關(guān)于局域網(wǎng)環(huán)境下若干安全問(wèn)題及對(duì)策的介紹
關(guān)于局域網(wǎng)環(huán)境下若干安全問(wèn)題及對(duì)策的介紹
今天學(xué)習(xí)啦小編就要跟大家講解下局域網(wǎng)環(huán)境下若干安全問(wèn)題及對(duì)策有哪些,那么對(duì)此感興趣的網(wǎng)友可以多來(lái)了解了解下。下面就是具體內(nèi)容!!!
局域網(wǎng)環(huán)境下若干安全問(wèn)題及對(duì)策
1.當(dāng)前局域網(wǎng)安全形勢(shì)
1.1 計(jì)算機(jī)網(wǎng)絡(luò)的定義
計(jì)算機(jī)網(wǎng)絡(luò),就是利用通信設(shè)備和線路將地理位置不同的、功能獨(dú)立的多個(gè)計(jì)算機(jī)系統(tǒng)互連起來(lái),以功能完善的網(wǎng)絡(luò)軟件(即網(wǎng)絡(luò)通信協(xié)議、信息交換方式和網(wǎng)絡(luò)操作系統(tǒng)等)實(shí)現(xiàn)網(wǎng)絡(luò)中資源共享和信息傳遞的系統(tǒng)。[①]
計(jì)算機(jī)網(wǎng)絡(luò)由通信子網(wǎng)和資源子網(wǎng)兩部分構(gòu)成。通信子網(wǎng)是計(jì)算機(jī)網(wǎng)絡(luò)中負(fù)責(zé)數(shù)據(jù)通信的部分;資源子網(wǎng)是計(jì)算機(jī)網(wǎng)絡(luò)中面向用戶的部分,負(fù)責(zé)全網(wǎng)絡(luò)面向應(yīng)用的數(shù)據(jù)處理工作。就局域網(wǎng)而言,通信子網(wǎng)由網(wǎng)卡、線纜、集線器、中繼器、網(wǎng)橋、路由器、交換機(jī)等設(shè)備和相關(guān)軟件組成。資源子網(wǎng)由連網(wǎng)的服務(wù)器、工作站、共享的打印機(jī)和其它設(shè)備及相關(guān)軟件所組成。
1.2 網(wǎng)絡(luò)安全定義
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。[②]
1.3 局域網(wǎng)安全
局域網(wǎng)的安全主要包括物理安全與邏輯安全。物理安全主要指網(wǎng)絡(luò)硬件的維護(hù)、使用及管理等;邏輯安全是從軟件的角度提出的,主要指數(shù)據(jù)的保密性、完整性、可用性等。
1.3.1 來(lái)自互聯(lián)網(wǎng)的安全威脅
局域網(wǎng)是與Inernet互連的。由于Internet的開(kāi)放性、國(guó)際性與自由性,局域網(wǎng)將面臨更加嚴(yán)重的安全威脅。如果局域網(wǎng)與外部網(wǎng)絡(luò)間沒(méi)有采取一定的安全防護(hù)措施,很容易遭到來(lái)自Internet 黑客的各種攻擊。他們可以通過(guò)嗅探程序來(lái)探測(cè)、掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞,如網(wǎng)絡(luò)I P 地址、應(yīng)用操作系統(tǒng)的類型、開(kāi)放的T C P 端口號(hào)、系統(tǒng)用來(lái)保存用戶名和口令等安全信息的關(guān)鍵文件等,并通過(guò)相應(yīng)攻擊程序進(jìn)行攻擊。他們還可以通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)等手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息,進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄,竊取內(nèi)部網(wǎng)絡(luò)中重要信息。還能通過(guò)發(fā)送大量數(shù)據(jù)包對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊,使得服務(wù)器超負(fù)荷工作導(dǎo)致拒絕服務(wù),甚至使系統(tǒng)癱瘓。
1.3.2 來(lái)自局域網(wǎng)內(nèi)部的安全威脅
內(nèi)部管理人員把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏;內(nèi)部職工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn),利用網(wǎng)絡(luò)開(kāi)些小玩笑,甚至搞破壞。如,泄漏至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫(kù)、刪除數(shù)據(jù)等,這些都將給網(wǎng)絡(luò)造成極大的安全威脅。
1.4 局域網(wǎng)當(dāng)前形勢(shì)及面臨的問(wèn)題
隨著局域網(wǎng)絡(luò)技術(shù)的發(fā)展和社會(huì)信息化進(jìn)程的加快,現(xiàn)在人們的生活、工作、學(xué)習(xí)、娛樂(lè)和交往都已離不開(kāi)計(jì)算機(jī)網(wǎng)絡(luò)。現(xiàn)今,全球網(wǎng)民數(shù)量已接近7億,網(wǎng)絡(luò)已經(jīng)成為生活離不開(kāi)的工具, 經(jīng)濟(jì) 、文化、軍事和社會(huì)活動(dòng)都強(qiáng)烈地依賴于網(wǎng)絡(luò)。網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性、開(kāi)放性和易受攻擊性,決定了網(wǎng)絡(luò)安全威脅的客觀存在。盡管計(jì)算機(jī)網(wǎng)絡(luò)為人們提供了巨大的方便,但是受技術(shù)和社會(huì)因素的各種影響,計(jì)算機(jī)網(wǎng)絡(luò)一直存在著多種安全缺陷。攻擊者經(jīng)常利用這些缺陷,實(shí)施攻擊和入侵,給計(jì)算機(jī)網(wǎng)絡(luò)造成極大的損害網(wǎng)絡(luò)攻擊、病毒傳播、垃圾郵件等迅速增長(zhǎng),利用網(wǎng)絡(luò)進(jìn)行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升,嚴(yán)重影響了網(wǎng)絡(luò)的正常秩序,嚴(yán)重?fù)p害了網(wǎng)民的利益;網(wǎng)上色情、暴力等不良和有害信息的傳播,嚴(yán)重危害了青少年的身心健康。網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性正在成為世界各國(guó)共同關(guān)注的焦點(diǎn)。
根據(jù) 中國(guó) 互聯(lián)網(wǎng)信息中心2006年初發(fā)布的統(tǒng)計(jì)報(bào)告顯示:我國(guó)互聯(lián)網(wǎng)網(wǎng)站近百萬(wàn)家,上網(wǎng)用戶1億多,網(wǎng)民數(shù)和寬帶上網(wǎng)人數(shù)均居全球第二。同時(shí),網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也無(wú)處不在,各種網(wǎng)絡(luò)安全漏洞大量存在和不斷被發(fā)現(xiàn),計(jì)算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重,計(jì)算機(jī)病毒呈現(xiàn)出異?;钴S的態(tài)勢(shì)。面對(duì)網(wǎng)絡(luò)安全的嚴(yán)峻形勢(shì),我國(guó)的網(wǎng)絡(luò)安全保障工作尚處于起步階段,基礎(chǔ)薄弱,水平不高,網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測(cè)、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié),安全防護(hù)能力不僅大大低于美國(guó)、俄羅斯和以色列等信息安全強(qiáng)國(guó),而且排在印度、韓國(guó)之后。在監(jiān)督管理方面缺乏依據(jù)和標(biāo)準(zhǔn),監(jiān)管措施不到位,監(jiān)管體系尚待完善,網(wǎng)絡(luò)信息安全保障制度不健全、責(zé)任不落實(shí)、管理不到位。網(wǎng)絡(luò)信息安全 法律 法規(guī)不夠完善,關(guān)鍵技術(shù)和產(chǎn)品受制于人,網(wǎng)絡(luò)信息安全服務(wù)機(jī)構(gòu)專業(yè)化程度不高,行為不規(guī)范,網(wǎng)絡(luò)安全技術(shù)與管理人才缺乏。
面對(duì)網(wǎng)絡(luò)安全的嚴(yán)峻形勢(shì),如何建設(shè)高質(zhì)量、高穩(wěn)定性、高可靠性的安全網(wǎng)絡(luò)成為通信行業(yè)乃至整個(gè)社會(huì)發(fā)展所要面臨和解決的重大課題。
2.常用局域網(wǎng)的攻擊方法
2.1 ARP欺騙
2.1.1 ARP協(xié)議
ARP(Address Resolution Protocol)是地址解析協(xié)議,是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。ARP具體說(shuō)來(lái)就是將網(wǎng)絡(luò)層(IP層,也就是相當(dāng)于OSI的第三層)地址解析為數(shù)據(jù)連接層(MAC層,也就是相當(dāng)于OSI的第二層)的MAC地址。
ARP原理:某機(jī)器A要向主機(jī)B發(fā)送報(bào)文,會(huì)查詢本地的ARP緩存表,找到B的IP地址對(duì)應(yīng)的MAC地址后,就會(huì)進(jìn)行數(shù)據(jù)傳輸。如果未找到,則廣播A一個(gè)ARP請(qǐng)求報(bào)文(攜帶主機(jī)A的IP地址IA——物理地址PA),請(qǐng)求IP地址為IB的主機(jī)B回答物理地址PB。網(wǎng)上所有主機(jī)包括B都收到ARP請(qǐng)求,但只有主機(jī)B識(shí)別自己的IP地址,于是向A主機(jī)發(fā)回一個(gè)ARP響應(yīng)報(bào)文。其中就包含有B的MAC地址,A接收到B的應(yīng)答后,就會(huì)更新本地的ARP緩存。接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)(由網(wǎng)卡附加MAC地址)。因此,本地高速緩存的這個(gè)ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ),而且這個(gè)緩存是動(dòng)態(tài)的。
假如我們有兩個(gè)網(wǎng)段、三臺(tái)主機(jī)、兩個(gè)網(wǎng)關(guān)、分別是:
主機(jī)名 IP地址 MAC地址
網(wǎng)關(guān)1 192.168.1.1 01-01-01-01-01-01
主機(jī)A 192.168.1.2 02-02-02-02-02-02
主機(jī)B 192.168.1.3 03-03-03-03-03-03
網(wǎng)關(guān)2 10.1.1.1 04-04-04-04-04-04
主機(jī)C 10.1.1.2 05-05-05-05-05-05
假如主機(jī)A要與主機(jī)B通訊,它首先會(huì)通過(guò)網(wǎng)絡(luò)掩碼比對(duì),確認(rèn)出主機(jī)B是否在自己同一網(wǎng)段內(nèi),如果在它就會(huì)檢查自己的ARP緩存中是否有192.168.1.3這個(gè)地址對(duì)應(yīng)的MAC地址,如果沒(méi)有它就會(huì)向局域網(wǎng)的廣播地址發(fā)送ARP請(qǐng)求包,即目的MAC地址是全1的廣播詢問(wèn)幀,0xffffffffffffH 02-02-02-02-02-02 192.168.1.3 192.168.1.2;如果B存在的話,必須作出應(yīng)答,回答“B的MAC地址是…”的單播應(yīng)答幀,02-02-02-02-02-02 03-03-03-03-03-03 192.168.1.2 192.168.1.3;A收到應(yīng)答幀后,把“192.168.1.3 03-03-03-03-03-03 動(dòng)態(tài)”寫入ARP表。這樣的話主機(jī)A就得到了主機(jī)B的MAC地址,并且它會(huì)把這個(gè)對(duì)應(yīng)的關(guān)系存在自己的ARP緩存表中。之后主機(jī)A與主機(jī)B之間的通訊就依靠?jī)烧呔彺姹砝锏腗AC地址來(lái)通訊了,直到通訊停止后兩分鐘,這個(gè)對(duì)應(yīng)關(guān)系才會(huì)被從表中刪除。
如果是非局域網(wǎng)內(nèi)部的通訊過(guò)程,假如主機(jī)A需要和主機(jī)C進(jìn)行通訊,它首先會(huì)通過(guò)比對(duì)掩碼發(fā)現(xiàn)這個(gè)主機(jī)C的IP地址并不是自己同一個(gè)網(wǎng)段內(nèi)的,因此需要通過(guò)網(wǎng)關(guān)來(lái)轉(zhuǎn)發(fā),這樣的話它會(huì)檢查自己的ARP緩存表里是否有網(wǎng)關(guān)1(192.168.1.1)對(duì)應(yīng)的MAC地址,如果沒(méi)有就通過(guò)ARP請(qǐng)求獲得,如果有就直接與網(wǎng)關(guān)通訊,然后再由網(wǎng)關(guān)1通過(guò)路由將數(shù)據(jù)包送到網(wǎng)關(guān)2,網(wǎng)關(guān)2收到這個(gè)數(shù)據(jù)包后發(fā)現(xiàn)是送給主機(jī)C(10.1.1.2)的,它就會(huì)檢查自己的ARP緩存(沒(méi)錯(cuò),網(wǎng)關(guān)一樣有自己的ARP緩存),看看里面是否有10.1.1.2對(duì)應(yīng)的MAC地址,如果沒(méi)有就使用ARP協(xié)議獲得,如果有就是用該MAC地址將數(shù)據(jù)轉(zhuǎn)發(fā)給主機(jī)C。
2.1.2 ARP欺騙原理
在以太局域網(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是MAC地址,IP地址與MAC對(duì)應(yīng)的關(guān)系依靠ARP表,每臺(tái)主機(jī)(包括網(wǎng)關(guān))都有一個(gè)ARP緩存表。在正常情況下這個(gè)緩存表能夠有效的保證數(shù)據(jù)傳輸?shù)囊粚?duì)一性,也就是說(shuō)主機(jī)A與主機(jī)C之間的通訊只通過(guò)網(wǎng)關(guān)1和網(wǎng)關(guān)2,像主機(jī)B之類的是無(wú)法截獲A與C之間的通訊信息的。但是在ARP緩存表的實(shí)現(xiàn)機(jī)制中存在一個(gè)不完善的地方,當(dāng)主機(jī)收到一個(gè)ARP的應(yīng)答包后,它并不會(huì)去驗(yàn)證自己是否發(fā)送過(guò)這個(gè)ARP請(qǐng)求,而是直接將應(yīng)答包里的MAC地址與IP對(duì)應(yīng)的關(guān)系替換掉原有的ARP緩存表里的相應(yīng)信息。
這就導(dǎo)致主機(jī)B截取主機(jī)A與主機(jī)C之間的數(shù)據(jù)通信成為可能。首先主機(jī)B向主機(jī)A發(fā)送一個(gè)ARP應(yīng)答包說(shuō)192.168.1.1的MAC地址是03-03-03-03-03-03,主機(jī)A收到這個(gè)包后并沒(méi)有去驗(yàn)證包的真實(shí)性而是直接將自己ARP列表中的192.168.1.1的MAC地址替換成03-03-03-03-03-03,同時(shí)主機(jī)B向網(wǎng)關(guān)1發(fā)送一個(gè)ARP響應(yīng)包說(shuō)192.168.1.2的MAC是03-03-03-03-03-03,同樣網(wǎng)關(guān)1也沒(méi)有去驗(yàn)證這個(gè)包的真實(shí)性就把自己ARP表中的192.168.1.2的MAC地址替換成03-03-03-03-03-03。當(dāng)主機(jī)A想要與主機(jī)C通訊時(shí),它直接把應(yīng)該發(fā)送給網(wǎng)關(guān)1(192.168.1.1)的數(shù)據(jù)包發(fā)送到03-03-03-03-03-03這個(gè)MAC地址,也就是發(fā)給了主機(jī)B,主機(jī)B在收到這個(gè)包后經(jīng)過(guò)修改再轉(zhuǎn)發(fā)給真正的網(wǎng)關(guān)1,當(dāng)從主機(jī)C返回的數(shù)據(jù)包到達(dá)網(wǎng)關(guān)1后,網(wǎng)關(guān)1也使用自己ARP表中的MAC,將發(fā)往192.168.1.2這個(gè)IP地址的數(shù)據(jù)發(fā)往03-03-03-03-03-03這個(gè)MAC地址也就是主機(jī)B,主機(jī)B在收到這個(gè)包后再轉(zhuǎn)發(fā)給主機(jī)A完成一次完整的數(shù)據(jù)通訊,這樣就成功的實(shí)現(xiàn)了一次ARP欺騙攻擊。因此簡(jiǎn)單點(diǎn)說(shuō)ARP欺騙的目的就是為了實(shí)現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽(tīng)與篡改。也就是說(shuō)欺騙者必須同時(shí)對(duì)網(wǎng)關(guān)和主機(jī)進(jìn)行欺騙。
2.1.3 ARP病毒清除
感染病毒后,需要立即斷開(kāi)網(wǎng)絡(luò),以免影響其他電腦使用。重新啟動(dòng)到DOS模式下,用殺毒軟件進(jìn)行全面殺毒。
臨時(shí)處理對(duì)策:
步驟一、能上網(wǎng)情況下,輸入命令arp –a,查看網(wǎng)關(guān)IP對(duì)應(yīng)的正確MAC地址,將其記錄下來(lái)。如果已經(jīng)不能上網(wǎng),則運(yùn)行一次命令arp –d將arp緩存中的內(nèi)容刪空,計(jì)算機(jī)可暫時(shí)恢復(fù)上網(wǎng)(攻擊如果不停止的話),一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉(禁用網(wǎng)卡或拔掉網(wǎng)線),再運(yùn)行arp –a。
步驟二、如果已經(jīng)有網(wǎng)關(guān)的正確MAC地址,在不能上網(wǎng)時(shí),手工將網(wǎng)關(guān)IP和正確MAC綁定,可確保計(jì)算機(jī)不再被攻擊影響。輸入命令:arp –s,網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC手工綁定在計(jì)算機(jī)關(guān)機(jī)重開(kāi)機(jī)后就會(huì)失效,需要再綁定。可以把該命令放在autoexec.bat中,每次開(kāi)機(jī)即自動(dòng)運(yùn)行。
2.2 網(wǎng)絡(luò)監(jiān)聽(tīng)
2.2.1 網(wǎng)絡(luò)監(jiān)聽(tīng)的定義
眾所周知,電話可以進(jìn)行監(jiān)聽(tīng),無(wú)線電通訊可以監(jiān)聽(tīng),而計(jì)算機(jī)網(wǎng)絡(luò)使用的數(shù)字信號(hào)在線路上傳輸時(shí),同樣也可以監(jiān)聽(tīng)。網(wǎng)絡(luò)監(jiān)聽(tīng)也叫嗅探器,其 英文 名是Sniffer,即將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)捕獲并進(jìn)行分析的行為。[③]
網(wǎng)絡(luò)監(jiān)聽(tīng),在網(wǎng)絡(luò)安全上一直是一個(gè)比較敏感的話題,作為一種發(fā)展比較成熟的技術(shù),監(jiān)聽(tīng)在協(xié)助網(wǎng)絡(luò)管理員監(jiān)測(cè)網(wǎng)絡(luò)傳輸數(shù)據(jù),排除網(wǎng)絡(luò)故障等方面具有不可替代的作用,因而一直備受網(wǎng)絡(luò)管理員的青睞。然而,在另一方面網(wǎng)絡(luò)監(jiān)聽(tīng)也給網(wǎng)絡(luò)安全帶來(lái)了極大的隱患,許多的網(wǎng)絡(luò)入侵往往都伴隨著網(wǎng)絡(luò)監(jiān)聽(tīng)行為,從而造成口令失竊,敏感數(shù)據(jù)被截獲等連鎖性安全事件。
2.2.2 網(wǎng)絡(luò)監(jiān)聽(tīng)的基本原理
局域網(wǎng)中的數(shù)據(jù)是以廣播方式發(fā)送的,局域網(wǎng)中的每臺(tái)主機(jī)都時(shí)刻在監(jiān)聽(tīng)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù),主機(jī)中的網(wǎng)卡將監(jiān)聽(tīng)到的數(shù)據(jù)幀中的MAC地址與自己的MAC地址進(jìn)行比較,如果兩者相同就接收該幀,否則就丟掉該幀。如果把對(duì)網(wǎng)卡進(jìn)行適當(dāng)?shù)脑O(shè)置和修改,將它設(shè)置為混雜模式,在這種狀態(tài)下它就能接收網(wǎng)絡(luò)中的每一個(gè)信息包。網(wǎng)絡(luò)監(jiān)聽(tīng)就是依據(jù)這種原理來(lái)監(jiān)測(cè)網(wǎng)絡(luò)中流動(dòng)的數(shù)據(jù)。
2.2.3 網(wǎng)絡(luò)監(jiān)聽(tīng)的檢測(cè)
2.2.3.1 在本地計(jì)算機(jī)上進(jìn)行檢測(cè)
(1)檢查網(wǎng)卡是否處于混雜模式??梢岳靡恍┈F(xiàn)成的工具軟件來(lái)發(fā)現(xiàn),例如:AntiSniff,ARP 探測(cè)技術(shù)。也可以編寫一些程序來(lái)實(shí)現(xiàn)。在Linux 下,有現(xiàn)成的函數(shù),比較容易實(shí)現(xiàn),而在Windows平臺(tái)上,并沒(méi)有現(xiàn)成的函數(shù)來(lái)實(shí)現(xiàn)這個(gè)功能,要自己編寫程序來(lái)實(shí)現(xiàn)??梢岳靡恍┈F(xiàn)成的工具軟件來(lái)發(fā)現(xiàn),例如:AntiSniff,ARP探測(cè)技術(shù)。也可以編寫一些程序來(lái)實(shí)現(xiàn)。在Linux下,有現(xiàn)成的函數(shù),比較容易實(shí)現(xiàn),而在Windows 平臺(tái)上,并沒(méi)有現(xiàn)成的函數(shù)來(lái)實(shí)現(xiàn)這個(gè)功能,要自己編寫程序來(lái)實(shí)現(xiàn)。
(2)搜索法。在本地主機(jī)上搜索所有運(yùn)行的進(jìn)程,就可以知道是否有人在進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)。在Windows系統(tǒng)下,按下Ctrl+Alt+Del可以得到任務(wù)列表,查看是否有監(jiān)聽(tīng)程序在運(yùn)行。如果有不熟悉的進(jìn)程,或者通過(guò)跟另外一臺(tái)機(jī)器比較,看哪些進(jìn)程是有可能是監(jiān)聽(tīng)進(jìn)程。
2.2.3.2 在其它計(jì)算機(jī)上進(jìn)行檢測(cè)
(1)觀察法。如果某臺(tái)電腦沒(méi)有監(jiān)聽(tīng)的話,無(wú)論是信息的傳送還是電腦對(duì)信息的響應(yīng)時(shí)間等方面都是正常的,如果被監(jiān)聽(tīng)的話,就會(huì)出現(xiàn)異常情況。我們可以通過(guò)觀察一些異常情況來(lái)判斷電腦是否有被監(jiān)聽(tīng)。
網(wǎng)絡(luò)通訊掉包率是否反常地高。例如ping命令會(huì)顯示掉了百分幾的信息包。如果網(wǎng)絡(luò)中有人在監(jiān)聽(tīng),就會(huì)攔截每個(gè)信息包,從而導(dǎo)致信息包丟包率提高。
網(wǎng)絡(luò)帶寬是否出現(xiàn)反常。如果某臺(tái)計(jì)算機(jī)長(zhǎng)時(shí)間的占用了較大的帶寬,對(duì)外界的響應(yīng)很慢,這臺(tái)計(jì)算機(jī)就有可能被監(jiān)聽(tīng)。
機(jī)器性能是否下降。向網(wǎng)上發(fā)大量不存在的物理地址的包,而監(jiān)聽(tīng)程序往往就會(huì)將這些包進(jìn)行處理,這樣就會(huì)導(dǎo)致機(jī)器性能下降,可以用icmp echo delay 來(lái)判斷和比較它。
(2)PING 法。這種檢測(cè)原理基于以太網(wǎng)的數(shù)據(jù)鏈路層和TCP/IP 網(wǎng)絡(luò)層的實(shí)現(xiàn),是一種非常有效的測(cè)試方法。
ping法的原理:如果一個(gè)以太網(wǎng)的數(shù)據(jù)包的目的MAC 地址不屬于本機(jī),該包會(huì)在以太網(wǎng)的數(shù)據(jù)鏈路層上被拋棄,無(wú)法進(jìn)入TCP/IP 網(wǎng)絡(luò)層;進(jìn)入TCP/IP 網(wǎng)絡(luò)層的數(shù)據(jù)包,如果解析該包后,發(fā)現(xiàn)這是一個(gè)包含本機(jī)ICMP 回應(yīng)請(qǐng)示的TCP 包(PING 包),則網(wǎng)絡(luò)層向該包的發(fā)送主機(jī)發(fā)送ICMP 回應(yīng)。
我們可以構(gòu)造一個(gè)PING 包,包含正確的IP 地址和錯(cuò)誤的MAC 地址,其中IP 地址是可疑主機(jī)的IP地址,MAC 地址是偽造的,這樣如果可疑主機(jī)的網(wǎng)卡工作在正常模式,則該包將在可疑主機(jī)的以太網(wǎng)的數(shù)據(jù)鏈路層上被丟棄,TCP/IP 網(wǎng)絡(luò)層接收不到數(shù)據(jù)因而也不會(huì)有什么反應(yīng)。如果可疑主機(jī)的網(wǎng)卡工作在混雜模式,它就能接收錯(cuò)誤的MAC 地址,該非法包會(huì)被數(shù)據(jù)鏈路層接收而進(jìn)入上層的TCP/IP 網(wǎng)絡(luò)層,TCP/IP 網(wǎng)絡(luò)層將對(duì)這個(gè)非法的PING 包產(chǎn)生回應(yīng),從而暴露其工作模式。
使用 PING 方法的具體步驟及結(jié)論如下:
?、?假設(shè)可疑主機(jī)的IP 地址為192.168.10.11,MAC 地址是00-E0-4C-3A-4B-A5,檢測(cè)者和可疑主機(jī)位于同一網(wǎng)段。
?、?稍微修改可疑主機(jī)的MAC 地址,假設(shè)改成00-E0-4C-3A-4B-A4。
?、?向可疑主機(jī)發(fā)送一個(gè)PING 包,包含它的IP 和改動(dòng)后的MAC 地址。
?、?沒(méi)有被監(jiān)聽(tīng)的主機(jī)不能夠看到發(fā)送的數(shù)據(jù)包,因?yàn)檎5闹鳈C(jī)檢查這個(gè)數(shù)據(jù)包,比較數(shù)據(jù)包的MAC 地址與自己的MAC 地址不相符,則丟棄這個(gè)數(shù)據(jù)包,不產(chǎn)生回應(yīng)。
?、?如果看到回應(yīng),說(shuō)明數(shù)據(jù)包沒(méi)有被丟棄,也就是說(shuō),可疑主機(jī)被監(jiān)聽(tīng)了。
(3)ARP 法。除了使用PING 進(jìn)行監(jiān)測(cè)外,還可以利用ARP 方式進(jìn)行監(jiān)測(cè)的。這種模式使用ARP數(shù)據(jù)包替代了上述的ICMP 數(shù)據(jù)包。向局域網(wǎng)內(nèi)的主機(jī)發(fā)送非廣播方式的ARP 包,如果局域網(wǎng)內(nèi)的某個(gè)主機(jī)以自己的IP 地址響應(yīng)了這個(gè)ARP 請(qǐng)求,那么就可以判斷它很可能就處于網(wǎng)絡(luò)監(jiān)聽(tīng)模式了。
(4)響應(yīng)時(shí)間測(cè)試法。這種檢測(cè)已被證明是最有效的。它能夠發(fā)現(xiàn)網(wǎng)絡(luò)中處于監(jiān)聽(tīng)模式的機(jī)器,而不管其操作系統(tǒng)是什么。非監(jiān)聽(tīng)模式的機(jī)器的響應(yīng)時(shí)間變化量會(huì)很小,而監(jiān)聽(tīng)模式的機(jī)器的響應(yīng)時(shí)間變化量則通常會(huì)較大。
2.2.4 網(wǎng)絡(luò)監(jiān)聽(tīng)的防范措施
為了防止網(wǎng)絡(luò)上的主機(jī)被監(jiān)聽(tīng),有多種技術(shù)手段,可以歸納為以下三類。
第一種是預(yù)防,監(jiān)聽(tīng)行為要想發(fā)生,一個(gè)重要的前提條件就是網(wǎng)絡(luò)內(nèi)部的一臺(tái)有漏洞的主機(jī)被攻破,只有利用被攻破的主機(jī),才能進(jìn)行監(jiān)聽(tīng),從而收集以網(wǎng)絡(luò)內(nèi)重要的數(shù)據(jù)。因此,要預(yù)防網(wǎng)絡(luò)中的主機(jī)被攻破。這就要求我們養(yǎng)成良好的使用計(jì)算機(jī)的習(xí)慣,不隨意下載和使用來(lái)歷不明的軟件,及時(shí)給計(jì)算機(jī)打上補(bǔ)丁程序,安裝防火墻等措施,涉及到國(guó)家安全的部門還應(yīng)該有防電輻射技術(shù),干擾技術(shù)等等,防止數(shù)據(jù)被監(jiān)聽(tīng)。
二是被動(dòng)防御,主要是采取數(shù)據(jù)加密技術(shù),數(shù)據(jù)加密是對(duì)付監(jiān)聽(tīng)的最有效的辦法。網(wǎng)上的信息絕大多數(shù)都是以明文的形式傳輸,容易辨認(rèn)。一旦口令被截獲,入侵者就可以非常容易地登錄到另一臺(tái)主機(jī)。對(duì)在網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密后,監(jiān)聽(tīng)器依然可以捕獲傳送的信息,但顯示的是亂碼。使用加密技術(shù),不但可以防止非授權(quán)用戶的搭線竊聽(tīng)和入網(wǎng),而且也是對(duì)付惡意軟件的有效方法之一,但是它的缺點(diǎn)是速度問(wèn)題。幾乎所有的加密技術(shù)都將導(dǎo)致網(wǎng)絡(luò)的延遲,加密技術(shù)越強(qiáng),網(wǎng)絡(luò)速度就越慢。只有很重要的信息才采用加密技術(shù)進(jìn)行保護(hù)。
三是主動(dòng)防御,主要是使用安全的拓?fù)浣Y(jié)構(gòu)和利用交換機(jī)劃分VLAN,這也是限制網(wǎng)絡(luò)監(jiān)聽(tīng)的有效方法,這樣的監(jiān)聽(tīng)行為只能發(fā)生在一個(gè)虛擬網(wǎng)中,最大限度地降低了監(jiān)聽(tīng)的危害,但需要增加硬件設(shè)備的開(kāi)支,實(shí)現(xiàn)起來(lái)要花費(fèi)不少的錢。
3.無(wú)線局域網(wǎng)安全威脅
3.1 非授權(quán)訪問(wèn)
無(wú)線網(wǎng)絡(luò)中每個(gè)AP覆蓋的范圍都形成了通向網(wǎng)絡(luò)的一個(gè)新的入口。所以,未授權(quán)實(shí)體可以從外部或內(nèi)部進(jìn)入網(wǎng)絡(luò),瀏覽存放在網(wǎng)絡(luò)上的信息;另外,也可以利用該網(wǎng)絡(luò)作為攻擊第三方的出發(fā)點(diǎn),對(duì)移動(dòng)終端發(fā)動(dòng)攻擊。而且,IEEE 802.11標(biāo)準(zhǔn)采用單向認(rèn)證機(jī)制,只要求STA向AP進(jìn)行認(rèn)證,不要求AP向STA進(jìn)行認(rèn)證。入侵者可以通過(guò)這種協(xié)議上的缺陷對(duì)AP進(jìn)行認(rèn)證進(jìn)行攻擊,向AP發(fā)送大量的認(rèn)證請(qǐng)求幀,從而導(dǎo)致AP拒絕服務(wù)。
3.2 敏感信息泄露
WLAN物理層的信號(hào)是無(wú)線、全方位的空中傳播,開(kāi)放傳輸使得其物理層的保密性無(wú)法保證。WLAN無(wú)線信號(hào)的覆蓋范圍一般都會(huì)超過(guò)實(shí)際需求,只要在信號(hào)覆蓋范圍內(nèi)入侵者就可以利用無(wú)線監(jiān)聽(tīng)技術(shù)捕獲無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)包,對(duì)網(wǎng)絡(luò)通信進(jìn)行分析,從而獲取有用信息。目前竊聽(tīng)已經(jīng)成為無(wú)線局域網(wǎng)面臨的最大問(wèn)題之一。
3.3 WEB缺陷威脅
有線等效保密WEP是IEEE 802.11無(wú)線局域網(wǎng)標(biāo)準(zhǔn)的一部分,它的主要作用是為無(wú)線網(wǎng)絡(luò)上的信息提供和有線網(wǎng)絡(luò)同一等級(jí)的機(jī)密性。IEEE選擇在數(shù)據(jù)鏈路層用RC4算法加密來(lái)防止對(duì)網(wǎng)絡(luò)進(jìn)行竊聽(tīng)。WEP在每一個(gè)數(shù)據(jù)包中使用完整性校驗(yàn)字段來(lái)保證數(shù)據(jù)在傳輸過(guò)程中不被竄改,它使用了CRC-32校驗(yàn)。在WEP中明文通過(guò)和密鑰流進(jìn)行異或產(chǎn)生密文,為了加密,WEP要求所有無(wú)線網(wǎng)絡(luò)連接共享一個(gè)密鑰。實(shí)際上,網(wǎng)絡(luò)只使用一個(gè)或幾個(gè)密鑰,也很少更換。WEP算法根據(jù)密鑰和初始化向量IV產(chǎn)生密鑰流,確保后續(xù)的數(shù)據(jù)包用不同的密鑰流加密。但I(xiàn)V在一個(gè)相當(dāng)短的時(shí)間內(nèi)重用,使用24位的IV并不能滿足要求。一個(gè)24位的字段包含16777216個(gè)可能值, 假設(shè)網(wǎng)絡(luò)流量是11M, 傳輸2000字節(jié)的包,在7個(gè)小時(shí)左右, IV 就會(huì)重用。CRC-32不是一個(gè)很適合WEP的完整性校驗(yàn), 即使部分?jǐn)?shù)據(jù)以及CRC-32校驗(yàn)碼同時(shí)被修改也無(wú)法校驗(yàn)出來(lái)。
3.4 無(wú)線局域網(wǎng)的安全措施
3.4.1 阻止非法用戶的接入
(1)基于服務(wù)設(shè)置標(biāo)識(shí)符(SSID)防止非法用戶接入
服務(wù)設(shè)置標(biāo)識(shí)符SSID是用來(lái)標(biāo)識(shí)一個(gè)網(wǎng)絡(luò)的名稱,以此來(lái)區(qū)分不同的網(wǎng)絡(luò),最多可以有32個(gè)字符。無(wú)線工作站設(shè)置了不同的SSID就可以進(jìn)入不同網(wǎng)絡(luò)。無(wú)線工作站必須提供正確的SSID與無(wú)線訪問(wèn)點(diǎn)AP的SSID相同,才能訪問(wèn)AP;如果出示的SSID與AP的SSID不同,那么AP將拒絕它通過(guò)本服務(wù)區(qū)上網(wǎng)。因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令,從而提供口令認(rèn)證機(jī)制,阻止非法用戶的接入,保障無(wú)線局域網(wǎng)的安全。SSID通常由AP廣播出來(lái),例如通過(guò)windows XP自帶的掃描功能可以查看當(dāng)前區(qū)域內(nèi)的SSID。出于安全考慮,可禁止AP廣播其SSID號(hào),這樣無(wú)線工作站端就必須主動(dòng)提供正確的SSID號(hào)才能與AP進(jìn)行關(guān)聯(lián)。
(2)基于無(wú)線網(wǎng)卡物理地址過(guò)濾防止非法用戶接入
由于每個(gè)無(wú)線工作站的網(wǎng)卡都有惟一的物理地址,利用MAC地址阻止未經(jīng)授權(quán)的無(wú)限工作站接入。為AP 設(shè)置基于MAC 地址的Access Control(訪問(wèn)控制表),確保只有經(jīng)過(guò)注冊(cè)的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。因此可以在AP中手工維護(hù)一組允許訪問(wèn)的MAC地址列表,實(shí)現(xiàn)物理地址過(guò)濾。但是MAC地址在理論上可以偽造,因此這也是較低級(jí)別的授權(quán)認(rèn)證。物理地址過(guò)濾屬于硬件認(rèn)證,而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時(shí)更新,目前都是手工操作。如果用戶增加,則擴(kuò)展能力很差,因此只適合于小型網(wǎng)絡(luò)規(guī)模。
3.4.2 實(shí)行動(dòng)態(tài)加密
動(dòng)態(tài)加密技術(shù)是基于對(duì)稱加密和非對(duì)稱加密的結(jié)合,能有效地保證網(wǎng)絡(luò)傳輸?shù)陌踩?。?dòng)態(tài)加密著眼于無(wú)線網(wǎng)絡(luò)架構(gòu)中通信雙方本身,認(rèn)為每個(gè)通信方都應(yīng)承擔(dān)起會(huì)話中網(wǎng)絡(luò)信息傳輸?shù)陌踩?zé)任。會(huì)話建立階段,身份驗(yàn)證的安全需要非對(duì)稱加密以及對(duì)PKI的改進(jìn)來(lái)防止非授權(quán)訪問(wèn),同時(shí)完成初始密鑰的動(dòng)態(tài)部署和管理工作,會(huì)話建立后,大量的數(shù)據(jù)安全傳輸必須通過(guò)對(duì)稱加密方式,但該系統(tǒng)通過(guò)一種動(dòng)態(tài)加密的模式,摒棄了現(xiàn)有機(jī)制下靜態(tài)加密的若干缺陷,從而使通信雙方的每次“通信回合”都有安全保證。在一個(gè)通信回合中,雙方將使用相同的對(duì)稱加密密鑰,是每個(gè)通信方經(jīng)過(guò)共同了解的信息計(jì)算而得到的,在通信回合之間,所使用的密鑰將實(shí)時(shí)改變,雖然與上次回合的密鑰有一定聯(lián)系,但外界無(wú)法推算出來(lái)。
3.4.3 數(shù)據(jù)的訪問(wèn)控制
訪問(wèn)控制的目標(biāo)是防止任何資源(如計(jì)算資源、通信資源或信息資源)進(jìn)行非授權(quán)的訪問(wèn),所謂非授權(quán)訪問(wèn)包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀以及發(fā)布指令等。用戶通過(guò)認(rèn)證,只是完成了接入無(wú)線局域網(wǎng)的第一步,還要獲得授權(quán),才能開(kāi)始訪問(wèn)權(quán)限范圍內(nèi)的網(wǎng)絡(luò)資源,授權(quán)主要是通過(guò)訪問(wèn)控制機(jī)制來(lái)實(shí)現(xiàn)。訪問(wèn)控制也是一種安全機(jī)制,它通過(guò)訪問(wèn)BSSID、MAC 地址過(guò)濾、控制列表ACL等技術(shù)實(shí)現(xiàn)對(duì)用戶訪問(wèn)網(wǎng)絡(luò)資源的限制。訪問(wèn)控制可以基于下列屬性進(jìn)行:源MAC地址、目的MAC地址、源IP 地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時(shí)長(zhǎng)等。