网络安全的双刃剑—— Sniffer
随着 Internet 及电子商务的日益普及,应用层次的逐步提高, Internet 的安全也越来越受到重视。各种各样的网络攻防手段随着而生,网络安全形式非常严峻,他可能就在你我的周围。本文只介绍其中的一种, Sniffer (嗅探器)的简单应用。 Sniffer 是一种常用的收集有用数据方法,这些数据可以是用户的帐号和密码,可以是一些商用机密数据等等。 Sniffer 几乎和 Internet 有一样久的历史了,在 Internet 安全隐患中扮演重要角色之一的 Sniffer 以受到越来越大的关注。
Sniffer 是能够捕获网络报文的设备,我们可以理解他为一个游走在互联网络上的窃听“专家”,他可以用来窃听计算机在网络上所产生的众多的信息。互联网络的一个特点就是数据总是在流动中,从一处到另外一处,而互联网更是由错综复杂的各种网络交汇而成的。也就是说,当你的数据从网络中的一台电脑到另一台电脑的时候,通常会经过大量不同的网络设备,可能首先你的信息通过某台接入层的交换机传输,然后进入本地汇聚层的,之后流入到本地的核心网络区域,最后数据被传输到 ISP (比如说中国电信)提供的骨干网中,然后再传输到世界各地 ( 简单来说用 tracert 命令就可以看到这种数据传输路径是如何进行的 ) 。如果传输过程中,有人看到了传输中的数据,那么问题就出现了。这就好比你给人发了一封邮件,在半路上被人拆开偷看一样。假设这份邮件是给好友的通信,其中涉及了他人的隐私,抑或是一封银行的密码单或者企业的机密文件。那么被人“窃听”的后果就不难想象了。
Sniffer 说到底其实也是一种工具而已,就好比同样是一把枪,歹徒用枪和警察用起来的效果就完全不同。其一是积极方面的,由网络管理员将 Sniffer 放到网络连接的设备或者放到可以控制网络连接设备的电脑上 ( 比如网关服务器,路由器 ) 。这样的一个旁路侦听可以清楚的了解网络的流量分析,在需要的时候也可以对数据包进行查询和分析。其二则是 Hacker 攻击网络的前奏,比如通过木马方式将嗅探器发给某个网络管理员,使其不自觉的为攻击者进行了安装,或者针对不安全的局域网 ( 比如采用集线器实现 ) 这样一些具有天生缺陷的网络架构上,只要将 Sniffer 部署到这个网络的任一主机上就可以以实现对整个局域网的侦听。
Sniffer 功能可以说是非常强大的,比如说他可以通过对数据报文的分析整理出相关的数据图表来说明一些问题。他也可以通过流量分析准确定位故障点。检测是否在这一时段有影响正常流量使用的数据流或是病毒肆虐对网络造成严重的危害。
上图就是使用 Sniffer 进行流量监空以后所得到的列表,在表中我们可以看到 InBytes 与 OutByte 数据流量非常清楚的标注了 10.11.3 .62 这个 IP 地址所下载的流量异常的大,相比下面所有的地址只使用了非常少的网络资源。为了更清楚的定位究竟 10.11.3.62 这样一个地址的网络用户占用了多少带宽,我们用 Sniffer 支持的饼分图形式来进一步分析它所占用的带宽资源。
在图中我们可以看到 10.11.3 .62 占用了 45.13% 的网络出口带宽。由于 IP 地址在网络是一个逻辑实体,在现实中就代表了一台实际的主机。我们假设这个网络总共有 2M 的出口带宽,有 100 台 PC 共享这一个带宽,那么这台主机的使用对整个网络的其他用户的影响就不言而喻了。由此我们就能确定是这个点对网络构成了巨大的影响,但是究竟什么造成了这样的影响仍然需要分析。我们继续对这个地址所涉及的连接数进行进一步分析。
通过 Sniffer 会话连接数的视图的统计,我们可以看到,这个点有着非常大的 Session 数。根据经验判断,这个点如果是服务器的话是可以接受的,但是由于在测试的网络环境中这个地址并不是服务器的地址,那么这个端口就非常有可能正在进行病毒的传播,有可能就是当前网络上防不胜防的蠕虫病毒。然后就可以根据具体的环境对这个地址进行处理了。
总结上述的流量分析,我们可以通过 Sniffer 准确定位网络发生异常的故障点,并且通过一些后续手段,如抓取这个点的数据包进行分析,限制这个端口的速率,甚至把这个端口管理性的 Shutdown 等等。
互联网络是个藏龙卧虎的世界,虚拟与现实掺杂其中。入侵者就潜藏在其中伺机对通过网络获取他们在现实生活中的利益。而 Sniffer 就是许多入侵者攻击网络的前奏。当然入侵者并不等同与黑客,黑客的概念源于 50 、 60 年代麻省理工学院的实验室里的计算机迷们。他们精力充沛,热衷于解决难题、独立思考并且奉公守法。只后后来由于这些检测手段被居心不良的人所获得才导致了大众认为黑客是贬义性质的词语。
Sniffer 如果被些入侵者们掌握了将成为一种很大的危险,因为:
■ Sniffer 可以捕获口令
■ Sniffer 可以截获机密的或专有的信息
• Sniffer 可以被用来攻击相邻的网络或者用来获取更高级别的访问权限