百度一下 藏锋者 就能快速找到本站! 每日资讯归档 下载藏锋者到桌面一键访问

当前位置:主页 > 网络安全 > 网络嗅探(sniffer)的检测和发现

网络嗅探(sniffer)的检测和发现

所在栏目:网络安全 时间:06-01 09:12 分享:

网络嗅探以前是很难被发现的。运行网络嗅探的主机只是被动地接收在局域网上传输的信息,并没有主动的行动。既不会与其他主机交换信息,也不能修改在网上传输的信包。这一切决定了网络嗅探(sniffer)的检测是非常困难的。

注意网速

当系统运行网络监听软件时,系统因为负荷过重,因此对外界的响应很慢。但也不能因为一个系统响应过慢而怀疑其正在运行网络监听软件。

主机搜索

一个看起来可行的检查监听程序的办法是搜索所有主机上运行的进程,当然,这几乎是不可能的,因为我们很难同时检查所有主机上的进程。但是至少管理员可以确定是否有一个进程被从管理员机器上启动。对于检查运行进程这种方法,那些使用DOS,WindowsforWorkgroup或者Windows95的机器很难做到这一点,而使用UNIX和WindowsNT的机器可以很容易地得到当前进程的清单。

在UNIX下,可以用以下命令:ps-aun或ps-augx这个命令产生一个包括所有进程的清单———进程的属主、这些进程占用的CPU时间以及占用的内存等等。这些输出在Stdout上,以标准表的形式输出。如果一个进程正在运行,它就会被列在这张清单中。

然而,如果黑客修改了PS命令,则也是很难被发现的。能够运行网络监听软件,说明该黑客已经具有了超级的用户的权限,他可以修改任何系统命令文件,来掩盖自己的行踪。其实修改PS命令只须短短数条Shell命令,将监听软件的名字过滤掉即可。

软件监测

1)Ifstatus是一个运行在Unix下的工具,它可以识别出网络接口是否正处于调试状态下或者是在监听状态下。要是网络接口运行在这样的模式之下,那么很有可能正在受到监听程序的攻击。Ifstatus一般情况下不会产生任何输出的,当它检测到网络的接口处于监听模式下的时候才会输出。管理员可以将系统的cron参数设置成定期运行Ifstatus,如果有好的cron进程的话可以将它产生的输出用mail发送给正在执行cron任务的人,要实现可以在crontab目录下加usrlocaletcifstatus一行参数。这样不行的话还可以用一个脚本程序在crontab下加00usrlocaletcrun-ifstatus。

2)一般来讲,人们真正关心的是那些秘密数据(例如用户名和口令)的传输不被监听和偷换。如果这些信息是以明文的形式传输的,这就很容易被截获而且阅读出来。这个问题的解决方法是很简单的,而且效率很高。加密是一个很好的办法,有一个产品叫做SecureShell,或者叫SSH。SSH是一种在像Telnet那样的应用环境中提供保密通讯的协议,它实现了一个密钥交换协议,以及主机及客户端认证协议。提供Internet上的安全加密通讯方式和在不安全信道上很强的认证和安全通讯功能。它像许多协议一样,是建立在客户服务器模型之上的,SSH绑定的端口号是非SSH完全排除了在不安全的信道上通讯的信息,被监听的可能性使用到了RAS算法,在授权过程结束之后,所有的传输都用IDEA技术加密。

在很长一段时间内,SSH被作为主要的通讯协议,因为它利用加密提供了通信的安全。但是在1996年,这种情况发生了变化。SSH成立了一个数据流的联盟F-SSH,提供了高水平、多级别的加密算法,它针对一般利用TCPIP进行的公共传输提供了更加有力的加密算法。如果用户使用了这样的产品,即使存在着监听,它得到的信息也是毫无意义的。

作为工具使用的SSH允许其用户安全地登录到远程主机上执行命令或传输文件。它是作为rlogin\rsh\rcp和rdist这些系统程序的替代而开发的,可以很好地运行在任何使用TCPIP协议的主机上。

SSH软件包提供如下一些工具:Sdd运行于UNIX服务器主机上的服务程序。它监听来自客户主机的链接请求,当接收到一个链接请求,它就进行认证,并开始对客户端进行服务。

Shh客户程序,用来登录到其他主机去,或者在其他主机上执行命令,Slogin是这一程序的另一个名字。

Scp用来安全地将文件从一台主机拷贝到另一台主机上。

其他防范嗅探的方法

一般能够接受的击败网络监听的方法是使用安全的拓扑结构。这种技术通常被称为分段技术。将网络分成一些小的网络,每一网段的集线器被连接到一个交换器上(Switch)。因为网段是硬件连接的,因而包只能在该子网的网段内被监听工具截获。这样,网络中剩余的部分(在不同一网段的部分)就被保护了。

用户也可以使用网桥或者路由器来进行分段。这可能更加合适一些,这取决于网络的结构和财力。实际上,一台旧的PCA工作站,可以被用作网桥式路由器。

将数据隐藏,使嗅探器无法发现对于一般用户惟一能做的就是加密,你最关心的可能是传输一些比较敏感的数据,如用户ID或口令或内容等等。有些数据是没有经过处理的,一旦被监听,就能获得这些信息。解决这些问题的办法是加密。目前有许多软件包可用于加密连接,从而即使捕获到数据,也因无法将数据解密而失去窃听的意义。

网络嗅探(sniffer)的检测和发现 免费邮件订阅: 邮件订阅

图片推荐

热点排行榜

CopyRight? 2013 www.cangfengzhe.com All rights reserved