基于嗅探技術的內部網絡安全研究

摘 要：內網一般由代理服務器、二層交換機、大量終端等組成，由于網絡邊界處的防火墻、入侵檢測系統可以有效的防御來自于外網的入侵，卻忽視了網絡內部的安全。針對這樣的情況，通過使用OMNI PEEK軟件對內網進行實時的流量監控和數據包分析，較好的加強并保障了內網的管理和安全。

關鍵詞：內網安全；流量監控；數據包分析

中圖分類號：D92 文獻標志碼：A 文章編號：1673-291X（2013）16-0216-03

一、引言

由于TCP/IP協議簇本身存在許多安全問題，所以使網絡安全難以保障。網絡安全一般來說分為網絡外部和網絡內部兩方面，如今這兩方面出現的安全問題的比例約為3∶7，顯然，最普遍的安全威脅主要來自于內部，而且這些威脅通常都是致命的，其破壞性也遠大于外部威脅。內網因終端多，使用人員技術水平等因素的影響，使內網安全難以保障，而且與企業的內網安全關注更多的是數據保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）方面不同，一般（學校、網吧）的內網關注更多的是內部系統的穩定性，防止人為破壞或無意破壞。

由于網絡邊界處的防火墻（Firewall）、入侵檢測（IDS）等多方面監控，且代理服務器只允許外網的終端訪問它自身，并有選擇地將數據傳輸給內網終端，對來自網絡外部的威脅進行了非常完善的防護，卻忽略了內網的安全性。內部網絡由大量的終端和網絡設備組成，內網用戶的非法操作往往具有隱蔽性強，威脅大等特點，內網任何一部分的安全問題，都可能導致整個內部網絡的癱瘓。安全問題是三分技術，七分管理，管理才是關鍵。

二、基于網絡嗅探的實時監控

（一）嗅探技術簡介

網絡監測方法主要有基于網絡管理信息的測量方法（如基于SNMP的測量技術）與基于網絡嗅探技術的被動監測方法。本實驗的網絡嗅探是指利用計算機的網絡接口截獲目的地為其他計算機的數據報文的一種手段。網絡嗅探技術不主動向網絡發送數據包，而是通過監聽、提取和解析網絡中正在傳輸數據包。但是在一個交換式的局域網，此時在其中的任一臺主機上安裝網絡嗅探工具，無論它的嗅探功能如何強大，在交換網絡中它也無能為力，這時它只能嗅探到從本機進出的數據包，因此把嗅探工具安裝在代理服務器上便可解決此問題。

網絡嗅探技術是一把雙刃劍，不可用于竊取私密信息，它的的正當用處主要是分析網絡的流量，以便找出網絡中潛在的問題.如果某時段一網段運行不暢，信息包的發送比較慢，丟包現在嚴重，而網絡管理員又不知道問題所在，此時就可以用嗅探器作出較準確的判斷。

（二）實時網絡監控

1.協議分析。對內網的實時監控，目的不是為了實時記錄網絡狀態，而是為了發現異常和攻擊。本實驗對一些常見的內網安全問題進行分析，正常的數據包就不再此闡釋。通過運行omni peek，捕獲數據包，經查看發現內網主機192.168.0.136的數據包可疑，剛開機不久便向IP地址為24.89.201.200發送大量數據包，且這臺主機發出的所有的數據包都是基于HTTP的（見圖1）。

通過對某個數據包的源碼分析（見圖2），解碼后（見下頁表1）。

由于HTTP是基于請求/響應范式的，信息交換過程要分四個部分：建立連接、發送請求、發送響應、關閉連接。但我們捕獲到得192.168.0.136所發出的數據包卻很可疑，圖3是通過OMNI PEEK對TCP的解析，發現所有數據包均是SYN包，而SYN包是主機要發起TCP連接時發出的數據包，也就是這臺內網主機不斷的向外網中的某主機建立HTTP連接，但沒有得到任何回應（既未收到ACK確認包，也沒有釋放連接）。

這種情況一般有下面幾種可能：（1）成為黑客控制的“肉雞”，不斷向外網發送大量發送無意義的UDP數據包阻塞網絡，以至成為造成DDOS攻擊的終端；（2）也有可能是某種p2p下載軟件的共享功能的原因（從圖看出，它收到了2 642個數據包）。有關調查表明P2P業務不斷增加，造成了網絡帶寬的巨大消耗，引起網絡擁塞，降低其他業務的性能經查看該終端確實是P2P軟件Emule的原因導致，令其關閉軟件恢復網絡暢通。

3.防止內網ARP欺騙攻擊。在局域網中，最常見的破壞某過于ARP欺騙攻擊了。由于要通過ARP來完成IP地址轉換為第二層物理地址（即MAC地址），ARP對網絡安全具有重要的意義。ARP的基礎就是信任局域網內所有的人，那么就很容易實現在以太網上的ARP欺騙。受到ARP攻擊主要現象有：局域網內頻繁性區域或整體掉線，網速是否時快時慢，極其不穩定等等。于此同時能夠在網絡中產生大量的ARP通信量使網絡阻塞。

由于ARP的原因（不會驗證包的來源是否合理），使得一臺主機在從未收到ARP請求包時，也可以發送ARP應答包。一旦某臺主機收到ARP應答包，即使它從未向發送此應答包的主機發送過ARP請求包，仍會對本地的ARP緩存進行更新，將應答包中的IP和MAC地址存儲在ARP緩存中，所以很多人利用ARP存在的這種缺陷，通過發送偽造的ARP應答包給發出請求的主機，從而改變它們之間的數據傳輸過程。

一般正常情況下通過在MS-DOS環境下使用arp-a 命令來查看ARP緩存，每一個內網IP都有唯一的MAC地址與之對應。當內網有人通過軟件或是中了ARP病毒，竄改MAC地址時，情況如下圖。圖8為192.168.0.105的主機偽造代理服務器192.168.0.1的MAC地址，并不斷發出ARP應答包，欺騙其他在線主機。

通過OMNI PEEK對ARP數據包進行分析，紅色部分是ARP Response包（見圖9）得知這個時段內有大量的ARP應答包，分析可能是有人在運行ARP欺騙攻擊軟件或者是網內感染ARP 欺騙木馬。其中大部分的ARP 應答包都通過軟件偽造其他主機的MAC地址以達到欺騙的目的。

內網管理員可以通過OMNI PEEK第一時間察覺到ARP攻擊。對于如何防范ARP欺騙攻擊，除了安裝ARP防火墻外，當前用的比較多的方法主要有：（1）設置靜態的MAC與IP對應表，不要讓主機刷新設定好的轉換表；（2）定期檢查主機上的ARP緩存，查看有無異樣；（3）停止使用ARP協議等等。

三、結束語

本實驗通過網絡嗅探軟件OMNI PEEK，在基于代理服務器環境下的內網進行實時監控，對常見的安全問題進行了著重分析闡述，特別是第一種，由于內網主機本身沒有真實IP地址，通過代理服務器的公共IP地址隱藏終端來攻擊外網主機，而被攻擊者又很難確定這臺沒有真實IP地址的終端。下一步的研究，我們將從被攻擊者的角度，來確定這臺沒有固定IP地址的終端，既非真實IP地址網絡終端定位方法的研究。

參考文獻：

[1] 楊云江.計算機網絡管理技術：第2版[M].北京：清華大學出版社，2009.

[2] 李峰，陳向益. TCP/IP——協議分析與應用編程[M].北京：人民郵電出版社，2008.

[3] 秦相林.二層交換網絡上的嗅探技術研究[J].哈爾濱商業大學學報，2005，（4）：489-492.

[4] 孫謙，黃家林，傅軍.基于協議分析的ARP欺騙病毒源自動定位[J].現代計算機，2008，（289）：136-139.

[5] 蔡林.網絡嗅探技術在信息安全中的應用[J].計算機時代，2008，（6）：16-18.