机。教师所说的话是信息包,在教室中到处传播。当我们对其中某同学说话时,所有的人都能听到。正常情况下只有名字相符的那个人才会作出反应,并进行回应。但其他人了解谈话的内容,也可对所有谈话内容作出反应。因此,网络监听用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。
3 网络监听的特点
(1)手段灵活。网络监听可以在网上的任何位置实施,可以是网上的一台主机、路由器,也可以是调制解调器。
(2)隐蔽性强。进行网络监听的主机只是被动地接收网上传输的信息,没有任何主动的行为,既不修改网上传输的数据包,也不往链路上插入任何数据,很难被网络管理员觉察到。
4 网络监听的检测
(1)对于怀疑运行监听程序的机器,向局域网内的主机发送非广播方式的ARP包(错误的物理地址),如果局域网内的某个主机响应了这个ARP请求,我们就可以判断该机器处于杂乱模式。而正常的机器不处于杂乱模式,对于错误的物理地址不会得到响应。
(2)网络和主机响应时间测试。向网上发大量不存在的物理地址的包,处于混杂模式下的机器则缺乏此类底层的过滤,由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,骤然增加的网络通讯流量会对该机器造成较明显的影响,这将导致性能下降。通过比较前后该机器性能加以判断是否存在网络监听。
(3)使用反监听工具如antisniffer等进行检测。
5 网络监听的防范
首先是网络分段,网络分段即采用网络分段技术建立安全的拓扑结构,将一个大的网络分成若干个小网络,如将一个部门、一个办公室等可以相互信任的主机放在一个物理网段上,网段之间再通过网桥、交换机或路由器相连,实现相互隔离。这样只有相互信任的主机才在同一网段,才可进行直接的通信。这是控制网络风暴的一种基本手段,也是防范网络监听的一项重要措施。因此,网段外的主机无法直接对网段内的主机进行监听,从而减少网段内主机被基于广播原理监听的可能性,即使某个网段被监听了,网络中其他网段还是安全的,因为数据包只能在该子网的网段内被截获,网络中的剩余部分则被保护了。
其次是数据加密,数据加密的优越性在于,即使攻击者获得了数据,如果不能破译,这些数据对他们也是没有用的。一般而言,人们真正关心的是那些秘密数据的安全传输,使其不被监听和偷换。如果这些信息以明文的形式传输,就很容易被截获而且阅读出来。因此,对秘密数据进行加密传输是一个很好的办法。
再次是加强身份验证,采用一定的安全措施,使主机之间的信任和主机身份识别需要IP地址和MAC地址,而不是单纯依靠IP地址或MAC地址。这样监听者主机就无法利用ARP欺骗技术来冒充被监听的主机。
6 结束语
网络监听是网络信息安全领域内非常重要的技术,但它又同时扮演着正反两方面的角色。对于网络管理员来说,网络监听技术可以用来分析网络性能,检查网络是否被入侵发挥着重要的作用;对于入侵者来说可以用来窃取明文传输的密码和各种机密数据,对网络安全造成极大威胁。为了保护网络数据传输的安全,必须采取反监听措施,时刻探明现有网络的安全状况,掌握时机以保证网络和信息的安全。