一、監(jiān)聽原理

　　監(jiān)聽又稱嗅探，指在局域網(wǎng)內(nèi)的一臺主機、網(wǎng)關(guān)上放入監(jiān)聽程序，從而可以監(jiān)聽出網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及傳輸數(shù)據(jù)的信息。以太網(wǎng)協(xié)議的工作方式為將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機，在包頭中包括著應(yīng)該接收數(shù)據(jù)包的主機的正確地址。因此，只有與數(shù)據(jù)包中目標地址一致的那臺主機才能接收數(shù)據(jù)包，但是主機在監(jiān)聽模式(即混雜模式)下，無論數(shù)據(jù)包中的目標物理地址是什么，主機都將接收(只有在同一網(wǎng)段內(nèi)才可以進行監(jiān)聽，也就是說一臺計算機只能監(jiān)聽經(jīng)過自己網(wǎng)絡(luò)接口的那些信息包，不是同一網(wǎng)段的數(shù)據(jù)包，在網(wǎng)關(guān)就被濾掉了)。在通常條件下，用戶的所有信息，包括帳號和密碼都是以明文的方式在網(wǎng)絡(luò)上傳輸?shù)摹?/p>

　　二、局域網(wǎng)服務(wù)器防嗅探

　　1、對于FTP的嗅探和防范

　　(1).嗅探測試

　　在企業(yè)環(huán)境下FTP服務(wù)器是非常普遍的，它滿足了用戶文件的存儲和彼此間的共享和交流。但是FTP信息默認是以明文的形式在網(wǎng)絡(luò)中傳輸，因此內(nèi)網(wǎng)攻擊者可以通過嗅探技術(shù)進行監(jiān)聽，從而獲取用戶的FTP帳戶和密碼，然后實施進一步的入侵獲取信息。

　　下面我們做個簡單的測試：A、B兩臺計算機同屬于一個子網(wǎng)，攻擊者在A計算機上安裝了sniffer進行局域網(wǎng)的監(jiān)聽嗅探。一員工在B計算機訪問公司的FTP服務(wù)器，登錄FTP時使用自己的用戶名和密碼。當(dāng)B計算機登錄FTP后，A計算機的攻擊者也就獲得了該員工的FTP帳戶和密碼。試想，如果攻擊者獲得是FTP管理員的帳戶和密碼那整個FTP服務(wù)器不也就被它控制了嗎?

圖1

　　(2).防范措施

 

　　我們看到FTP的帳戶、密碼之所以被嗅探獲取是因為它是明文傳輸?shù)模虼宋覀兛梢酝ㄟ^對其數(shù)據(jù)進行加密來防范。數(shù)據(jù)被加密后雖然可以被嗅探到，但由于嗅探到的是亂碼因此無法被利用。筆者就以最常用的Serv-U搭建的FTP為例進行演示設(shè)置對數(shù)據(jù)的加密。

　　第一步：創(chuàng)建SSL證書。在“Serv-U管理員”窗口中，展開“本地服務(wù)器→設(shè)置”選項，然后切換到“SSL證書”標簽頁。在“普通名稱”欄中輸入FTP服務(wù)器的IP地址，接著其它欄目的內(nèi)容，如電子郵件、組織和單位等，根據(jù)用戶的情況進行填寫。完成SSL證書標簽頁中所有內(nèi)容的填寫后，點擊下方的“應(yīng)用”按鈕即可，這時Serv-U就會生成一個新的SSL證書。

圖2

　　第二步：啟用SSL證書。要啟用Serv-U服務(wù)器中域名為“ftp”的SSL功能。在“Serv-U管理員”窗口中，依次展開“本地服務(wù)器→域→ftp”選項。在右側(cè)的“域”管理框中找到“安全性”下拉列表選項。這里Serv-U提供了3種選項，分別是“僅僅規(guī)則FTP，無SSL/TLS進程”、“允許SSL/TLS和規(guī)則進程”、“只允許SSL/TLS進程”，默認情況下，Serv-U使用的是“僅僅規(guī)則FTP，無SSL/TLS進程”，因此是沒有啟用SSL加密功能的。在“安全性”下拉選項框種選擇“只允許SSL/TLS進程”選項，然后點擊“應(yīng)用”按鈕，即可啟用softer域的SSL功能。

#p#副標題#e#

　　這樣，所有的FTP信息都是加密的再也不用怕嗅探監(jiān)聽了。不過需要注意的是，啟用了SSL功能后，Serv-U服務(wù)器使用的默認端口號就不再是“21”了而是“990”了，登錄FTP服務(wù)器是可以通過Flash FXP這樣的工具進行登錄。

 

圖4

　　2、Web的防嗅探

　　Web也是企業(yè)中重要的網(wǎng)絡(luò)服務(wù)，和FTP類似Web數(shù)據(jù)也是以明文的形式傳輸?shù)模瑯涌杀还粽咝崽降玫健Ｈ绻还粽咝崽降玫絎eb站點的后臺帳戶、密碼那Web服務(wù)器就岌岌可危了。我們同樣可以通過SSL對Web進行加密來防嗅探。

　　(1).生成證書申請

　　運行IIS管理器，展開Web服務(wù)器名選擇要安裝證書的Web站點，右鍵單擊該Web站點，選擇“屬性”點擊“目錄安全性”選項卡，單擊“安全通信”中的“服務(wù)器證書”按鈕，啟動 Web 服務(wù)器證書向?qū)А螕?ldquo;下一步”跳過歡迎對話框，點選“創(chuàng)建一個新證書”，單擊“下一步”出現(xiàn)一個對話框，選擇“現(xiàn)在準備申請，但稍后發(fā)送”，然后根據(jù)向?qū)л斎雽嶋H情況輸入“單位”、“部門”、“國家”等信息。在“證書請求文件名”窗口選擇證書文件保存的位置，最后一路完成證書的申請。

圖5

#p#副標題#e#

　　(2).提交證書申請

 

　　用“記事本”打開在前面的過程中生成的證書文件，將它的整個內(nèi)容復(fù)制到剪貼板。啟動Internet Explorer瀏覽器，正在地址欄中輸入http://hostname/CertSrv格式的URL地址，其中hostname是運行Microsoft 證書服務(wù)的計算機的名稱。 單擊“申請一個證書”，在“選擇一個證書類型”下單擊“高級證書申請”，在打開的頁面中選擇點擊“使用 base64 編碼的 CMC 或 PKCS #10 文件提交 一個證書申請，或使用 base64 編碼的 PKCS #7 文件續(xù)訂證書申請。”，在“提交一個保存的申請”頁中，將剛才復(fù)制的內(nèi)容粘貼到“Base64 編碼的證書申請(PKCS #10 或 #7)”右側(cè)的文本框中在“證書模板”組合框中，最后單擊“提交”按鈕即可。

圖6

　　(3).頒發(fā)證書

　　從“開始→管理工具”程序組中啟動“證書頒發(fā)機構(gòu)”工具，展開的“證書頒發(fā)機構(gòu)”，然后選擇“掛起的申請”文件夾。選擇剛才提交的證書申請，在“操作”菜單中，指向“所有任務(wù)”，然后單擊“頒發(fā)”，確認該證書顯示在“頒發(fā)的證書”文件夾中，然后雙擊查看它。在“詳細信息”選項卡中，單擊“復(fù)制到文件”，在文件格式中選擇“Base-64編碼的 X.509”，最后根據(jù)向?qū)瓿勺C書的頒發(fā)和導(dǎo)出。

圖7

　　(4).安裝證書

　　啟動IIS管理器，展開服務(wù)器名稱，選擇要安裝證書的Web站點右鍵單擊該Web站點，選擇“屬性”單擊“目錄安全性”選項卡。點擊“服務(wù)器證書”啟動 Web 服務(wù)器證書向?qū)А螕?ldquo;處理掛起的申請并安裝證書”，然后單擊“下一步”在“路徑和文件名”下的文本框中輸入剛才導(dǎo)出的證書文件名，也可以點擊“瀏覽”按鈕定位到該證書文件，單擊“下一步”可以看到網(wǎng)站默認使用的SSL端口是443，我們保存默認一路“下一步”完成證書的安裝。

圖8

　　返回“目錄安全性”選項卡，單擊“安全通信”下的“編輯”按鈕勾選其中的“要求安全通道(SSL)”，根據(jù)安全需要可以勾選“要求128位加密”。至此我們就完成了SSL加密站點的配置工作，客戶端訪問服務(wù)器的IIS網(wǎng)站時所瀏覽的信息是通過加密的，就是被惡意嗅探看到的也只是加密信息。

圖9

#p#副標題#e#

　　(5).瀏覽SSL加密站點

 

　　在訪問通過SSL加密的站點時所輸入的地址應(yīng)該以https://開頭，例如本文中應(yīng)該使用https://192.168.1.10。如果仍然那使用http://192.168.1.10則會出現(xiàn)“該網(wǎng)頁必須通過安全頻道查看，您要查看的網(wǎng)頁要求在地址中使用"https"。禁止訪問：要求SSL”的提示。服務(wù)器上設(shè)置完SSL加密站點功能后我們在客戶機上通過瀏覽器訪問該站點時就會彈出一個“安全警報”窗口。只有信任該證書后才能夠正常瀏覽網(wǎng)站信息。這樣在客戶端嗅探與Web服務(wù)器之間的通信都是經(jīng)過加密的，這樣有效杜絕了從嗅探開始的滲透入侵。

圖10

　　三、綜合防范措施

　　當(dāng)然，局域網(wǎng)中除了各種服務(wù)器之外，更多的是客戶端主機。對于嗅探我們除了防范之外，定位嗅探主機也非常重要。

　　1. 嗅探檢測

　　(1).Ping測試。對于懷疑運行監(jiān)聽程序的機器，用正確的IP地址和錯誤的物理地址ping，運行監(jiān)聽程序的機器會有響應(yīng)，這是因為正常的機器不接收錯誤的物理地址，處理監(jiān)聽狀態(tài)的機器能接收。據(jù)此我們可以判斷該主機是否是監(jiān)聽主機。

　　(2).包測試。向網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序要分析和處理大量的數(shù)據(jù)包會占用很多的CPU資源，這將導(dǎo)致性能下降，我們可以通過比較前后該機器性能加以判斷。我們可以利用網(wǎng)絡(luò)分析工具來構(gòu)造測試包，然后在局域網(wǎng)中發(fā)送讓嗅探主機崩潰。

圖11

　　(3).專門工具。使用反監(jiān)聽工具如antisniffer等進行檢測

#p#副標題#e#

　　2. 優(yōu)化網(wǎng)絡(luò)拓撲杜絕嗅探

 

　　(1).網(wǎng)絡(luò)分段

　　網(wǎng)絡(luò)分段通常被認為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實也是保證網(wǎng)絡(luò)安全的一項措施。其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法監(jiān)聽。

　　(2).使用交換式集線器

　　對局域網(wǎng)的中心交換機進行網(wǎng)絡(luò)分段后，局域網(wǎng)監(jiān)聽的危險仍然存在。這是因為網(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機進行數(shù)據(jù)通信時，兩臺機器之間的數(shù)據(jù)包還是會被同一臺集線器上的其他用戶所監(jiān)聽。

　　因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點之間傳送，從而防止非法監(jiān)聽。當(dāng)然，交換式集線器只能控制單播包而無法控制廣播包和多播包。但廣播包和多播包內(nèi)的關(guān)鍵信息，要遠遠少于單播包。

　　(3).劃分VLAN

　　運用VLAN(虛擬局域網(wǎng))技術(shù)，將以太網(wǎng)通信變?yōu)辄c到點通信，可以防止大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵。 一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺計算機有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性，也有效地防范了嗅探攻擊。

圖12

　　總結(jié)：嗅探是一柄“雙刃劍”，入侵者通過它獲取網(wǎng)絡(luò)中的敏感信息然后實施攻擊，當(dāng)然我也可以利用嗅探技術(shù)進行反嗅探捕獲入侵者。作為網(wǎng)絡(luò)管理員只有了解嗅探的原理，掌握必要的防嗅探技術(shù)才有可能在嗅探與反嗅探的斗爭中掌握主動權(quán)取得最后的勝利。