網絡攻擊之嗅探攻擊的原理及仿真實現

張 蕾

(云南大學職業與繼續教育學院，云南 昆明 650091)

0 引言

網絡時代的到來，無論是個人敏感信息還是商業機密，大多都存儲在了計算機網絡中，這樣就對網絡信息存儲安全提出了更高的要求。而嗅探攻擊技術的使用，可給數據的快速獲取提供技術支持，但是同時也會給信息安全造成一定的破壞。因此，應全面地了解嗅探攻擊技術，確保揚長避短，最大化地發揮出其應用價值，降低對網絡信息的破壞。本文就針對網絡攻擊之嗅探攻擊的原理及仿真實現展開具體的分析與討論。

1 網絡攻擊概念與分類

網絡安全威脅主要就是指：在網絡環境下，分布在各個主機上的信息資源受到了安全威脅，存在著一定程度的安全風險，導致信息系統無法正常運轉。因此，一旦信息系統遭受到網絡攻擊，相應的信息系統就會出現崩潰甚至癱瘓的狀況，這樣就導致大量的數據信息泄露或者丟失。而嗅探攻擊作為一種常見的網絡攻擊類型，就應做好對其的防范，避免造成更大的經濟損失。而網絡攻擊一般都具備較強的目的性，其攻擊的目的主要就是為了破壞網絡中的各項數據信息，造成數據信息的泄露，甚至破壞整個系統的運行狀況[1]。此外，針對網絡攻擊而言，其一般可分為：主動攻擊和被動攻擊兩種類型。其中，主動攻擊可以改變網絡中信息的狀態，并且可破壞信息的完整性、保密性和可用性，對于網絡的破壞影響較大。欺騙攻擊就是一種常見的額主動攻擊類型，其在攻擊網絡時主要就是根據錯誤的信息來誤導數據的傳輸，進而就對用戶或者資源發起攻擊。而被動攻擊較主動攻擊不同的是：其不會直接攻擊網絡狀態或者網絡信息，故一般只會破壞網絡信息的保密性。其中，嗅探攻擊就屬于一種典型的被動攻擊類型，其在攻擊時，只會復制網絡信息，但是并不會直接改變信息的狀態。因此，做好網絡攻擊的防護工作，對于有效地保護網絡安全是十分必要的[2]。

2 嗅探攻擊的概念及原理

做好嗅探攻擊概念及原理的分析與研究工作，就能在一定程度上有效地幫助我們全面了解嗅探攻擊，確保能夠有效地增強網絡的邊界，來實現對網絡應用的合理保護，確保保障網絡信息安全。下面，針對嗅探攻擊的概念及原理展開具體的分析與討論。

2.1 嗅探攻擊的概念

嗅探器是嗅探攻擊技術常用的一種設備，其可以實時地監測網絡運行狀態，當在大量的信息中發現到可用且有價值的信息時，其就開始進行竊取。因此，網絡黑客經常將嗅探器作為網絡攻擊的主要武器，來竊聽網絡上的數據信息。因此，及時地發現嗅探攻擊，對于保護網絡信息安全是至關重要的。其中，當發現網絡通信的丟包率較高時，就可判斷有人監聽，這主要是由于數據包遭受嗅探器攔截所導致的。此外，當發現寬帶出現異常時，也能在一定程度上推斷有相應的機器在監聽網絡的運行狀態。因此，就可實時地監測網絡運行狀態，確保根據其運行狀況來判斷嗅探器是否存在，以此也就能實現對數據信息的合理保護[3]。

2.2 嗅探攻擊的原理

信息的交互需要建立一條信息傳輸的通道，通過該通道發送方將數據信息發送至接收方。而嗅探攻擊的工作原理則與信息傳輸原理大致相同，但是不同的是，信息不僅由發送方傳至接收方，而且還會沿著終端至黑客終端的路徑進行傳輸，且終端至黑客終端的發送對于發送方和接收方而言都是完全透明的。其中，集線器作為一種廣播設備，當其從某個端口接收到MAC幀以后，不僅要接收MAC幀的端口，而且還需要將MAC幀傳輸至其他端口。因此，當集線器接收到MAC幀后，就會沿著路由器至黑客這條路徑將MAC幀輸出，這樣就極易造成數據的泄露，以此也就達到了網絡嗅探的目的。其中，當網絡遭受到嗅探攻擊之后，數據信息就會遭到泄露，此時黑客就可實現對信息的惡意篡改。當黑客持續收取到信息后，其就會將信息發送到目的終端，或者加強信息發送的頻次，以此來增強對網絡攻擊的次數，這樣就會給整個網絡系統造成更大的損害[4]。

3 網絡攻擊之嗅探攻擊的仿真實現

3.1 仿真過程

交換機將終端A與終端B連接在了一起，而交換機又與路由器相連。這樣當終端A通過交換機向終端B發送MAC幀后，其必須通過路由器才能實現數據的互通和共享。倘若黑客想要通過嗅探攻擊來竊取系統中的信息時，就可在路由器和交換機之間插入相應的集線器，并將集線器連接至黑客的一端，這樣黑客一端就能實現對數據信息的收集[5]。

3.2 仿真實驗步驟

在進行具體的嗅探攻擊仿真實驗時，應首先采用直通線將終端A與終端B連接起來，并連接至交換機和相對應的端口上，進而再將交換機與路由器進行相連。其中，在終端A上應進行IP地址網絡信息的配置，并輸入正確的子網掩碼。對于終端B，同樣地也應在相應的配置窗口中，設置相對應的IP地址，以此就能實現終端A與終端B信息的互通，確保兩者之間可以實現數據的交互。此外，在路由器上還應設置相對應的接口，使其IP地址與終端A和終端B默認的網關地址相同。當終端A與終端B完成路由器接口的配置后，就應選擇相應的報文工具，來檢測終端A與終端B的互通性，確保兩者之間能夠實現數據的傳輸與共享。為了模擬嗅探攻擊的場景，還應在原有的架構圖中增加集線器和黑客終端兩種設備，并將其設置到對應的集線器上。此外，應注意的是：應將過濾窗口的報文類型設置為ICMP，這樣就能保證所添加的集線器和黑客終端對于終端A和終端B是透明的。通過以上操作，就能有效地模擬嗅探攻擊，這對我們有效地防范網絡攻擊是十分必要的[6]。

4 網絡嗅探攻擊的主要應對措施

4.1 劃分子網

針對當前所使用的網絡嗅探攻擊技術而言，其大多都是在一個子網下面來完成網絡嗅探的分析工作，這樣就給嗅探攻擊工作的展開造成了一定的難度。其中，對于在不同子網中工作的主機而言，其所存在的IP地址不同，故就要對其進行相應的前綴匹配等操作，不能直接運用MAC廣播幀的方式來實現數據的轉發與傳遞，否則就無法實現數據的共通。因此，針對網絡嗅探攻擊，首先就應做好子網的劃分，確保將內部的組織網絡合理的劃分，以此才能有效地避免嗅探攻擊事件的發生，才能有效地保障網絡系統的穩定運行[7]。

4.2 加大網絡流量的監控力度

在嗅探攻擊模式下，終端A可將數據傳至黑客端，并且嗅探器可以監視到系統流量以及數據的使用情況，對于所要捕獲的數據可以做到隨時獲取，這樣就大大增大了數據存儲以及轉發的危險性。因此，為了實現對數據信息的合理保護，就應加大對網絡流量的監控力度，一旦發現網絡流量存在異常情況，應及時查明原因，判斷其是否由嗅探攻擊引起。此外，嗅探器還會接收來自同一網絡的所有數據幀，這樣就導致其會占用大量的寬帶。因此，在檢測網絡系統是否出現異常時，就可根據網絡流量的大小來衡量其是否存在嗅探器，一旦發現應立即采取相應的防范措施，避免遭受更大的損失。

4.3 數據加密

數據加密也是應對嗅探攻擊的一種主要方式，通過增加數據的保密性，就能減少數據被泄露以及被竊取的風險。其中，針對網絡協議而言，其最初的設計是為了增強數據包傳遞的方便性和快捷性，但是對于數據傳遞的安全性卻有所忽略，這樣就導致在網絡中傳遞的大部分數據包都是以明文的形式存在的，以此也就增大了其遭受泄露的風險。因此，為了避免數據包在傳遞時出現泄露，在數據傳輸之前，就應采取加密操作，這樣嗅探器就無法獲取到數據包中用戶的信息，以此也就達到了保障用戶信息安全的目的。

4.4 “誘騙—暴露”策略

嗅探器在進行數據嗅探時，首先會將自己的網卡模式設置為“混雜模式”，這樣嗅探器就能在一定程度上接收到來自同一網段上的所有MAC幀，進而接收這些MAC幀，并從中提取各個協議段中的數據，以此也就完成了數據的嗅探功能。基于此種背景下，就可采用“誘騙-暴露”策略來實現對嗅探攻擊的應對。其中，對于嗅探器而言，其只會接收所有的MAC數據幀，但是對于MAC幀是否真實的存在于子網中，卻毫不知情，這樣就給嗅探攻擊的防范提供了契機。因此，就可在子網中發送一個IP地址正確，但是MAC地址錯誤的數據幀，這樣就能有效地檢測出子網中是否真正的存在嗅探器。倘若在檢測的過程中，并未發現存在嗅探器，則就表明所傳遞過來的數據幀并不會被任何主機所接收，相應的也不會收到任何的回應報文。倘若在子網中檢測到了嗅探器，則就意味著數據幀已被捕捉到，此時就可表明存在嗅探器[8]。

5 結語

不斷地研究與分析網絡攻擊之嗅探攻擊的原理及仿真實現，對于有效地保障網絡系統的安全穩定運行，保護用戶的個人隱私不受侵害以及防范網絡嗅探攻擊，避免造成更大的經濟損失都有至關重要的作用。因此，我們應首先認識與了解網絡攻擊概念與分類和嗅探攻擊的概念及原理，進而對網絡攻擊之嗅探攻擊進行仿真實現，以此來從劃分子網、加大網絡流量的監控力度、數據加密以及“誘騙-暴露”策略4個方面來有效的應對嗅探攻擊，確保保障數據信息安全，編織更為安全的網絡邊界防護網，以此就能有效地降低外來攻擊對網絡信息系統的侵害。