鐘曉楨 1.武漢大學研究生院；2.江漢大學物理與信息工程學院

淺析基于ARP網(wǎng)絡嗅探的防范技術

鐘曉楨1.21.武漢大學研究生院；2.江漢大學物理與信息工程學院

嗅探是對較底層網(wǎng)絡基礎設施的安全威脅，這層支持使用互聯(lián)網(wǎng)的應用程序。用戶并不直接與這些底層打交道，通常完全不知道它們的存在。如果不對這些威脅進行審慎考慮，就不可能在高層構(gòu)建有效的安全保障。

sniffing；network partitioning；hardware barrier

嗅探是利用一個網(wǎng)絡接口接收不是為這臺機器在該接口所在位置預期的數(shù)據(jù)。它的存在意味著：惡意攻擊者可以利用這種裝置或修改現(xiàn)有機器來窺探網(wǎng)絡通信。嗅探程序可以被用來收集密碼，閱讀不同機器間的電子郵件，并檢查客戶/服務器數(shù)據(jù)庫中轉(zhuǎn)記錄。

1 嗅探：它是如何做的

在共享媒體網(wǎng)絡，如以太網(wǎng)，所有網(wǎng)絡段的網(wǎng)絡接口都可以獲取在媒體上傳輸?shù)乃袛?shù)據(jù)。每個網(wǎng)絡接口都有一個硬件層地址，它應不同于網(wǎng)絡上所有其他網(wǎng)絡接口的硬件層地址。每個網(wǎng)絡也至少有一個廣播地址，一般來說，網(wǎng)絡接口只會響應那些攜帶幀目標字段中它自己的硬件層地址或目標字段中的“廣播地址”的數(shù)據(jù)幀。

共享媒體網(wǎng)絡的廣播屬性極大地影響網(wǎng)絡的性能和可靠性，所以網(wǎng)絡從業(yè)人員使用網(wǎng)絡分析儀或嗅探器來解決問題。嗅探器置于混雜模式的網(wǎng)絡接口，使嗅探器可以監(jiān)控每個網(wǎng)段上的數(shù)據(jù)包。使用網(wǎng)絡分析儀，你可以檢查特定的一對主機間傳輸?shù)臄?shù)據(jù)，按協(xié)議對其分類，也可以對其進行分析。

2 嗅探：它如何威脅安全

從網(wǎng)絡嗅探的數(shù)據(jù)導致了幾種信息隱私權(quán)的喪失。如果電腦網(wǎng)絡是安全的，這些信息應該是隱私的。這類信息包括以下內(nèi)容：密碼、金融賬戶號碼、私人數(shù)據(jù)、底層協(xié)議的信息。

2.1 嗅探密碼

也許電腦隱私最常見的損失就是密碼被盜。當用戶輸入密碼時，系統(tǒng)不會在電腦屏幕上顯示，但是，一套能通過網(wǎng)絡發(fā)送密碼中的每一字符的裝置就能使任意以太網(wǎng)嗅探器非常容易地看到它們。終端用戶認識不到這密碼是可以多么容易地被人用簡單和通用的軟件發(fā)現(xiàn)。

2.2 嗅探金融賬戶號碼

大多數(shù)用戶對在互聯(lián)網(wǎng)上發(fā)送金融賬戶號碼，賬號隱私最有可能喪失的地點還是在傳輸?shù)慕K端。據(jù)估測，企業(yè)電子交易對安全性的要求挑剔得如同紙質(zhì)交易，所以最高風險可能來自于用戶輸入密碼的同一個本地網(wǎng)絡。這些涉及賬戶號碼的傳送的交易，一個嗅探器就可以獲??；竊賊便可以轉(zhuǎn)移資金到自己的賬戶或或者支付企業(yè)賬戶的商品賬單。

2.3 嗅探私人數(shù)據(jù)

隱私的喪失在電子郵件中也很常見。許多未經(jīng)發(fā)送者或接收者允許的電子郵件被公開。在電子郵件中包含機密商業(yè)信息或個人信息并不罕見。即使是日常備忘錄，如果落入壞人手中也會使人尷尬。

2.4 嗅探底層協(xié)議信息

在電腦間發(fā)送的信息網(wǎng)絡協(xié)議包括：本地網(wǎng)絡接口的硬件地址、遠程網(wǎng)絡接口的IP地址、IP路由信息和為TCP連接分配的字節(jié)的序列號。嗅探器能夠獲取這些數(shù)據(jù)的任何一項。攻擊者取得資料之后，他或她將由被動攻擊變成主動攻擊，可能帶來更大的危害。

3 嗅探：如何預防

為了能夠防止嗅探攻擊，你首先需要了解網(wǎng)絡組成部分和電腦系統(tǒng)之間的信任。

3.1 網(wǎng)絡分割

一個網(wǎng)段包括一套機器設備，它們共享底層設備和線路， 收發(fā)相同的一組數(shù)據(jù)。中繼器兩端的線路在同一網(wǎng)段，一個普通的集線器基本上是一個多端口中繼器，所有連接到它的線路都是同一網(wǎng)段的組成部分。高層設備，如網(wǎng)橋，情況則有所不同。在網(wǎng)橋兩側(cè)的線路不屬于同一網(wǎng)段的組成部分，網(wǎng)橋兩側(cè)流過的數(shù)據(jù)不相同。正如網(wǎng)橋可用于建立網(wǎng)段間的邊界，交換機也可以。交換機基本上是多端口網(wǎng)橋。因為它們限制了所有數(shù)據(jù)的流動，小心引入網(wǎng)橋和交換機可限制敏感信息的流動，并防止被不信任的機器嗅探。

引入交換機和網(wǎng)橋到網(wǎng)絡中還能通過減少組件的碰撞率來增強性能。網(wǎng)段是機器在同一個子網(wǎng)的一個子集。路由器將網(wǎng)絡劃分成子網(wǎng)。網(wǎng)橋和交換機不與其他器件的軟件發(fā)生聯(lián)系，路由器則不同。它們與網(wǎng)絡中器件的網(wǎng)絡層軟件有聯(lián)系。網(wǎng)段組合為子網(wǎng)，盡管網(wǎng)絡中的許多子網(wǎng)僅由一個網(wǎng)段組成。用路由器將網(wǎng)絡劃分為子網(wǎng)，而不是將子網(wǎng)劃分為網(wǎng)段，是一個更根本的解決嗅探問題的辦法。

3.2 對“信任”的理解

通常情況下，人們認為“信任”存在于文件服務器和客戶之間的應用層中。顯然，文件服務器信任其客戶，授權(quán)給它。然而，這種信任的概念也可以延伸到底層網(wǎng)絡設備。例如，在網(wǎng)絡層，路由器被信任，由它來傳輸數(shù)據(jù)和更正路由表給網(wǎng)絡上的主機。主機信任路由器，路由器就是被信任的機器。如果你把信任的概念向下擴展到數(shù)據(jù)鏈路層，就可以嗅探。一臺機器要在特定網(wǎng)段發(fā)送隱私數(shù)據(jù)，它必須信任該網(wǎng)段上所有的機器。要想值得信任，機器和它們之間的線路必須具有足夠的物理安全性，以確保攻擊者無法在該網(wǎng)段安裝嗅探器。嗅探威脅來自于通常安裝在網(wǎng)絡電腦上的嗅探軟件，或者甚至安裝未經(jīng)授權(quán)的網(wǎng)絡連接到嗅探器。為了對付這些，你必須依靠操作系統(tǒng)自身的安全性能來防止未經(jīng)授權(quán)的嗅探，只讓可信賴的人訪問網(wǎng)絡組件所在房間，用物理安全措施來防止不可信賴的人進入這些房間。

3.3 硬件屏障

要構(gòu)建值得信賴的網(wǎng)段，必須在安全網(wǎng)段和不安全網(wǎng)段間設置屏障。網(wǎng)段上的所有機器都必須相互信任，數(shù)據(jù)在網(wǎng)段中傳輸。這種網(wǎng)段的一個例子就是一個不向計算設備機房外擴展的網(wǎng)段。所有的機器都在一個合作和互信的系統(tǒng)的工作人員控制下。工作人員個人之間的信任反映在由他們所負責的系統(tǒng)之間的相互信任上。

與此相反理解是，某些網(wǎng)段被認為不安全。不安全網(wǎng)段不必被信任，它們只能攜帶公開的或非關鍵數(shù)據(jù)。比如，只有學生使用的大學實驗室就是這樣的網(wǎng)段。對這個網(wǎng)絡驅(qū)動器來說，只能采取合理的預防措施來維持密碼保護，文件系統(tǒng)的訪問列表和定期備份。

3.4 安全用戶網(wǎng)段

安全是一個相對的概念。你能讓一個網(wǎng)段如何安全？這取決于你撤掉多少技術上不被信任的終端用戶，他們在具有有限的物理安全性的地點使用網(wǎng)絡。在某些情況下，你會認為剝奪終端用戶對機器的控制是適當?shù)?，因為你不能信任技術角度上的終端用戶。

3.5 有互信機器的網(wǎng)段

有的學術和工業(yè)部門的研究，需要終端用戶對桌面機器有完全的訪問權(quán)。在這種情況下，使用安全網(wǎng)段是不可能的。除非終端用戶具有無可挑剔的道德和技術能力，以在他們所控制的機器上維護系統(tǒng)安全。如果假定終端用戶能確保自己的桌面系統(tǒng)的安全性，網(wǎng)段上的所有機器都被認為在嗅探方面可以相互信任。你必須對分立網(wǎng)段的不被信任機器進行定位。需要跨越網(wǎng)段邊界交流的機器，只可處理非隱私數(shù)據(jù)。你可以通過安全網(wǎng)段加入彼此信賴的網(wǎng)段

3.6 連接單向信任的網(wǎng)段

考慮兩個相互信任的網(wǎng)段的簡單情況，相互信任存在于第一網(wǎng)段的機器之間，和第二網(wǎng)段的機器之間。然而，在第一網(wǎng)段的機器溝通的信息沒有第二網(wǎng)段敏感。在第一網(wǎng)段的機器可以信任那些在第二網(wǎng)段的，反之則不行，你必須使用諸如網(wǎng)橋的屏障，以防止在相反方向的數(shù)據(jù)流。單向信任在安全網(wǎng)段和其他類型網(wǎng)段之間是相當普遍的。安全性較差的機器必須信任更安全的機器，反之則不行。同樣，單向信任的方式可能存在于相互信任的網(wǎng)段和不安全網(wǎng)段之間。

3.7 不安全網(wǎng)段

在許多情況下，在不相互信任的機器之間構(gòu)建網(wǎng)段邊界是不切實際的。原因是這樣的設置無法阻止嗅探。不安全網(wǎng)段在安全要求低的區(qū)域也許可以接受。然而，大多數(shù)用戶希望獲得此類設置可以提供的更高級別的安全。如果你必須使用不安全網(wǎng)段，而仍然期待更高程度的安全，唯一的解決方案是基于軟件的技術，如加密技術，而不是基于硬件的技術。

3.8 案例分析：一個小部門子網(wǎng)

從案例研究中可以學習和尋求解決的幾件事：最低成本的解決方案不可能提供安全；一個完全安全的系統(tǒng)非常昂貴，但一個比較安全的系統(tǒng)則不是；不同方法的成本和性能的權(quán)衡可以組合成一個安全的系統(tǒng)。數(shù)學系和計算機科學系有不同的設備預算和網(wǎng)絡性能需求；就像在計算機科學系的解決方案中顯示的，單一解決方案可以同時提供安全和加強的性能。提供安全的解決方案大大增加了成本。數(shù)學系的單一網(wǎng)段和以上解決方案幾乎沒有成本差距。因為網(wǎng)橋?qū)删W(wǎng)段分割開，所以需要一根從底層的職員的集線器連到樓上職員的集線器的電線，這是一項額外成本。

至止，本文已講了如何避免從互聯(lián)網(wǎng)本地部分來的數(shù)據(jù)被嗅探。這樣的行動似乎是直接著眼于對內(nèi)部人員的保護，而不是針對外部威脅。然而，許多安全漏洞是由內(nèi)部人員有意或無意地幫助而造成的。在這種情況下，本文所述的硬件屏障可以限制物理上或遠或近的入侵者用嗅探器所做的事。不僅是信任網(wǎng)段需要在物理上更安全，而且那些負責電腦系統(tǒng)的也需要更強的技術能力。技術能力至少要能保護系統(tǒng)不被遠程入侵，系統(tǒng)不能被從遠程位置（如一臺簡單的個人電腦）下達命令?？梢越邮軄碜赃h程位置命令的系統(tǒng)必須由具有足夠技術能力的人管理，他們可以阻止遠程入侵者，不犯允許的遠程入侵者進入系統(tǒng)的錯誤。

[1] ARP協(xié)議分析.中國協(xié)議分析網(wǎng).http://www.itzero.com

[2]硅谷動力.ARP攻擊的防范.http://www.enet.com.cn

[3]譚思亮.監(jiān)聽與隱藏— —網(wǎng)絡偵聽揭密與數(shù)據(jù)保護技術.北

民郵電出版社.2002

ARP-based netw ork sniffer of Prevention Technology

Zhong Xiaozhen
1. Graduate School of Wuhan University 2. School of Physics and Information Engineering,Jianghan University,Wuhan 430056,Chian

sniffing is security threats that target the lower layers of the networking infrastructure supporting applications that use the Internet. Users do not interact directly with these lower layers and are typically completely unaware that they exist. Without a deliberate consideration of these threats, it is impossible to build effective security into the higher levels.

10.3969/j.issn.1001-8972.2011.10.084

鐘曉楨，1 9 7 4年出生，漢族，籍貫：湖北黃岡，講師。