计算机应用 | 古代文学 | 市场营销 | 生命科学 | 交通物流 | 财务管理 | 历史学 | 毕业 | 哲学 | 政治 | 财税 | 经济 | 金融 | 审计 | 法学 | 护理学 | 国际经济与贸易
计算机软件 | 新闻传播 | 电子商务 | 土木工程 | 临床医学 | 旅游管理 | 建筑学 | 文学 | 化学 | 数学 | 物理 | 地理 | 理工 | 生命 | 文化 | 企业管理 | 电子信息工程
计算机网络 | 语言文学 | 信息安全 | 工程力学 | 工商管理 | 经济管理 | 计算机 | 机电 | 材料 | 医学 | 药学 | 会计 | 硕士 | 法律 | MBA
现当代文学 | 英美文学 | 通讯工程 | 网络工程 | 行政管理 | 公共管理 | 自动化 | 艺术 | 音乐 | 舞蹈 | 美术 | 本科 | 教育 | 英语 |

浅论校园网络中存在嗅探器的解决方案网(2)

2013-11-20 01:32
导读:四、嗅探嚣的安全防范机制 证明网络有嗅探器有两条经验,一是网络带宽出现反常。通过某些带宽监控软件或者设备,比如MRTG、pbwmeter等。可以实时看到

  四、嗅探嚣的安全防范机制

  证明网络有嗅探器有两条经验,一是网络带宽出现反常。通过某些带宽监控软件或者设备,比如MRTG、pbwmeter等。可以实时看到目前网络带宽的分布情况,如果某个端口长时间的占用了较大的带宽,这台机器就有可能在监听。二是网络通讯丢包率非常高。通过一些网络软件,可以看到信息包传送情况?最简单的就是ping命令,它会告诉你现在网络的掉包情况。如果网络中有人在Li st en,那么信息包传送将无法每次都顺畅的流到目的地。(这是由于sni ff er拦截每个包导致的)。如果你的网络结构正常,而又有10%以上的包无法正常达到目的地,这就有可能是由于嗅探器拦截包导致的。三是可以查看上当前正在运行的所有程序。在Unix系统下使用下面的命令:ps—aux或:ps—augx。这个命令列出当前的所有进程,启动这些进程的用户,它们占用CPU的时间,占用内存的多少等等。Windows系统下,按下Ctr l+Alt+Del,看一下任务列表。不过,编程技巧高的SnifferHP使正在运行,也不会出现在这里的。还有许多工具,能用来看看你的系统会不会在杂收模式。从而发现是否有一个Sniffer正在运行。

  因为嗅探器需要将网络中入侵的网卡设置为混杂模式才能工作,所以检测嗅探器可以采用检测混杂模式网卡的工具?比如Ant isniff等工具。

  当系统在混杂模式下,系统会对某些特定类型的数据包回应,对其它的数据包则置之不理。在Antisniff进行操作系统详细测试时,Antisniff会通过广播或非广播方式发送一个并不存在的Ether地址,并对系统回应进行监听。Antisniff发送虚假地址的请求ICMP回应数据帧,如果系统在混杂模式下则会对该数据帧进行应答,否则放弃。

  对于不同的操作系统,计算机采用的检测工具也不尽相同。大多数LI NUX、UNI X操作系统都可以使用ifconf i g。利用ifconfig网络人员可以知道网卡是否工作在混杂模式下。但是因为安装未被授权的sniffer时,特洛伊木马程序也有可能被同时安装,因而ifconf ig的输出结果就可能完全不可信。

  大多数版本的UNI X都可以使用lsof来检测嗅探器的存在。lsof的最初的设计目的并非为了防止嗅探器入侵?但因为在被入侵的系统中,嗅探器会打开其输出文件,并不断传送信息给该文件?这样该文件的内容就会越来越大?因而lsof就有了用武之地。如果利用lsof发现有文件的内容不断的增大,我们就有理由怀疑系统被人装了嗅探器。因为大多数嗅探器都会把截获的’TCP/IP”数据写入自己的输出文件中,因而系统管理人员可以把lsof的结果输出至grep来减少系统被破坏的可能性。

  完全主动的解决方案很难找到,我们可以采用一些被动的防御措施。

  安全的拓扑结构,嗅探器只能在当前网络段上进行数据捕获。这就意味着,将网络分段工作进行得越细,嗅探器能够收集的信息就越少。有三种网络设备是嗅探器不可能跨过的,交换机、路由器、网桥。我们可以通过灵活的运用这些设备来进行网络分段。比如对网络进行分段,比如在交换机上设置VLAN,使得网络隔离不必要的数据传送。

上一篇:浅析信息隐藏技术网络毕业论文 下一篇:没有了