论文首页哲学论文经济论文法学论文教育论文文学论文历史论文理学论文工学论文医学论文管理论文艺术论文 |
四、嗅探嚣的安全防范机制
证明网络有嗅探器有两条经验,一是网络带宽出现反常。通过某些带宽监控软件或者设备,比如MRTG、pbwmeter等。可以实时看到目前网络带宽的分布情况,如果某个端口长时间的占用了较大的带宽,这台机器就有可能在监听。二是网络通讯丢包率非常高。通过一些网络软件,可以看到信息包传送情况?最简单的就是ping命令,它会告诉你现在网络的掉包情况。如果网络中有人在Li st en,那么信息包传送将无法每次都顺畅的流到目的地。(这是由于sni ff er拦截每个包导致的)。如果你的网络结构正常,而又有10%以上的包无法正常达到目的地,这就有可能是由于嗅探器拦截包导致的。三是可以查看上当前正在运行的所有程序。在Unix系统下使用下面的命令:ps—aux或:ps—augx。这个命令列出当前的所有进程,启动这些进程的用户,它们占用CPU的时间,占用内存的多少等等。Windows系统下,按下Ctr l+Alt+Del,看一下任务列表。不过,编程技巧高的SnifferHP使正在运行,也不会出现在这里的。还有许多工具,能用来看看你的系统会不会在杂收模式。从而发现是否有一个Sniffer正在运行。
因为嗅探器需要将网络中入侵的网卡设置为混杂模式才能工作,所以检测嗅探器可以采用检测混杂模式网卡的工具?比如Ant isniff等工具。
当系统在混杂模式下,系统会对某些特定类型的数据包回应,对其它的数据包则置之不理。在Antisniff进行操作系统详细测试时,Antisniff会通过广播或非广播方式发送一个并不存在的Ether地址,并对系统回应进行监听。Antisniff发送虚假地址的请求ICMP回应数据帧,如果系统在混杂模式下则会对该数据帧进行应答,否则放弃。
对于不同的操作系统,计算机采用的检测工具也不尽相同。大多数LI NUX、UNI X操作系统都可以使用ifconf i g。利用ifconfig网络人员可以知道网卡是否工作在混杂模式下。但是因为安装未被授权的sniffer时,特洛伊木马程序也有可能被同时安装,因而ifconf ig的输出结果就可能完全不可信。
大多数版本的UNI X都可以使用lsof来检测嗅探器的存在。lsof的最初的设计目的并非为了防止嗅探器入侵?但因为在被入侵的系统中,嗅探器会打开其输出文件,并不断传送信息给该文件?这样该文件的内容就会越来越大?因而lsof就有了用武之地。如果利用lsof发现有文件的内容不断的增大,我们就有理由怀疑系统被人装了嗅探器。因为大多数嗅探器都会把截获的’TCP/IP”数据写入自己的输出文件中,因而系统管理人员可以把lsof的结果输出至grep来减少系统被破坏的可能性。
完全主动的解决方案很难找到,我们可以采用一些被动的防御措施。
安全的拓扑结构,嗅探器只能在当前网络段上进行数据捕获。这就意味着,将网络分段工作进行得越细,嗅探器能够收集的信息就越少。有三种网络设备是嗅探器不可能跨过的,交换机、路由器、网桥。我们可以通过灵活的运用这些设备来进行网络分段。比如对网络进行分段,比如在交换机上设置VLAN,使得网络隔离不必要的数据传送。