魏 強(qiáng)

（陜西理工學(xué)院學(xué)報(bào)編輯部，陜西漢中 723000）

計(jì)算機(jī)網(wǎng)絡(luò)欺騙和嗅探技術(shù)研究

魏 強(qiáng)

（陜西理工學(xué)院學(xué)報(bào)編輯部，陜西漢中 723000）

隨著信息化網(wǎng)絡(luò)時(shí)代的到來(lái)，全世界每個(gè)角落都廣泛使用著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，改變了人們的生產(chǎn)生活方式.然而隨著網(wǎng)絡(luò)技術(shù)的不斷深入發(fā)展，網(wǎng)絡(luò)信息安全也成為了大眾普遍關(guān)心的焦點(diǎn).對(duì)計(jì)算機(jī)網(wǎng)絡(luò)欺騙和嗅探技術(shù)進(jìn)行分析，對(duì)網(wǎng)絡(luò)欺騙的主要原理和技術(shù)以及嗅探技術(shù)的原理、預(yù)防、檢測(cè)和應(yīng)用進(jìn)行闡述.

計(jì)算機(jī)；信息安全；網(wǎng)絡(luò)欺騙；嗅探技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性給人們生活帶來(lái)極大方便的同時(shí)，也給人們的信息安全帶來(lái)了較大的隱患.各類(lèi)信息安全漏洞的不斷更新、網(wǎng)絡(luò)黑客的頻繁出現(xiàn)，都說(shuō)明了計(jì)算機(jī)網(wǎng)絡(luò)的本質(zhì)并不是安全的［1-2］.如何保護(hù)好自身及周?chē)木W(wǎng)絡(luò)信息安全是擺在每個(gè)信息防護(hù)者面前的難題.因此，網(wǎng)絡(luò)欺騙和嗅探技術(shù)應(yīng)運(yùn)而生，也受到計(jì)算機(jī)網(wǎng)絡(luò)安全研究者的廣泛關(guān)注和深入研究.

1 計(jì)算機(jī)網(wǎng)絡(luò)欺騙概述

1.1 網(wǎng)絡(luò)欺騙的主要原理

網(wǎng)絡(luò)欺騙是一種計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)，它使網(wǎng)絡(luò)攻擊者相信在計(jì)算機(jī)信息系統(tǒng)內(nèi)，存在著有價(jià)值且可利用的安全弱點(diǎn)和一些可攻擊性的資源，通過(guò)信息偽造、隱藏技術(shù)誘導(dǎo)網(wǎng)絡(luò)攻擊者獲取到錯(cuò)誤且不重要的信息資源.網(wǎng)絡(luò)欺騙技術(shù)不僅僅能夠有效地增加攻擊者的工作總量和竊取信息的難度，而且還能夠使信息資源防護(hù)者跟蹤到攻擊者的入侵行為，及時(shí)檢查修補(bǔ)網(wǎng)絡(luò)漏洞，最終達(dá)到保護(hù)信息，防止網(wǎng)絡(luò)進(jìn)攻的目的.眾所周知，每個(gè)有價(jià)值的網(wǎng)絡(luò)系統(tǒng)當(dāng)中都會(huì)存在安全漏洞，而網(wǎng)絡(luò)攻擊者就是利用這些網(wǎng)絡(luò)漏洞進(jìn)行信息資源的竊取和攻擊.網(wǎng)絡(luò)欺騙通過(guò)有效信息的隱藏、安全信息的維護(hù)和設(shè)置多路徑的信息渠道來(lái)達(dá)到網(wǎng)絡(luò)欺騙的目的.網(wǎng)絡(luò)欺騙在運(yùn)用過(guò)程中，要達(dá)到以下三個(gè)目的［3-4］：（1）迅速干擾網(wǎng)絡(luò)進(jìn)攻者，使其能夠陷入到你的網(wǎng)絡(luò)圈套當(dāng)中，然后按照你的設(shè)計(jì)意圖來(lái)進(jìn)行信息的選擇，這樣就能夠使攻擊者忽略掉有價(jià)值的信息，僅僅獲取一些無(wú)關(guān)緊要的信息資源；（2）對(duì)網(wǎng)絡(luò)攻擊者的攻擊行為進(jìn)行跟蹤，檢測(cè)到攻擊者需要攻擊的信息資源范圍和意圖；（3）增強(qiáng)網(wǎng)絡(luò)攻擊者的攻擊難度和復(fù)雜程度，間接地引導(dǎo)攻擊者獲取不到目標(biāo)信息，最終耗損完攻擊者的攻擊技術(shù)和資源.

1.2 網(wǎng)絡(luò)欺騙的主要技術(shù)

1.2.1 協(xié)議欺騙技術(shù)

協(xié)議欺騙主要是通過(guò)對(duì)真實(shí)網(wǎng)絡(luò)信息的掩蓋和注入偽造信息，達(dá)到迷惑網(wǎng)絡(luò)侵入者的目的.當(dāng)前我國(guó)協(xié)議欺騙技術(shù)主要有以下幾種：（1）多重地址協(xié)議欺騙.這種欺騙技術(shù)通過(guò)物理地址和IP地址之間的轉(zhuǎn)換，使網(wǎng)絡(luò)數(shù)據(jù)信息能夠及時(shí)、有效地到達(dá)目的地，計(jì)算機(jī)通過(guò)高速緩存后將最新的地址映射下來(lái)，動(dòng)態(tài)綁定后使其到達(dá)發(fā)送方.（2）域名服務(wù)器網(wǎng)絡(luò)欺騙技術(shù).域名服務(wù)器實(shí)現(xiàn)主機(jī)域名與IP地址兩者之間的映射，而客戶(hù)程序又通過(guò)序列號(hào)的設(shè)置來(lái)進(jìn)行域名服務(wù)器的有效鑒別.因此，在客戶(hù)程序進(jìn)行域名服務(wù)器匹配查詢(xún)的時(shí)候，序列號(hào)就容易遭受到攻擊威脅.（3）IP地址的欺騙.IP地址的攻擊較前兩者欺騙技術(shù)而言更加具有復(fù)雜性，網(wǎng)絡(luò)侵入者通過(guò)竊取他人IP地址來(lái)進(jìn)行數(shù)據(jù)包的發(fā)送.數(shù)據(jù)包內(nèi)的IP地址不需要經(jīng)過(guò)IP協(xié)議的認(rèn)證就可以對(duì)IP包的源地址進(jìn)行偽造.因此，網(wǎng)絡(luò)之中的IP包一旦被發(fā)送，源IP地址將不被使用.如果攻擊者借助于別的信任主機(jī)進(jìn)行IP包的發(fā)送，就可以達(dá)到信息攻擊的目的.

1.2.2 蜜罐、蜜網(wǎng)技術(shù)

蜜罐（Honey Pot）是最早的網(wǎng)絡(luò)欺騙工具，它在某些較容易被發(fā)現(xiàn)的地方放置一些具有吸引力的目標(biāo)，使攻擊者發(fā)現(xiàn)并誘導(dǎo)入侵者上當(dāng).蜜罐最主要的目標(biāo)是干擾網(wǎng)絡(luò)攻擊者去獲取有價(jià)值的信息資源，引導(dǎo)其走向那些不是真正有價(jià)值的系統(tǒng)當(dāng)中.蜜網(wǎng)技術(shù)是在蜜罐技術(shù)的基礎(chǔ)上，將網(wǎng)絡(luò)欺騙散布在網(wǎng)絡(luò)系統(tǒng)資源當(dāng)中，利用較多閑置的服務(wù)端口來(lái)對(duì)攻擊者進(jìn)行欺騙，以便增大攻擊者上當(dāng)受騙的可能性.當(dāng)然，這種蜜罐蜜網(wǎng)網(wǎng)絡(luò)欺騙技術(shù)也具有一定的局限性，蜜罐技術(shù)容易被識(shí)破，而蜜網(wǎng)技術(shù)需要的資源較多，影響了網(wǎng)絡(luò)資源的使用效率，而且它只針對(duì)于遠(yuǎn)程掃描的攻擊者較為有效，當(dāng)攻擊者已經(jīng)進(jìn)入到系統(tǒng)之中時(shí)，則失去了其網(wǎng)絡(luò)欺騙的作用.

1.2.3 欺騙空間技術(shù)

欺騙空間技術(shù)通過(guò)無(wú)限增加攻擊者的網(wǎng)絡(luò)搜索空間，使攻擊者的攻擊范圍增大，任務(wù)增多，最終使其放棄攻擊，達(dá)到網(wǎng)絡(luò)信息安全成功防護(hù)的目的.這種網(wǎng)絡(luò)欺騙技術(shù)費(fèi)用較低，且較容易實(shí)現(xiàn)，通過(guò)計(jì)算機(jī)多宿主系統(tǒng)功能的運(yùn)用，使一臺(tái)計(jì)算機(jī)上就能具備多個(gè)IP地址，實(shí)現(xiàn)欺騙空間的無(wú)限擴(kuò)大.如此多的IP地址使得網(wǎng)絡(luò)攻擊者的工作量增大，增加了入侵的時(shí)間，能夠最大限度地消耗攻擊者的入侵資源，真正使有價(jià)值的網(wǎng)絡(luò)資源被攻擊的可能性降低.即使當(dāng)攻擊者的掃描器意識(shí)到被網(wǎng)絡(luò)欺騙的時(shí)候，通過(guò)網(wǎng)絡(luò)流量的重新定向，也能夠使攻擊者接下來(lái)的攻擊行為被繼續(xù)欺騙.當(dāng)然，這種網(wǎng)絡(luò)欺騙技術(shù)也具有相對(duì)的局限性，當(dāng)進(jìn)行網(wǎng)絡(luò)流量和服務(wù)重新定向的時(shí)候，要嚴(yán)格保密，如果一旦被識(shí)破則又有被攻擊的危險(xiǎn).

2 網(wǎng)絡(luò)欺騙質(zhì)量地提高

從上述幾種網(wǎng)絡(luò)欺騙技術(shù)可知，每一種網(wǎng)絡(luò)欺騙技術(shù)都存在缺陷，對(duì)攻擊者的抵制不可能總是成功的.因此，相關(guān)計(jì)算機(jī)網(wǎng)絡(luò)欺騙技術(shù)人員要不斷地提高網(wǎng)絡(luò)欺騙的質(zhì)量，這樣才能夠真正地保障信息資源的安全.要提高網(wǎng)絡(luò)欺騙技術(shù)質(zhì)量，可以采用以下幾種方法［5-6］：（1）流量仿真技術(shù).流量仿真技術(shù)的主要目的在于防止攻擊者通過(guò)流量的分析使其檢測(cè)到欺騙行為.有兩種方法可以達(dá)到流量仿真性的欺騙：一是通過(guò)實(shí)時(shí)和重現(xiàn)的方式使真正的網(wǎng)絡(luò)流量得到復(fù)制；二是遠(yuǎn)程仿造流量，使網(wǎng)絡(luò)攻擊者進(jìn)入并利用.由于所有的訪(fǎng)問(wèn)鏈接都經(jīng)過(guò)復(fù)制.因此，從表面上看來(lái)，欺騙系統(tǒng)與真正的網(wǎng)絡(luò)系統(tǒng)是類(lèi)似的，較大程度上可以達(dá)到欺騙的目的.（2）網(wǎng)絡(luò)的動(dòng)態(tài)配置.真實(shí)網(wǎng)絡(luò)信息是一個(gè)動(dòng)態(tài)運(yùn)轉(zhuǎn)的過(guò)程，而欺騙性的網(wǎng)絡(luò)則是靜態(tài)化的，為了使攻擊者更易上當(dāng)受騙，網(wǎng)絡(luò)欺騙需要更具有真實(shí)性.動(dòng)態(tài)化的網(wǎng)絡(luò)配置能夠模擬真實(shí)的網(wǎng)絡(luò)環(huán)境，使欺騙網(wǎng)絡(luò)能跟真實(shí)性網(wǎng)絡(luò)一樣具有動(dòng)態(tài)性，即使攻擊者進(jìn)行較長(zhǎng)時(shí)間的監(jiān)視，網(wǎng)絡(luò)欺騙行為也不易被察覺(jué).當(dāng)然，為了使網(wǎng)絡(luò)欺騙更加真實(shí)有效，需要使網(wǎng)絡(luò)欺騙與真實(shí)計(jì)算機(jī)系統(tǒng)最大程度的相一致.例如：當(dāng)真實(shí)計(jì)算機(jī)系統(tǒng)運(yùn)行某一程序的時(shí)候，欺騙計(jì)算機(jī)也要執(zhí)行與之相同的程序，這樣可以防止攻擊者發(fā)現(xiàn)網(wǎng)絡(luò)欺騙行為.（3）多重地址的轉(zhuǎn)換.地址的轉(zhuǎn)換有利于真實(shí)網(wǎng)絡(luò)與欺騙網(wǎng)絡(luò)的相互分離，增加網(wǎng)絡(luò)欺騙的真實(shí)性與隱蔽性.通過(guò)代理服務(wù)器的改寫(xiě)，實(shí)現(xiàn)地址的轉(zhuǎn)換，使相同的源地址與最終地址在欺騙系統(tǒng)之中更加真實(shí)，從而提高網(wǎng)絡(luò)欺騙的質(zhì)量.（4）通過(guò)組織信息的創(chuàng)建進(jìn)行欺騙.當(dāng)組織內(nèi)有涉及到有關(guān)個(gè)人和系統(tǒng)信息的時(shí)候，欺騙系統(tǒng)內(nèi)也要進(jìn)行相同信息的創(chuàng)建.這樣做的主要目的在于提高欺騙系統(tǒng)的真實(shí)模擬性能，使網(wǎng)絡(luò)攻擊者不易察覺(jué)欺騙行為.創(chuàng)建的組織信息不僅僅涉及到個(gè)人的詳細(xì)信息，還包括其基本位置和個(gè)人記錄等等.

3 嗅探技術(shù)的主要原理

嗅探技術(shù)作為當(dāng)前網(wǎng)絡(luò)監(jiān)聽(tīng)的一種有效工具，在診斷網(wǎng)絡(luò)故障、探查黑客行為、信息安全防御方面具有重要的作用.嗅探有軟硬件兩種類(lèi)型，而軟件嗅探技術(shù)又有Windows和Unix兩種版本，硬件嗅探主要是網(wǎng)絡(luò)分析儀.不管是軟件還是硬件，嗅探技術(shù)的唯一目的就是獲取網(wǎng)絡(luò)上傳送的各類(lèi)信息.在局域網(wǎng)內(nèi)，網(wǎng)絡(luò)嗅探技術(shù)通過(guò)網(wǎng)絡(luò)攻擊，實(shí)現(xiàn)網(wǎng)絡(luò)用戶(hù)賬號(hào)和口令的竊取.嗅探器作為一種嗅探工具，通過(guò)某種方式來(lái)竊聽(tīng)到一些不是發(fā)送到本機(jī)或本進(jìn)程的數(shù)據(jù)，從而獲得較為重要的信息.嗅探技術(shù)是一把雙刃劍，既有利又有弊，如何發(fā)揮嗅探技術(shù)的作用就要看使用者是如何進(jìn)行操作的.

嗅探（Sniffe）通過(guò)以太網(wǎng)特性的利用，讓網(wǎng)絡(luò)適配器處于一種混亂的狀態(tài)，使網(wǎng)卡趁機(jī)接收網(wǎng)絡(luò)上一切可供接收的信息資源和數(shù)據(jù).嗅探之所以能夠嗅探到計(jì)算機(jī)上的信息資源，主要是借助于以太網(wǎng)和網(wǎng)卡的工作方式.根據(jù)工作環(huán)境和原理的不同，嗅探技術(shù)可以分為本機(jī)嗅探、廣播網(wǎng)嗅探和交換機(jī)嗅探三種類(lèi)型［7］.本機(jī)嗅探是指在計(jì)算機(jī)發(fā)送數(shù)據(jù)包給其他進(jìn)程當(dāng)中，嗅探器通過(guò)某種方式獲取數(shù)據(jù)包的過(guò)程，具體工作原理如圖1所示.圖1顯示出本機(jī)嗅探的基本過(guò)程和原理，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包要經(jīng)過(guò)多次解析才能夠獲取到相應(yīng)的應(yīng)用數(shù)據(jù).網(wǎng)絡(luò)數(shù)據(jù)包獲取后，需要在硬件驅(qū)動(dòng)或操作系統(tǒng)協(xié)議棧之后才能進(jìn)行應(yīng)用程序的處理.廣播網(wǎng)嗅探是建立在集線(xiàn)器局域網(wǎng)基礎(chǔ)上，所有的數(shù)據(jù)包都會(huì)通過(guò)局域網(wǎng)絡(luò)發(fā)送出去，體現(xiàn)出“共享”的原理.圖2中的廣播網(wǎng)嗅探技術(shù)將所在的計(jì)算機(jī)主機(jī)網(wǎng)卡設(shè)置為“混雜”的工作狀態(tài)，以便獲取該廣播網(wǎng)段上的所有數(shù)據(jù)信息.交換機(jī)嗅探則是通過(guò)“分組”的方式進(jìn)行單方面的數(shù)據(jù)傳輸，與廣播網(wǎng)嗅探有所不同.

圖1 本機(jī)嗅探實(shí)現(xiàn)的原理圖

圖2 廣播嗅探的基本原理圖

4 嗅探技術(shù)的檢測(cè)和預(yù)防

4.1 ARP技術(shù)對(duì)網(wǎng)絡(luò)嗅探行為的檢測(cè)

一般情況下，可以通過(guò)查看收到的數(shù)據(jù)幀目的MAC地址是否符合ff.ff.ff.ff.ff.ff來(lái)判斷網(wǎng)卡檢測(cè)接收到的數(shù)據(jù)包是不是廣播數(shù)據(jù)包，如果符合地址要求，則說(shuō)明是廣播地址.當(dāng)然，如果網(wǎng)卡處于“混亂”的工作模式之中，則主要通過(guò)查看收到的數(shù)據(jù)幀目的MAC地址的第一個(gè)八位組值是否為Oxff，如果是，那么也是廣播地址.就是通過(guò)這種細(xì)微的差別實(shí)現(xiàn)嗅探技術(shù)的檢測(cè).測(cè)試的時(shí)候，測(cè)試主機(jī)要先向被測(cè)試的局域網(wǎng)中所有的設(shè)備發(fā)送錯(cuò)誤的ARP請(qǐng)求數(shù)據(jù)包，進(jìn)而偽造目標(biāo)主機(jī)的MAC地址，例如：ff.ff.ff.00.00.00.假設(shè)接收到數(shù)據(jù)包的目標(biāo)主機(jī)不處于混亂工作狀態(tài)則沒(méi)有回復(fù)，如果是混亂工作狀態(tài)，則會(huì)回應(yīng)測(cè)試主機(jī)的ARP請(qǐng)求.要判斷哪個(gè)目標(biāo)主機(jī)處于混亂工作狀態(tài)，只要通過(guò)監(jiān)視向測(cè)試主機(jī)發(fā)送的回應(yīng)信息就一目了然了.

4.2 DNS技術(shù)對(duì)網(wǎng)絡(luò)嗅探行為的檢測(cè)

通常，在局域網(wǎng)之中，網(wǎng)絡(luò)通訊機(jī)器在不監(jiān)聽(tīng)的情況下一般都不會(huì)試圖反向解析數(shù)據(jù)包中的IP地址.但是當(dāng)有網(wǎng)絡(luò)攻擊者出現(xiàn)的時(shí)候，其使用的網(wǎng)絡(luò)嗅探工具都會(huì)對(duì)數(shù)據(jù)包中的IP地址進(jìn)行反向DNS解析，通過(guò)域名來(lái)尋找出有價(jià)值的主機(jī)信息.檢測(cè)的時(shí)候，要先使測(cè)試主機(jī)的工作模式處于“混雜”狀態(tài)，再向網(wǎng)絡(luò)發(fā)送錯(cuò)誤的IP地址數(shù)據(jù)包，與此同時(shí)還要監(jiān)聽(tīng)是否有機(jī)器向DNS服務(wù)器發(fā)送解析錯(cuò)誤IP地址數(shù)據(jù)包的請(qǐng)求，如果有則說(shuō)明有網(wǎng)絡(luò)嗅探行為.

4.3 網(wǎng)絡(luò)和主機(jī)響應(yīng)時(shí)間對(duì)網(wǎng)絡(luò)嗅探行為的檢測(cè)

檢測(cè)的時(shí)候，檢測(cè)的主機(jī)要先使用ICMP請(qǐng)求與響應(yīng)，計(jì)算出目標(biāo)機(jī)器的平均響應(yīng)時(shí)間.在本次數(shù)據(jù)統(tǒng)計(jì)后，測(cè)試主機(jī)要再次發(fā)送大量的偽造數(shù)據(jù)包給本地網(wǎng)絡(luò)，也要再次發(fā)送測(cè)試數(shù)據(jù)包，以便確定目標(biāo)主機(jī)平均響應(yīng)時(shí)間是否有變化.當(dāng)處于混雜工作模式時(shí)，機(jī)器響應(yīng)時(shí)間會(huì)出現(xiàn)1～4個(gè)數(shù)量級(jí)的變化；當(dāng)處于正常的工作模式時(shí)，機(jī)器響應(yīng)的時(shí)間變化量幾乎不變.這種檢測(cè)技術(shù)已被廣泛證實(shí)有效，但也存在較多的缺陷，比如，在較短的測(cè)試時(shí)間內(nèi)會(huì)產(chǎn)生較大的通訊流量.

4.4 非法網(wǎng)絡(luò)嗅探技術(shù)的預(yù)防

網(wǎng)絡(luò)嗅探技術(shù)在方便人們保障數(shù)據(jù)信息安全的同時(shí)，也帶來(lái)了許多負(fù)面的作用，因此，就有必要加強(qiáng)對(duì)非法網(wǎng)絡(luò)嗅探技術(shù)的預(yù)防.當(dāng)前，主要的預(yù)防手段有以下幾種：（1）加密.當(dāng)局域網(wǎng)內(nèi)要進(jìn)行數(shù)據(jù)包傳輸?shù)臅r(shí)候，可以對(duì)其進(jìn)行加密處理，嗅探技術(shù)即使得到了數(shù)據(jù)包信息，也很難解析數(shù)據(jù)包中的有用信息.例如，如果只需防止遠(yuǎn)程登陸時(shí)用戶(hù)賬號(hào)與安全口令的攔截，則只需在電腦主機(jī)上安裝OTP系統(tǒng)就可以解決；如果只需避免電子郵件被盜，則通過(guò)對(duì)郵件進(jìn)行PCP加密就可解決.以上兩種技術(shù)手段是低層次的，相對(duì)而言不太安全，更加安全的方式是在操作系統(tǒng)上安裝SNP和SSH SNP兩款系統(tǒng).這兩款系統(tǒng)提供了一種較為安全的驗(yàn)證協(xié)議，使TELNET、FTP、RLOGIN等應(yīng)用的用戶(hù)賬號(hào)與安全口令不需要通過(guò)明文的形式進(jìn)行傳輸.通過(guò)加密處理后的傳送數(shù)據(jù)，被攻擊后會(huì)出現(xiàn)亂碼，使數(shù)據(jù)包信息被入侵的概率普遍降低.（2）網(wǎng)絡(luò)分割.通過(guò)網(wǎng)絡(luò)分割技術(shù)的使用，使網(wǎng)絡(luò)得以劃分，從而減小網(wǎng)絡(luò)嗅探技術(shù)監(jiān)視的空間范圍，其余的網(wǎng)絡(luò)則可以避免嗅探技術(shù)的入侵.由于主動(dòng)式集線(xiàn)器與交換機(jī)不通過(guò)廣播方式進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)，嗅探技術(shù)也只針對(duì)共享式的網(wǎng)絡(luò)起作用.因此，可以通過(guò)交換機(jī)的使用，使網(wǎng)絡(luò)進(jìn)行分段，最大程度地防止嗅探技術(shù)的攻擊.即使受到嗅探技術(shù)的入侵，也只能攻擊到一部分的信息流.研究發(fā)現(xiàn)，網(wǎng)絡(luò)分割得越細(xì)，嗅探技術(shù)所能獲取的數(shù)據(jù)資料就會(huì)越少.（3）采用一次性口令.在局域網(wǎng)中，如果用戶(hù)使用一次性用戶(hù)口令對(duì)局域網(wǎng)中的資源進(jìn)行訪(fǎng)問(wèn)，可以相對(duì)有效地預(yù)防嗅探技術(shù).即使嗅探人員獲得了此次訪(fǎng)問(wèn)的一次口令，也不能繼續(xù)運(yùn)用該口令去獲取數(shù)據(jù)包信息資源.（4）減少“混雜”工作狀態(tài)網(wǎng)卡的使用.通常情況下，人們都會(huì)選擇使用“混雜”工作狀態(tài)下的網(wǎng)卡.通過(guò)以上分析可知，處于混雜模式中的計(jì)算機(jī)主機(jī)很有可能已經(jīng)被安裝了嗅探技術(shù)，因此，使用不處于“混雜”工作模式下的網(wǎng)卡更有利于預(yù)防網(wǎng)絡(luò)嗅探技術(shù)的入侵.要有效地預(yù)防網(wǎng)絡(luò)嗅探技術(shù)，需要檢驗(yàn)出哪臺(tái)電腦主機(jī)處于混雜模式工作中，也可以考慮減少“混雜”工作狀態(tài)網(wǎng)卡的使用率.

5 嗅探技術(shù)在信息安全中的應(yīng)用

5.1 網(wǎng)絡(luò)入侵監(jiān)測(cè)

網(wǎng)絡(luò)攻擊性檢測(cè)一般在交換機(jī)鏡像端口上進(jìn)行工作，主要通過(guò)匹配模式與異常分析等方法來(lái)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析［8］.當(dāng)網(wǎng)絡(luò)嗅探技術(shù)獲取數(shù)據(jù)包之后，將其提交到專(zhuān)家?guī)炷Ｐ椭羞M(jìn)行相關(guān)分析，最后提取出較為可疑、有害的事件.當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊性行為或有蠕蟲(chóng)病毒等網(wǎng)絡(luò)違規(guī)事件的時(shí)候，就會(huì)出現(xiàn)報(bào)警，達(dá)到入侵檢測(cè)的效果.

5.2 網(wǎng)絡(luò)安全審計(jì)

網(wǎng)絡(luò)安全審計(jì)是指通過(guò)嗅探技術(shù)的運(yùn)用，將網(wǎng)絡(luò)數(shù)據(jù)包信息資源進(jìn)行捕獲、解碼和存儲(chǔ)，以便后期進(jìn)行查詢(xún)和報(bào)警等，實(shí)現(xiàn)網(wǎng)上行為的審計(jì)和網(wǎng)絡(luò)違規(guī)數(shù)據(jù)信息的監(jiān)控.當(dāng)網(wǎng)上發(fā)布有關(guān)反動(dòng)、色情或其他相關(guān)的不法內(nèi)容時(shí)，網(wǎng)絡(luò)安全審計(jì)就可以對(duì)其進(jìn)行監(jiān)測(cè)，并防止有關(guān)人員對(duì)其進(jìn)行訪(fǎng)問(wèn).網(wǎng)絡(luò)審計(jì)技術(shù)還可以通過(guò)類(lèi)似于網(wǎng)絡(luò)通訊劫持、篡改技術(shù)來(lái)替換或阻斷上述不法內(nèi)容的出現(xiàn).

5.3 蠕蟲(chóng)病毒控制

隨著網(wǎng)絡(luò)蠕蟲(chóng)病毒傳播范圍的擴(kuò)大，傳播速度的加快，運(yùn)用網(wǎng)絡(luò)嗅探技術(shù)來(lái)阻止蠕蟲(chóng)病毒的傳播刻不容緩.網(wǎng)絡(luò)嗅探技術(shù)通過(guò)對(duì)網(wǎng)絡(luò)流量的監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量的異常情況來(lái)對(duì)蠕蟲(chóng)病毒作出判斷.通過(guò)網(wǎng)絡(luò)協(xié)議的分析，確認(rèn)蠕蟲(chóng)病毒是否發(fā)作，并作出相應(yīng)的警示；通過(guò)蜜罐式嗅探技術(shù)，使蠕蟲(chóng)病毒早日被發(fā)現(xiàn)，在詳細(xì)分析樣本之后制定出相應(yīng)的預(yù)防和處理方案.對(duì)蠕蟲(chóng)病毒的傳播途徑和速度要準(zhǔn)確地進(jìn)行定位，并及時(shí)制定出方案對(duì)其傳播行為進(jìn)行遏制.

5.4 網(wǎng)絡(luò)布控和追蹤

嗅探技術(shù)在執(zhí)法部門(mén)中被廣泛運(yùn)用，在具體的運(yùn)用過(guò)程中，網(wǎng)絡(luò)嗅探技術(shù)對(duì)黑客的入侵和其他攻擊性行為要采取措施進(jìn)行深入追蹤，使其最終被繩之以法.

當(dāng)發(fā)現(xiàn)有網(wǎng)絡(luò)犯罪分子通過(guò)中間跳板主機(jī)進(jìn)行作案的時(shí)候，先不對(duì)跳板主機(jī)進(jìn)行明顯操控，而是運(yùn)用嗅探技術(shù)對(duì)其進(jìn)行全方位的監(jiān)控.當(dāng)犯罪分子進(jìn)行遠(yuǎn)程登錄的時(shí)候，網(wǎng)絡(luò)嗅探技術(shù)通過(guò)登錄信息可以獲取犯罪分子的IP地址，方便執(zhí)法部門(mén)進(jìn)行定位追蹤.當(dāng)然，在實(shí)際情況中也會(huì)出現(xiàn)多次跳板主機(jī)現(xiàn)象，這時(shí)就要有針對(duì)性地多次布控.網(wǎng)絡(luò)追蹤是一種網(wǎng)絡(luò)攻擊性行為的追查方式，在網(wǎng)絡(luò)犯罪中，往往利用虛假的IP地址進(jìn)行作案.因此，需要利用網(wǎng)絡(luò)嗅探技術(shù)來(lái)追蹤真實(shí)性的IP地址源.

5.5 網(wǎng)絡(luò)取證

隨著網(wǎng)絡(luò)犯罪數(shù)量的不斷增多，網(wǎng)絡(luò)犯罪手段不斷提升，傳統(tǒng)的電話(huà)搭線(xiàn)錄音和常規(guī)取證方式已經(jīng)難以滿(mǎn)足新的網(wǎng)絡(luò)犯罪需求.因此，網(wǎng)絡(luò)嗅探技術(shù)便孕育而生.

網(wǎng)絡(luò)取證可以被廣泛運(yùn)用于所有的計(jì)算機(jī)上，通過(guò)網(wǎng)絡(luò)犯罪分子的聊天記錄、郵件和上網(wǎng)行為等來(lái)成功獲取破獲案例的重要證據(jù).在使用網(wǎng)絡(luò)嗅探技術(shù)進(jìn)行案例取證的過(guò)程中，為了避免已經(jīng)獲得的網(wǎng)絡(luò)證據(jù)被篡改，可以對(duì)網(wǎng)絡(luò)取證工具進(jìn)行加密或簽名設(shè)置，防止不法分子對(duì)重要證據(jù)進(jìn)行修改.當(dāng)然，在執(zhí)法部門(mén)的破案過(guò)程中，僅僅采取網(wǎng)絡(luò)嗅探技術(shù)進(jìn)行取證是不科學(xué)的，需要多種技術(shù)手段同時(shí)進(jìn)行，網(wǎng)絡(luò)嗅探技術(shù)只可以充當(dāng)一種輔助性的技術(shù)手段.

6 結(jié)語(yǔ)

網(wǎng)絡(luò)欺騙和嗅探技術(shù)在計(jì)算機(jī)信息安全系統(tǒng)中具有重要作用，被廣泛運(yùn)用于社會(huì)生活的各個(gè)方面.本文通過(guò)對(duì)網(wǎng)絡(luò)欺騙和嗅探技術(shù)的闡述和運(yùn)用，使廣大計(jì)算機(jī)網(wǎng)絡(luò)的使用者能夠增強(qiáng)網(wǎng)絡(luò)欺騙和嗅探的質(zhì)量，提高自身信息系統(tǒng)的防御水平.有理由相信，在快速發(fā)展的計(jì)算機(jī)網(wǎng)絡(luò)背景下，網(wǎng)絡(luò)欺騙和嗅探技術(shù)將會(huì)有更加廣闊的使用前景.只有不斷提高網(wǎng)絡(luò)欺騙的質(zhì)量和嗅探的技術(shù)水平，才能保障計(jì)算機(jī)信息技術(shù)的安全性能，防止計(jì)算機(jī)網(wǎng)絡(luò)信息資源被竊取.因此，計(jì)算機(jī)網(wǎng)絡(luò)欺騙和嗅探技術(shù)的研究刻不容緩.

［1］李頻.復(fù)雜環(huán)境下網(wǎng)絡(luò)嗅探技術(shù)的應(yīng)用及防范措施［J］.計(jì)算機(jī)應(yīng)用與軟件，2006，23（12）：113-115.

［2］李靜媛，丁照光.網(wǎng)絡(luò)欺騙技術(shù)在網(wǎng)絡(luò)安全防護(hù)中的作用［J］.軟件導(dǎo)刊，2013，12（6）：118-119.

［3］高強(qiáng).探析網(wǎng)絡(luò)嗅探技術(shù)［J］.農(nóng)業(yè)網(wǎng)絡(luò)信息，2012，（5）：84-86.

［4］王率.網(wǎng)絡(luò)欺騙和嗅探技術(shù)研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013，（9）：88-89.

［5］周海濤.網(wǎng)絡(luò)欺騙技術(shù)［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005，（12）：22-23.

［6］蔡林.網(wǎng)絡(luò)嗅探技術(shù)在信息安全中的應(yīng)用［J］.計(jì)算機(jī)時(shí)代，2008，（6）：16-18.

［7］張健，李煥洲.網(wǎng)絡(luò)嗅探原理及其檢測(cè)和預(yù)防［J］.四川師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2003，26（1）：91-92.

［8］田友同，解傳軍，趙莉.網(wǎng)絡(luò)嗅探技術(shù)淺析［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008，（4）：33-34.

【責(zé)任編輯 牛懷崗】

Research on Network Cheating and Sniff Technologies

WEI Qiang
（Editorial Department，Shaanxi University of Technology，Hanzhong 723000，China）

In the internet age，more and more computer network technologies are widely used in the world，which have changed our life a lot.However，with the development of network technology，network information safety has become the focus of public concern.In this paper，based on the analysis of the principle and technology used in computer network cheating，some new ideas are contributed on how to use sniffer technology to prevent and detect and reduce network cheating.

computer；information safety；network cheating；sniff technologies

TP393；TN915.08

A

1009-5128（2014）19-0044-05

2014-08-21

魏強(qiáng)（1975—），男，陜西西鄉(xiāng)人，陜西理工學(xué)院學(xué)報(bào)編輯部編輯，西南科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院碩士研究生，主要從事學(xué)術(shù)期刊編輯與傳播、網(wǎng)絡(luò)信息安全技術(shù)研究.