計算機網絡欺騙和嗅探技術研究

魏 強

（陜西理工學院學報編輯部，陜西漢中 723000）

計算機網絡欺騙和嗅探技術研究

魏 強

（陜西理工學院學報編輯部，陜西漢中 723000）

隨著信息化網絡時代的到來，全世界每個角落都廣泛使用著計算機網絡技術，改變了人們的生產生活方式.然而隨著網絡技術的不斷深入發展，網絡信息安全也成為了大眾普遍關心的焦點.對計算機網絡欺騙和嗅探技術進行分析，對網絡欺騙的主要原理和技術以及嗅探技術的原理、預防、檢測和應用進行闡述.

計算機；信息安全；網絡欺騙；嗅探技術

計算機網絡的開放性給人們生活帶來極大方便的同時，也給人們的信息安全帶來了較大的隱患.各類信息安全漏洞的不斷更新、網絡黑客的頻繁出現，都說明了計算機網絡的本質并不是安全的［1-2］.如何保護好自身及周圍的網絡信息安全是擺在每個信息防護者面前的難題.因此，網絡欺騙和嗅探技術應運而生，也受到計算機網絡安全研究者的廣泛關注和深入研究.

1 計算機網絡欺騙概述

1.1 網絡欺騙的主要原理

網絡欺騙是一種計算機網絡信息安全技術，它使網絡攻擊者相信在計算機信息系統內，存在著有價值且可利用的安全弱點和一些可攻擊性的資源，通過信息偽造、隱藏技術誘導網絡攻擊者獲取到錯誤且不重要的信息資源.網絡欺騙技術不僅僅能夠有效地增加攻擊者的工作總量和竊取信息的難度，而且還能夠使信息資源防護者跟蹤到攻擊者的入侵行為，及時檢查修補網絡漏洞，最終達到保護信息，防止網絡進攻的目的.眾所周知，每個有價值的網絡系統當中都會存在安全漏洞，而網絡攻擊者就是利用這些網絡漏洞進行信息資源的竊取和攻擊.網絡欺騙通過有效信息的隱藏、安全信息的維護和設置多路徑的信息渠道來達到網絡欺騙的目的.網絡欺騙在運用過程中，要達到以下三個目的［3-4］：（1）迅速干擾網絡進攻者，使其能夠陷入到你的網絡圈套當中，然后按照你的設計意圖來進行信息的選擇，這樣就能夠使攻擊者忽略掉有價值的信息，僅僅獲取一些無關緊要的信息資源；（2）對網絡攻擊者的攻擊行為進行跟蹤，檢測到攻擊者需要攻擊的信息資源范圍和意圖；（3）增強網絡攻擊者的攻擊難度和復雜程度，間接地引導攻擊者獲取不到目標信息，最終耗損完攻擊者的攻擊技術和資源.

1.2 網絡欺騙的主要技術

1.2.1 協議欺騙技術

協議欺騙主要是通過對真實網絡信息的掩蓋和注入偽造信息，達到迷惑網絡侵入者的目的.當前我國協議欺騙技術主要有以下幾種：（1）多重地址協議欺騙.這種欺騙技術通過物理地址和IP地址之間的轉換，使網絡數據信息能夠及時、有效地到達目的地，計算機通過高速緩存后將最新的地址映射下來，動態綁定后使其到達發送方.（2）域名服務器網絡欺騙技術.域名服務器實現主機域名與IP地址兩者之間的映射，而客戶程序又通過序列號的設置來進行域名服務器的有效鑒別.因此，在客戶程序進行域名服務器匹配查詢的時候，序列號就容易遭受到攻擊威脅.（3）IP地址的欺騙.IP地址的攻擊較前兩者欺騙技術而言更加具有復雜性，網絡侵入者通過竊取他人IP地址來進行數據包的發送.數據包內的IP地址不需要經過IP協議的認證就可以對IP包的源地址進行偽造.因此，網絡之中的IP包一旦被發送，源IP地址將不被使用.如果攻擊者借助于別的信任主機進行IP包的發送，就可以達到信息攻擊的目的.

1.2.2 蜜罐、蜜網技術

蜜罐（Honey Pot）是最早的網絡欺騙工具，它在某些較容易被發現的地方放置一些具有吸引力的目標，使攻擊者發現并誘導入侵者上當.蜜罐最主要的目標是干擾網絡攻擊者去獲取有價值的信息資源，引導其走向那些不是真正有價值的系統當中.蜜網技術是在蜜罐技術的基礎上，將網絡欺騙散布在網絡系統資源當中，利用較多閑置的服務端口來對攻擊者進行欺騙，以便增大攻擊者上當受騙的可能性.當然，這種蜜罐蜜網網絡欺騙技術也具有一定的局限性，蜜罐技術容易被識破，而蜜網技術需要的資源較多，影響了網絡資源的使用效率，而且它只針對于遠程掃描的攻擊者較為有效，當攻擊者已經進入到系統之中時，則失去了其網絡欺騙的作用.

1.2.3 欺騙空間技術

欺騙空間技術通過無限增加攻擊者的網絡搜索空間，使攻擊者的攻擊范圍增大，任務增多，最終使其放棄攻擊，達到網絡信息安全成功防護的目的.這種網絡欺騙技術費用較低，且較容易實現，通過計算機多宿主系統功能的運用，使一臺計算機上就能具備多個IP地址，實現欺騙空間的無限擴大.如此多的IP地址使得網絡攻擊者的工作量增大，增加了入侵的時間，能夠最大限度地消耗攻擊者的入侵資源，真正使有價值的網絡資源被攻擊的可能性降低.即使當攻擊者的掃描器意識到被網絡欺騙的時候，通過網絡流量的重新定向，也能夠使攻擊者接下來的攻擊行為被繼續欺騙.當然，這種網絡欺騙技術也具有相對的局限性，當進行網絡流量和服務重新定向的時候，要嚴格保密，如果一旦被識破則又有被攻擊的危險.

2 網絡欺騙質量地提高

從上述幾種網絡欺騙技術可知，每一種網絡欺騙技術都存在缺陷，對攻擊者的抵制不可能總是成功的.因此，相關計算機網絡欺騙技術人員要不斷地提高網絡欺騙的質量，這樣才能夠真正地保障信息資源的安全.要提高網絡欺騙技術質量，可以采用以下幾種方法［5-6］：（1）流量仿真技術.流量仿真技術的主要目的在于防止攻擊者通過流量的分析使其檢測到欺騙行為.有兩種方法可以達到流量仿真性的欺騙：一是通過實時和重現的方式使真正的網絡流量得到復制；二是遠程仿造流量，使網絡攻擊者進入并利用.由于所有的訪問鏈接都經過復制.因此，從表面上看來，欺騙系統與真正的網絡系統是類似的，較大程度上可以達到欺騙的目的.（2）網絡的動態配置.真實網絡信息是一個動態運轉的過程，而欺騙性的網絡則是靜態化的，為了使攻擊者更易上當受騙，網絡欺騙需要更具有真實性.動態化的網絡配置能夠模擬真實的網絡環境，使欺騙網絡能跟真實性網絡一樣具有動態性，即使攻擊者進行較長時間的監視，網絡欺騙行為也不易被察覺.當然，為了使網絡欺騙更加真實有效，需要使網絡欺騙與真實計算機系統最大程度的相一致.例如：當真實計算機系統運行某一程序的時候，欺騙計算機也要執行與之相同的程序，這樣可以防止攻擊者發現網絡欺騙行為.（3）多重地址的轉換.地址的轉換有利于真實網絡與欺騙網絡的相互分離，增加網絡欺騙的真實性與隱蔽性.通過代理服務器的改寫，實現地址的轉換，使相同的源地址與最終地址在欺騙系統之中更加真實，從而提高網絡欺騙的質量.（4）通過組織信息的創建進行欺騙.當組織內有涉及到有關個人和系統信息的時候，欺騙系統內也要進行相同信息的創建.這樣做的主要目的在于提高欺騙系統的真實模擬性能，使網絡攻擊者不易察覺欺騙行為.創建的組織信息不僅僅涉及到個人的詳細信息，還包括其基本位置和個人記錄等等.

3 嗅探技術的主要原理

嗅探技術作為當前網絡監聽的一種有效工具，在診斷網絡故障、探查黑客行為、信息安全防御方面具有重要的作用.嗅探有軟硬件兩種類型，而軟件嗅探技術又有Windows和Unix兩種版本，硬件嗅探主要是網絡分析儀.不管是軟件還是硬件，嗅探技術的唯一目的就是獲取網絡上傳送的各類信息.在局域網內，網絡嗅探技術通過網絡攻擊，實現網絡用戶賬號和口令的竊取.嗅探器作為一種嗅探工具，通過某種方式來竊聽到一些不是發送到本機或本進程的數據，從而獲得較為重要的信息.嗅探技術是一把雙刃劍，既有利又有弊，如何發揮嗅探技術的作用就要看使用者是如何進行操作的.

嗅探（Sniffe）通過以太網特性的利用，讓網絡適配器處于一種混亂的狀態，使網卡趁機接收網絡上一切可供接收的信息資源和數據.嗅探之所以能夠嗅探到計算機上的信息資源，主要是借助于以太網和網卡的工作方式.根據工作環境和原理的不同，嗅探技術可以分為本機嗅探、廣播網嗅探和交換機嗅探三種類型［7］.本機嗅探是指在計算機發送數據包給其他進程當中，嗅探器通過某種方式獲取數據包的過程，具體工作原理如圖1所示.圖1顯示出本機嗅探的基本過程和原理，對網絡數據包要經過多次解析才能夠獲取到相應的應用數據.網絡數據包獲取后，需要在硬件驅動或操作系統協議棧之后才能進行應用程序的處理.廣播網嗅探是建立在集線器局域網基礎上，所有的數據包都會通過局域網絡發送出去，體現出“共享”的原理.圖2中的廣播網嗅探技術將所在的計算機主機網卡設置為“混雜”的工作狀態，以便獲取該廣播網段上的所有數據信息.交換機嗅探則是通過“分組”的方式進行單方面的數據傳輸，與廣播網嗅探有所不同.

圖1 本機嗅探實現的原理圖

圖2 廣播嗅探的基本原理圖

4 嗅探技術的檢測和預防

4.1 ARP技術對網絡嗅探行為的檢測

一般情況下，可以通過查看收到的數據幀目的MAC地址是否符合ff.ff.ff.ff.ff.ff來判斷網卡檢測接收到的數據包是不是廣播數據包，如果符合地址要求，則說明是廣播地址.當然，如果網卡處于“混亂”的工作模式之中，則主要通過查看收到的數據幀目的MAC地址的第一個八位組值是否為Oxff，如果是，那么也是廣播地址.就是通過這種細微的差別實現嗅探技術的檢測.測試的時候，測試主機要先向被測試的局域網中所有的設備發送錯誤的ARP請求數據包，進而偽造目標主機的MAC地址，例如：ff.ff.ff.00.00.00.假設接收到數據包的目標主機不處于混亂工作狀態則沒有回復，如果是混亂工作狀態，則會回應測試主機的ARP請求.要判斷哪個目標主機處于混亂工作狀態，只要通過監視向測試主機發送的回應信息就一目了然了.

4.2 DNS技術對網絡嗅探行為的檢測

通常，在局域網之中，網絡通訊機器在不監聽的情況下一般都不會試圖反向解析數據包中的IP地址.但是當有網絡攻擊者出現的時候，其使用的網絡嗅探工具都會對數據包中的IP地址進行反向DNS解析，通過域名來尋找出有價值的主機信息.檢測的時候，要先使測試主機的工作模式處于“混雜”狀態，再向網絡發送錯誤的IP地址數據包，與此同時還要監聽是否有機器向DNS服務器發送解析錯誤IP地址數據包的請求，如果有則說明有網絡嗅探行為.

4.3 網絡和主機響應時間對網絡嗅探行為的檢測

檢測的時候，檢測的主機要先使用ICMP請求與響應，計算出目標機器的平均響應時間.在本次數據統計后，測試主機要再次發送大量的偽造數據包給本地網絡，也要再次發送測試數據包，以便確定目標主機平均響應時間是否有變化.當處于混雜工作模式時，機器響應時間會出現1～4個數量級的變化；當處于正常的工作模式時，機器響應的時間變化量幾乎不變.這種檢測技術已被廣泛證實有效，但也存在較多的缺陷，比如，在較短的測試時間內會產生較大的通訊流量.

4.4 非法網絡嗅探技術的預防

網絡嗅探技術在方便人們保障數據信息安全的同時，也帶來了許多負面的作用，因此，就有必要加強對非法網絡嗅探技術的預防.當前，主要的預防手段有以下幾種：（1）加密.當局域網內要進行數據包傳輸的時候，可以對其進行加密處理，嗅探技術即使得到了數據包信息，也很難解析數據包中的有用信息.例如，如果只需防止遠程登陸時用戶賬號與安全口令的攔截，則只需在電腦主機上安裝OTP系統就可以解決；如果只需避免電子郵件被盜，則通過對郵件進行PCP加密就可解決.以上兩種技術手段是低層次的，相對而言不太安全，更加安全的方式是在操作系統上安裝SNP和SSH SNP兩款系統.這兩款系統提供了一種較為安全的驗證協議，使TELNET、FTP、RLOGIN等應用的用戶賬號與安全口令不需要通過明文的形式進行傳輸.通過加密處理后的傳送數據，被攻擊后會出現亂碼，使數據包信息被入侵的概率普遍降低.（2）網絡分割.通過網絡分割技術的使用，使網絡得以劃分，從而減小網絡嗅探技術監視的空間范圍，其余的網絡則可以避免嗅探技術的入侵.由于主動式集線器與交換機不通過廣播方式進行數據包的轉發，嗅探技術也只針對共享式的網絡起作用.因此，可以通過交換機的使用，使網絡進行分段，最大程度地防止嗅探技術的攻擊.即使受到嗅探技術的入侵，也只能攻擊到一部分的信息流.研究發現，網絡分割得越細，嗅探技術所能獲取的數據資料就會越少.（3）采用一次性口令.在局域網中，如果用戶使用一次性用戶口令對局域網中的資源進行訪問，可以相對有效地預防嗅探技術.即使嗅探人員獲得了此次訪問的一次口令，也不能繼續運用該口令去獲取數據包信息資源.（4）減少“混雜”工作狀態網卡的使用.通常情況下，人們都會選擇使用“混雜”工作狀態下的網卡.通過以上分析可知，處于混雜模式中的計算機主機很有可能已經被安裝了嗅探技術，因此，使用不處于“混雜”工作模式下的網卡更有利于預防網絡嗅探技術的入侵.要有效地預防網絡嗅探技術，需要檢驗出哪臺電腦主機處于混雜模式工作中，也可以考慮減少“混雜”工作狀態網卡的使用率.

5 嗅探技術在信息安全中的應用

5.1 網絡入侵監測

網絡攻擊性檢測一般在交換機鏡像端口上進行工作，主要通過匹配模式與異常分析等方法來對網絡數據包進行分析［8］.當網絡嗅探技術獲取數據包之后，將其提交到專家庫模型中進行相關分析，最后提取出較為可疑、有害的事件.當發現網絡攻擊性行為或有蠕蟲病毒等網絡違規事件的時候，就會出現報警，達到入侵檢測的效果.

5.2 網絡安全審計

網絡安全審計是指通過嗅探技術的運用，將網絡數據包信息資源進行捕獲、解碼和存儲，以便后期進行查詢和報警等，實現網上行為的審計和網絡違規數據信息的監控.當網上發布有關反動、色情或其他相關的不法內容時，網絡安全審計就可以對其進行監測，并防止有關人員對其進行訪問.網絡審計技術還可以通過類似于網絡通訊劫持、篡改技術來替換或阻斷上述不法內容的出現.

5.3 蠕蟲病毒控制

隨著網絡蠕蟲病毒傳播范圍的擴大，傳播速度的加快，運用網絡嗅探技術來阻止蠕蟲病毒的傳播刻不容緩.網絡嗅探技術通過對網絡流量的監測，及時發現網絡流量的異常情況來對蠕蟲病毒作出判斷.通過網絡協議的分析，確認蠕蟲病毒是否發作，并作出相應的警示；通過蜜罐式嗅探技術，使蠕蟲病毒早日被發現，在詳細分析樣本之后制定出相應的預防和處理方案.對蠕蟲病毒的傳播途徑和速度要準確地進行定位，并及時制定出方案對其傳播行為進行遏制.

5.4 網絡布控和追蹤

嗅探技術在執法部門中被廣泛運用，在具體的運用過程中，網絡嗅探技術對黑客的入侵和其他攻擊性行為要采取措施進行深入追蹤，使其最終被繩之以法.

當發現有網絡犯罪分子通過中間跳板主機進行作案的時候，先不對跳板主機進行明顯操控，而是運用嗅探技術對其進行全方位的監控.當犯罪分子進行遠程登錄的時候，網絡嗅探技術通過登錄信息可以獲取犯罪分子的IP地址，方便執法部門進行定位追蹤.當然，在實際情況中也會出現多次跳板主機現象，這時就要有針對性地多次布控.網絡追蹤是一種網絡攻擊性行為的追查方式，在網絡犯罪中，往往利用虛假的IP地址進行作案.因此，需要利用網絡嗅探技術來追蹤真實性的IP地址源.

5.5 網絡取證

隨著網絡犯罪數量的不斷增多，網絡犯罪手段不斷提升，傳統的電話搭線錄音和常規取證方式已經難以滿足新的網絡犯罪需求.因此，網絡嗅探技術便孕育而生.

網絡取證可以被廣泛運用于所有的計算機上，通過網絡犯罪分子的聊天記錄、郵件和上網行為等來成功獲取破獲案例的重要證據.在使用網絡嗅探技術進行案例取證的過程中，為了避免已經獲得的網絡證據被篡改，可以對網絡取證工具進行加密或簽名設置，防止不法分子對重要證據進行修改.當然，在執法部門的破案過程中，僅僅采取網絡嗅探技術進行取證是不科學的，需要多種技術手段同時進行，網絡嗅探技術只可以充當一種輔助性的技術手段.

6 結語

網絡欺騙和嗅探技術在計算機信息安全系統中具有重要作用，被廣泛運用于社會生活的各個方面.本文通過對網絡欺騙和嗅探技術的闡述和運用，使廣大計算機網絡的使用者能夠增強網絡欺騙和嗅探的質量，提高自身信息系統的防御水平.有理由相信，在快速發展的計算機網絡背景下，網絡欺騙和嗅探技術將會有更加廣闊的使用前景.只有不斷提高網絡欺騙的質量和嗅探的技術水平，才能保障計算機信息技術的安全性能，防止計算機網絡信息資源被竊取.因此，計算機網絡欺騙和嗅探技術的研究刻不容緩.

［1］李頻.復雜環境下網絡嗅探技術的應用及防范措施［J］.計算機應用與軟件，2006，23（12）：113-115.

［2］李靜媛，丁照光.網絡欺騙技術在網絡安全防護中的作用［J］.軟件導刊，2013，12（6）：118-119.

［3］高強.探析網絡嗅探技術［J］.農業網絡信息，2012，（5）：84-86.

［4］王率.網絡欺騙和嗅探技術研究［J］.網絡安全技術與應用，2013，（9）：88-89.

［5］周海濤.網絡欺騙技術［J］.網絡安全技術與應用，2005，（12）：22-23.

［6］蔡林.網絡嗅探技術在信息安全中的應用［J］.計算機時代，2008，（6）：16-18.

［7］張健，李煥洲.網絡嗅探原理及其檢測和預防［J］.四川師范大學學報（自然科學版），2003，26（1）：91-92.

［8］田友同，解傳軍，趙莉.網絡嗅探技術淺析［J］.網絡安全技術與應用，2008，（4）：33-34.

【責任編輯 牛懷崗】

Research on Network Cheating and Sniff Technologies

WEI Qiang
（Editorial Department，Shaanxi University of Technology，Hanzhong 723000，China）

In the internet age，more and more computer network technologies are widely used in the world，which have changed our life a lot.However，with the development of network technology，network information safety has become the focus of public concern.In this paper，based on the analysis of the principle and technology used in computer network cheating，some new ideas are contributed on how to use sniffer technology to prevent and detect and reduce network cheating.

computer；information safety；network cheating；sniff technologies

TP393；TN915.08

A

1009-5128（2014）19-0044-05

2014-08-21

魏強（1975—），男，陜西西鄉人，陜西理工學院學報編輯部編輯，西南科技大學計算機科學與技術學院碩士研究生，主要從事學術期刊編輯與傳播、網絡信息安全技術研究.