淺析基于ARP網絡嗅探的防范技術

鐘曉楨 1.武漢大學研究生院；2.江漢大學物理與信息工程學院

淺析基于ARP網絡嗅探的防范技術

鐘曉楨1.21.武漢大學研究生院；2.江漢大學物理與信息工程學院

嗅探是對較底層網絡基礎設施的安全威脅，這層支持使用互聯網的應用程序。用戶并不直接與這些底層打交道，通常完全不知道它們的存在。如果不對這些威脅進行審慎考慮，就不可能在高層構建有效的安全保障。

sniffing；network partitioning；hardware barrier

嗅探是利用一個網絡接口接收不是為這臺機器在該接口所在位置預期的數據。它的存在意味著：惡意攻擊者可以利用這種裝置或修改現有機器來窺探網絡通信。嗅探程序可以被用來收集密碼，閱讀不同機器間的電子郵件，并檢查客戶/服務器數據庫中轉記錄。

1 嗅探：它是如何做的

在共享媒體網絡，如以太網，所有網絡段的網絡接口都可以獲取在媒體上傳輸的所有數據。每個網絡接口都有一個硬件層地址，它應不同于網絡上所有其他網絡接口的硬件層地址。每個網絡也至少有一個廣播地址，一般來說，網絡接口只會響應那些攜帶幀目標字段中它自己的硬件層地址或目標字段中的“廣播地址”的數據幀。

共享媒體網絡的廣播屬性極大地影響網絡的性能和可靠性，所以網絡從業人員使用網絡分析儀或嗅探器來解決問題。嗅探器置于混雜模式的網絡接口，使嗅探器可以監控每個網段上的數據包。使用網絡分析儀，你可以檢查特定的一對主機間傳輸的數據，按協議對其分類，也可以對其進行分析。

2 嗅探：它如何威脅安全

從網絡嗅探的數據導致了幾種信息隱私權的喪失。如果電腦網絡是安全的，這些信息應該是隱私的。這類信息包括以下內容：密碼、金融賬戶號碼、私人數據、底層協議的信息。

2.1 嗅探密碼

也許電腦隱私最常見的損失就是密碼被盜。當用戶輸入密碼時，系統不會在電腦屏幕上顯示，但是，一套能通過網絡發送密碼中的每一字符的裝置就能使任意以太網嗅探器非常容易地看到它們。終端用戶認識不到這密碼是可以多么容易地被人用簡單和通用的軟件發現。

2.2 嗅探金融賬戶號碼

大多數用戶對在互聯網上發送金融賬戶號碼，賬號隱私最有可能喪失的地點還是在傳輸的終端。據估測，企業電子交易對安全性的要求挑剔得如同紙質交易，所以最高風險可能來自于用戶輸入密碼的同一個本地網絡。這些涉及賬戶號碼的傳送的交易，一個嗅探器就可以獲取；竊賊便可以轉移資金到自己的賬戶或或者支付企業賬戶的商品賬單。

2.3 嗅探私人數據

隱私的喪失在電子郵件中也很常見。許多未經發送者或接收者允許的電子郵件被公開。在電子郵件中包含機密商業信息或個人信息并不罕見。即使是日常備忘錄，如果落入壞人手中也會使人尷尬。

2.4 嗅探底層協議信息

在電腦間發送的信息網絡協議包括：本地網絡接口的硬件地址、遠程網絡接口的IP地址、IP路由信息和為TCP連接分配的字節的序列號。嗅探器能夠獲取這些數據的任何一項。攻擊者取得資料之后，他或她將由被動攻擊變成主動攻擊，可能帶來更大的危害。

3 嗅探：如何預防

為了能夠防止嗅探攻擊，你首先需要了解網絡組成部分和電腦系統之間的信任。

3.1 網絡分割

一個網段包括一套機器設備，它們共享底層設備和線路， 收發相同的一組數據。中繼器兩端的線路在同一網段，一個普通的集線器基本上是一個多端口中繼器，所有連接到它的線路都是同一網段的組成部分。高層設備，如網橋，情況則有所不同。在網橋兩側的線路不屬于同一網段的組成部分，網橋兩側流過的數據不相同。正如網橋可用于建立網段間的邊界，交換機也可以。交換機基本上是多端口網橋。因為它們限制了所有數據的流動，小心引入網橋和交換機可限制敏感信息的流動，并防止被不信任的機器嗅探。

引入交換機和網橋到網絡中還能通過減少組件的碰撞率來增強性能。網段是機器在同一個子網的一個子集。路由器將網絡劃分成子網。網橋和交換機不與其他器件的軟件發生聯系，路由器則不同。它們與網絡中器件的網絡層軟件有聯系。網段組合為子網，盡管網絡中的許多子網僅由一個網段組成。用路由器將網絡劃分為子網，而不是將子網劃分為網段，是一個更根本的解決嗅探問題的辦法。

3.2 對“信任”的理解

通常情況下，人們認為“信任”存在于文件服務器和客戶之間的應用層中。顯然，文件服務器信任其客戶，授權給它。然而，這種信任的概念也可以延伸到底層網絡設備。例如，在網絡層，路由器被信任，由它來傳輸數據和更正路由表給網絡上的主機。主機信任路由器，路由器就是被信任的機器。如果你把信任的概念向下擴展到數據鏈路層，就可以嗅探。一臺機器要在特定網段發送隱私數據，它必須信任該網段上所有的機器。要想值得信任，機器和它們之間的線路必須具有足夠的物理安全性，以確保攻擊者無法在該網段安裝嗅探器。嗅探威脅來自于通常安裝在網絡電腦上的嗅探軟件，或者甚至安裝未經授權的網絡連接到嗅探器。為了對付這些，你必須依靠操作系統自身的安全性能來防止未經授權的嗅探，只讓可信賴的人訪問網絡組件所在房間，用物理安全措施來防止不可信賴的人進入這些房間。

3.3 硬件屏障

要構建值得信賴的網段，必須在安全網段和不安全網段間設置屏障。網段上的所有機器都必須相互信任，數據在網段中傳輸。這種網段的一個例子就是一個不向計算設備機房外擴展的網段。所有的機器都在一個合作和互信的系統的工作人員控制下。工作人員個人之間的信任反映在由他們所負責的系統之間的相互信任上。

與此相反理解是，某些網段被認為不安全。不安全網段不必被信任，它們只能攜帶公開的或非關鍵數據。比如，只有學生使用的大學實驗室就是這樣的網段。對這個網絡驅動器來說，只能采取合理的預防措施來維持密碼保護，文件系統的訪問列表和定期備份。

3.4 安全用戶網段

安全是一個相對的概念。你能讓一個網段如何安全？這取決于你撤掉多少技術上不被信任的終端用戶，他們在具有有限的物理安全性的地點使用網絡。在某些情況下，你會認為剝奪終端用戶對機器的控制是適當的，因為你不能信任技術角度上的終端用戶。

3.5 有互信機器的網段

有的學術和工業部門的研究，需要終端用戶對桌面機器有完全的訪問權。在這種情況下，使用安全網段是不可能的。除非終端用戶具有無可挑剔的道德和技術能力，以在他們所控制的機器上維護系統安全。如果假定終端用戶能確保自己的桌面系統的安全性，網段上的所有機器都被認為在嗅探方面可以相互信任。你必須對分立網段的不被信任機器進行定位。需要跨越網段邊界交流的機器，只可處理非隱私數據。你可以通過安全網段加入彼此信賴的網段

3.6 連接單向信任的網段

考慮兩個相互信任的網段的簡單情況，相互信任存在于第一網段的機器之間，和第二網段的機器之間。然而，在第一網段的機器溝通的信息沒有第二網段敏感。在第一網段的機器可以信任那些在第二網段的，反之則不行，你必須使用諸如網橋的屏障，以防止在相反方向的數據流。單向信任在安全網段和其他類型網段之間是相當普遍的。安全性較差的機器必須信任更安全的機器，反之則不行。同樣，單向信任的方式可能存在于相互信任的網段和不安全網段之間。

3.7 不安全網段

在許多情況下，在不相互信任的機器之間構建網段邊界是不切實際的。原因是這樣的設置無法阻止嗅探。不安全網段在安全要求低的區域也許可以接受。然而，大多數用戶希望獲得此類設置可以提供的更高級別的安全。如果你必須使用不安全網段，而仍然期待更高程度的安全，唯一的解決方案是基于軟件的技術，如加密技術，而不是基于硬件的技術。

3.8 案例分析：一個小部門子網

從案例研究中可以學習和尋求解決的幾件事：最低成本的解決方案不可能提供安全；一個完全安全的系統非常昂貴，但一個比較安全的系統則不是；不同方法的成本和性能的權衡可以組合成一個安全的系統。數學系和計算機科學系有不同的設備預算和網絡性能需求；就像在計算機科學系的解決方案中顯示的，單一解決方案可以同時提供安全和加強的性能。提供安全的解決方案大大增加了成本。數學系的單一網段和以上解決方案幾乎沒有成本差距。因為網橋將兩網段分割開，所以需要一根從底層的職員的集線器連到樓上職員的集線器的電線，這是一項額外成本。

至止，本文已講了如何避免從互聯網本地部分來的數據被嗅探。這樣的行動似乎是直接著眼于對內部人員的保護，而不是針對外部威脅。然而，許多安全漏洞是由內部人員有意或無意地幫助而造成的。在這種情況下，本文所述的硬件屏障可以限制物理上或遠或近的入侵者用嗅探器所做的事。不僅是信任網段需要在物理上更安全，而且那些負責電腦系統的也需要更強的技術能力。技術能力至少要能保護系統不被遠程入侵，系統不能被從遠程位置（如一臺簡單的個人電腦）下達命令。可以接受來自遠程位置命令的系統必須由具有足夠技術能力的人管理，他們可以阻止遠程入侵者，不犯允許的遠程入侵者進入系統的錯誤。

[1] ARP協議分析.中國協議分析網.http://www.itzero.com

[2]硅谷動力.ARP攻擊的防范.http://www.enet.com.cn

[3]譚思亮.監聽與隱藏— —網絡偵聽揭密與數據保護技術.北

民郵電出版社.2002

ARP-based netw ork sniffer of Prevention Technology

Zhong Xiaozhen
1. Graduate School of Wuhan University 2. School of Physics and Information Engineering,Jianghan University,Wuhan 430056,Chian

sniffing is security threats that target the lower layers of the networking infrastructure supporting applications that use the Internet. Users do not interact directly with these lower layers and are typically completely unaware that they exist. Without a deliberate consideration of these threats, it is impossible to build effective security into the higher levels.

10.3969/j.issn.1001-8972.2011.10.084

鐘曉楨，1 9 7 4年出生，漢族，籍貫：湖北黃岡，講師。