网络与信息安全 第3章 网络监听及防御技术 1 沈超 刘烃 自动化科学与技术系 西安交通大学电子与信息工程院 2019/5/13 网络与信息安全 第3章 网络监听及防御技术 沈超 刘烃 自动化科学与技术系 西安交通大学电子与信息工程院 tingliu@mail.xjtu.edu.cn chaoshen@mail.xjtu.edu.cn 1 部分来源：国家计算机网络入侵防范中心，张玉清

内容介绍 3.1 网络监听概述 3.2 监听技术 3.3 监听的防御 3.4 小结 3.1 网络监听概述 3.2 监听技术 2019/5/13 网络入侵与防范讲义

2019/5/13 网络入侵与防范讲义

案例：观察登录BBS过程 设置网卡 如果有多个网络接口（网卡），首先在Capture Options中设置在哪个网络接口上抓包。勾选Capture packets in promiscuous mode选项，将网卡设置成混杂模式。 2019/5/13 网络入侵与防范讲义

案例：观察登录BBS过程 设置过滤条件：捕获前过滤 2019/5/13 网络入侵与防范讲义

案例：观察登录BBS过程 设置过滤条件：捕获后过滤 如果Filter框背景显示为绿色，说明所设定的过滤规则合乎Wireshark支持的语法规则。 如果Filter框背景显示为红色，说明所设定的过滤规则不符合语法规则。 2019/5/13 网络入侵与防范讲义

案例：观察登录BBS过程 主机向服 务器发送 的POST 请求 登录BBS的用户名和密码 2019/5/13 网络入侵与防范讲义

3.3 监听的防御 3.3.1 通用策略 3.3.2 共享网络下的防监听 3.3.3 交换网络下的防监听 2019/5/13 网络入侵与防范讲义

3.3.1 通用策略 由于嗅探器是一种被动攻击技术，因此非常难以被发现。 完全主动的解决方案很难找到并且因网络类型而有一些差异，但我们可以先采用一些被动但却是通用的防御措施。 这主要包括采用安全的网络拓扑结构和数据加密技术两方面。此外要注意重点区域的安全防范。 2019/5/13 网络入侵与防范讲义

安全的拓扑结构 网络分段越细，嗅探器能够收集的信息就越少。 网络分段：将网络分成一些小的网络，每一个网段的集线器被连接到一个交换器 (Switch) 上，所以数据包只能在该网段的内部被网络监听器截获，这样网络的剩余部分（不在同一网段）便被保护了。网络有三种网络设备是嗅探器不可能跨过的：交换机、路由器、网桥。我们可以通过灵活的运用这些设备来进行网络分段。 划分VLAN：使得网络隔离不必要的数据传送，一般可以采用20个工作站为一组，这是一个比较合理的数字。网络分段只适应于中小的网络。网络分段需要昂贵的硬件设备。 （1）安全的拓扑结构 嗅探器只能在当前网络段上进行数据捕获。这就意味着，将网络分段工作进行得越细，嗅探器能够收集的信息就越少。但是，除非你的公司是一个ISP，或者资源相对不受限制，否则这样的解决方案需要很大的代价。网络分段需要昂贵的硬件设备。有三种网络设备是嗅探器不可能跨过的：交换机、路由器、网桥。我们可以通过灵活的运用这些设备来进行网络分段。大多数早期建立的内部网络都使用HUB集线器来连接多台工作站，这就为网络中数据的泛播(数据向所有工作站流通)，让嗅探器能顺利地工作提供了便利。普通的嗅探器程序只是简单地进行数据的捕获，因此需要杜绝网络数据的泛播。 随着交换机的价格下降，网络改造变得可行且很必要了。不使用HUB而用交换机来连接网络，就能有效地避免数据进行泛播，也就是避免让一个工作站接收任何非与之相关的数据。 对网络进行分段，比如在交换机上设置VLAN，使得网络隔离不必要的数据传送。一般可以采用20个工作站为一组，这是一个比较合理的数字。然后，每个月人为地对每段进行检测(也可以每个月采用MD5随机地对某个段进行检测)。网络分段只适应于中小的网络。如果有一个500个工作站的网络，分布在50个以上的部门中，那么完全的分段的成本上是很高的。 2019/5/13 网络入侵与防范讲义

数据加密 数据通道加密：正常的数据都是通过事先建立的通道进行传输的，以往许多应用协议中明文传输的账号、口令的敏感信息将受到严密保护。目前的数据加密通道方式主要有SSH 、SSL(Secure Socket Layer，安全套接字应用层)和VPN。 数据内容加密：主要采用的是将目前被证实的较为可靠的加密机制对对互联网上传输的邮件和文件进行加密。如PGP(Pretty Good Privacy)等。 2019/5/13 网络入侵与防范讲义

3.3 监听的防御 3.3.1 通用策略 3.3.2 共享网络下的防监听 3.3.3 交换网络下的防监听 2019/5/13 网络入侵与防范讲义

3.3.2 共享网络下的防监听 虽然共享式局域网中的嗅探很隐蔽，但也有一些方法来帮助判断： 检测技术 检测处于混杂模式的网卡 网络通讯丢包率非常高 检测技术 网络和主机响应时间测试 ARP检测（如AntiSniff 工具） 2019/5/13 网络入侵与防范讲义

3.3.2 共享网络下的防监听 1. 网络和主机响应时间测试 这种检测已被证明是最有效的，它能够发现网络中处于监听模式的机器，而不管其操作系统是什么。 2019/5/13 网络入侵与防范讲义

3.3.2 共享网络下的防监听 1. 网络和主机响应时间测试 测试原理是处于非监听模式的网卡提供了硬件底层过滤机制，即目标地址为非本地(广播地址除外)的数据包将被网卡所丢弃。 这种情况下骤然增加目标地址不是本地的网络通讯流量对操作系统的影响很小。 而处于混杂模式下的机器则缺乏底层的过滤，骤然增加目标地址不是本地的网络通讯流量会对该机器造成较明显的影响(不同的操作系统/内核/用户方式会有不同)。 2019/5/13 网络入侵与防范讲义

3.3.2 共享网络下的防监听 1. 网络和主机响应时间测试 实现方法是利用ICMP ECHO请求及响应计算出需要检测机器的响应时间基准和平均值。 在得到这个数据后，立刻向本地网络发送大量的伪造数据包，与此同时再次发送测试数据包以确定平均响应时间的变化值。 非监听模式的机器的响应时间变化量会很小，而监听模式的机器的响应时间变化量则通常会有1～4个数量级。 2019/5/13 网络入侵与防范讲义

3.3.2 共享网络下的防监听 2. ARP检测 地址解析协议(Address Resolution Protocol, ARP)请求报文用来查询硬件地址到IP地址的解析。适用于所有基于以太网的IPV4协议。 我们可以使用这类分组来校验网卡是否被设置为混杂模式。 2019/5/13 网络入侵与防范讲义

3.3.2 共享网络下的防监听 2. ARP检测 在混杂模式下，网卡不会阻塞目的地址不是自己的分组，而是照单全收，并将其传送给系统内核。然后，系统内核会返回包含错误信息的报文。 基于这种机制，我们可以假造一些ARP请求报文发送到网络上的各个节点，没有处于混杂模式的网卡会阻塞这些报文，但是如果某些节点有回应，就表示这些节点的网卡处于混杂模式下。这些处于混杂模式的节点就可能运行嗅探器程序。 2019/5/13 网络入侵与防范讲义

3.3.2 共享网络下的防监听 ARP检测原理 例如：网络上一台IP地址为192.168.1.1的PC(X)以太网地址是00-00-00-00-00-01，这台PC(X)需要向网络上另外一台IP地址为192.168.1.10的PC(Y)发送消息。 2019/5/13 网络入侵与防范讲义

ARP检测原理(1) 在发送之前，X首先发出一个ARP请求包查询192.168.1.10对应的以太网地址。查询包的目的地址被设置为FF-FF-FF-FF-FF-FF(广播)，从而本地网络上的所有节点都可以收到这个包。 收到之后，每个节点会检查这个ARP包查询的IP地址和本机的IP地址是否匹配。如果不同，就忽略这个ARP包；如果匹配(Y)就向X发出应答。 X收到应答之后就缓存Y的IP/硬件地址。然后，X就可以向Y发送实际的数据。 2019/5/13 网络入侵与防范讲义

ARP检测原理(2) 进一步设想，如果我们把这个查询包的目的地址(以太网地址)设置为另外的地址,而不是原来的广播地址又将如何？ 2019/5/13 网络入侵与防范讲义

ARP检测原理(3) 例如：我们把查询包的目的地址设置为00-00-00-00-00-01会发生什么？ 处于正常模式下网络节点的以太网卡会认为这个查询包是发往其它主机的，其硬件过滤器会拒绝接收这个包；然而，如果这个网络节点(192.168.1.10)的以太网卡处于混杂模式(promiscuous mode)下，那么即使以太网地址不匹配，其硬件过滤器也不进行任何过滤，从而使这个查询包能够进入到系统的内核。 因为这个节点的IP地址和查询包的要查询IP地址相同，其内核就会认为ARP查询包到达，应该作出应答。 2019/5/13 网络入侵与防范讲义

ARP检测原理(4) 所以这个方法并不是完全奏效，但是此方法简单实用。 这是因为这个包被系统内核过滤掉了。在这里我们把这叫作软件过滤器。 所以这个方法并不是完全奏效，但是此方法简单实用。 2019/5/13 网络入侵与防范讲义

ARP检测原理(5) 概括地说，我们可以通过区别硬件过滤器和软件过滤器的不同特征来检测处于混杂模式的网络节点。我们需要构造应该被硬件过滤器阻塞，但是却能够通过软件过滤器的报文。如果把这种报文送到各个网络节点，那么处于普通模式下的网络节点将不做应答；而处于混杂模式的节点会进行应答。 2019/5/13 网络入侵与防范讲义

3.3 监听的防御 3.3.1 通用策略 3.3.2 共享网络下的防监听 3.3.3 交换网络下的防监听 2019/5/13 网络入侵与防范讲义

3.3.3 交换网络下的防监听 交换网络下防监听，主要要防止ARP过载。ARP过载 是指通过发送大量ARP数据包使得交换设备出现信息 过载，工作于广播模式。 交换网络下防范监听的措施主要包括： 不要把网络安全信任关系建立在单一的IP或MAC基础上，理 想的关系应该建立在IP-MAC对应关系的基础上。 使用静态的ARP或者IP-MAC对应表代替动态的ARP或者IP- MAC对应表，禁止自动更新，使用手动更新。 定期检查ARP请求，使用ARP监视工具，例如ARPWatch等监 视并探测ARP欺骗。 制定良好的安全管理策略，加强用户安全意识。 2019/5/13 网络入侵与防范讲义

3.4 小结 最普遍同时也是最致命的安全威胁往往来自内 部，其破坏性也远大于外部威胁。 其中网络嗅探对于一般的网络来说，威胁巨大。 因此很多黑客也使用嗅探器进行网络入侵渗透。 网络嗅探器对信息安全的威胁来自其被动性和非 干扰性，使得网络嗅探具有很强的隐蔽性，往往让网 络信息泄密变得不容易被发现。 本节课分析了网络嗅探的原理，并提出一些防范 措施。但对于用户而言除了技术手段以外，最重要的 还是建立相应的安全意识，注意对隐私信息的加密保 护。 2019/5/13 网络入侵与防范讲义

谢谢各位！ 2019/5/13 网络入侵与防范讲义