一、監聽原理
監聽又稱嗅探,指在局域網內的一臺主機、網關上放入監聽程序,從而可以監聽出網絡的狀態、數據流動情況以及傳輸數據的信息。以太網協議的工作方式為將要發送的數據包發往連接在一起的所有主機,在包頭中包括著應該接收數據包的主機的正確地址。因此,只有與數據包中目標地址一致的那臺主機才能接收數據包,但是主機在監聽模式(即混雜模式)下,無論數據包中的目標物理地址是什么,主機都將接收(只有在同一網段內才可以進行監聽,也就是說一臺計算機只能監聽經過自己網絡接口的那些信息包,不是同一網段的數據包,在網關就被濾掉了)。在通常條件下,用戶的所有信息,包括帳號和密碼都是以明文的方式在網絡上傳輸的。
二、局域網服務器防嗅探
1、對于FTP的嗅探和防范
(1).嗅探測試
在企業環境下FTP服務器是非常普遍的,它滿足了用戶文件的存儲和彼此間的共享和交流。但是FTP信息默認是以明文的形式在網絡中傳輸,因此內網攻擊者可以通過嗅探技術進行監聽,從而獲取用戶的FTP帳戶和密碼,然后實施進一步的入侵獲取信息。
下面我們做個簡單的測試:A、B兩臺計算機同屬于一個子網,攻擊者在A計算機上安裝了sniffer進行局域網的監聽嗅探。一員工在B計算機訪問公司的FTP服務器,登錄FTP時使用自己的用戶名和密碼。當B計算機登錄FTP后,A計算機的攻擊者也就獲得了該員工的FTP帳戶和密碼。試想,如果攻擊者獲得是FTP管理員的帳戶和密碼那整個FTP服務器不也就被它控制了嗎?
圖1
(2).防范措施
我們看到FTP的帳戶、密碼之所以被嗅探獲取是因為它是明文傳輸的,因此我們可以通過對其數據進行加密來防范。數據被加密后雖然可以被嗅探到,但由于嗅探到的是亂碼因此無法被利用。筆者就以最常用的Serv-U搭建的FTP為例進行演示設置對數據的加密。
第一步:創建SSL證書。在“Serv-U管理員”窗口中,展開“本地服務器→設置”選項,然后切換到“SSL證書”標簽頁。在“普通名稱”欄中輸入FTP服務器的IP地址,接著其它欄目的內容,如電子郵件、組織和單位等,根據用戶的情況進行填寫。完成SSL證書標簽頁中所有內容的填寫后,點擊下方的“應用”按鈕即可,這時Serv-U就會生成一個新的SSL證書。
圖2
第二步:啟用SSL證書。要啟用Serv-U服務器中域名為“ftp”的SSL功能。在“Serv-U管理員”窗口中,依次展開“本地服務器→域→ftp”選項。在右側的“域”管理框中找到“安全性”下拉列表選項。這里Serv-U提供了3種選項,分別是“僅僅規則FTP,無SSL/TLS進程”、“允許SSL/TLS和規則進程”、“只允許SSL/TLS進程”,默認情況下,Serv-U使用的是“僅僅規則FTP,無SSL/TLS進程”,因此是沒有啟用SSL加密功能的。在“安全性”下拉選項框種選擇“只允許SSL/TLS進程”選項,然后點擊“應用”按鈕,即可啟用softer域的SSL功能。
#p#副標題#e#
這樣,所有的FTP信息都是加密的再也不用怕嗅探監聽了。不過需要注意的是,啟用了SSL功能后,Serv-U服務器使用的默認端口號就不再是“21”了而是“990”了,登錄FTP服務器是可以通過Flash FXP這樣的工具進行登錄。
圖4
2、Web的防嗅探
Web也是企業中重要的網絡服務,和FTP類似Web數據也是以明文的形式傳輸的,同樣可被攻擊者嗅探得到。如果被攻擊者嗅探得到Web站點的后臺帳戶、密碼那Web服務器就岌岌可危了。我們同樣可以通過SSL對Web進行加密來防嗅探。
(1).生成證書申請
運行IIS管理器,展開Web服務器名選擇要安裝證書的Web站點,右鍵單擊該Web站點,選擇“屬性”點擊“目錄安全性”選項卡,單擊“安全通信”中的“服務器證書”按鈕,啟動 Web 服務器證書向導。單擊“下一步”跳過歡迎對話框,點選“創建一個新證書”,單擊“下一步”出現一個對話框,選擇“現在準備申請,但稍后發送”,然后根據向導輸入實際情況輸入“單位”、“部門”、“國家”等信息。在“證書請求文件名”窗口選擇證書文件保存的位置,最后一路完成證書的申請。
圖5
#p#副標題#e#
(2).提交證書申請
用“記事本”打開在前面的過程中生成的證書文件,將它的整個內容復制到剪貼板。啟動Internet Explorer瀏覽器,正在地址欄中輸入http://hostname/CertSrv格式的URL地址,其中hostname是運行Microsoft 證書服務的計算機的名稱。 單擊“申請一個證書”,在“選擇一個證書類型”下單擊“高級證書申請”,在打開的頁面中選擇點擊“使用 base64 編碼的 CMC 或 PKCS #10 文件提交 一個證書申請,或使用 base64 編碼的 PKCS #7 文件續訂證書申請。”,在“提交一個保存的申請”頁中,將剛才復制的內容粘貼到“Base64 編碼的證書申請(PKCS #10 或 #7)”右側的文本框中在“證書模板”組合框中,最后單擊“提交”按鈕即可。
圖6
(3).頒發證書
從“開始→管理工具”程序組中啟動“證書頒發機構”工具,展開的“證書頒發機構”,然后選擇“掛起的申請”文件夾。選擇剛才提交的證書申請,在“操作”菜單中,指向“所有任務”,然后單擊“頒發”,確認該證書顯示在“頒發的證書”文件夾中,然后雙擊查看它。在“詳細信息”選項卡中,單擊“復制到文件”,在文件格式中選擇“Base-64編碼的 X.509”,最后根據向導完成證書的頒發和導出。
圖7
(4).安裝證書
啟動IIS管理器,展開服務器名稱,選擇要安裝證書的Web站點右鍵單擊該Web站點,選擇“屬性”單擊“目錄安全性”選項卡。點擊“服務器證書”啟動 Web 服務器證書向導。單擊“處理掛起的申請并安裝證書”,然后單擊“下一步”在“路徑和文件名”下的文本框中輸入剛才導出的證書文件名,也可以點擊“瀏覽”按鈕定位到該證書文件,單擊“下一步”可以看到網站默認使用的SSL端口是443,我們保存默認一路“下一步”完成證書的安裝。
圖8
返回“目錄安全性”選項卡,單擊“安全通信”下的“編輯”按鈕勾選其中的“要求安全通道(SSL)”,根據安全需要可以勾選“要求128位加密”。至此我們就完成了SSL加密站點的配置工作,客戶端訪問服務器的IIS網站時所瀏覽的信息是通過加密的,就是被惡意嗅探看到的也只是加密信息。
圖9
#p#副標題#e#
(5).瀏覽SSL加密站點
在訪問通過SSL加密的站點時所輸入的地址應該以https://開頭,例如本文中應該使用https://192.168.1.10。如果仍然那使用http://192.168.1.10則會出現“該網頁必須通過安全頻道查看,您要查看的網頁要求在地址中使用"https"。禁止訪問:要求SSL”的提示。服務器上設置完SSL加密站點功能后我們在客戶機上通過瀏覽器訪問該站點時就會彈出一個“安全警報”窗口。只有信任該證書后才能夠正常瀏覽網站信息。這樣在客戶端嗅探與Web服務器之間的通信都是經過加密的,這樣有效杜絕了從嗅探開始的滲透入侵。
圖10
三、綜合防范措施
當然,局域網中除了各種服務器之外,更多的是客戶端主機。對于嗅探我們除了防范之外,定位嗅探主機也非常重要。
1. 嗅探檢測
(1).Ping測試。對于懷疑運行監聽程序的機器,用正確的IP地址和錯誤的物理地址ping,運行監聽程序的機器會有響應,這是因為正常的機器不接收錯誤的物理地址,處理監聽狀態的機器能接收。據此我們可以判斷該主機是否是監聽主機。
(2).包測試。向網上發大量不存在的物理地址的包,由于監聽程序要分析和處理大量的數據包會占用很多的CPU資源,這將導致性能下降,我們可以通過比較前后該機器性能加以判斷。我們可以利用網絡分析工具來構造測試包,然后在局域網中發送讓嗅探主機崩潰。
圖11
(3).專門工具。使用反監聽工具如antisniffer等進行檢測
#p#副標題#e#
2. 優化網絡拓撲杜絕嗅探
(1).網絡分段
網絡分段通常被認為是控制網絡廣播風暴的一種基本手段,但其實也是保證網絡安全的一項措施。其目的是將非法用戶與敏感的網絡資源相互隔離,從而防止可能的非法監聽。
(2).使用交換式集線器
對局域網的中心交換機進行網絡分段后,局域網監聽的危險仍然存在。這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共享式集線器。這樣,當用戶與主機進行數據通信時,兩臺機器之間的數據包還是會被同一臺集線器上的其他用戶所監聽。
因此,應該以交換式集線器代替共享式集線器,使單播包僅在兩個節點之間傳送,從而防止非法監聽。當然,交換式集線器只能控制單播包而無法控制廣播包和多播包。但廣播包和多播包內的關鍵信息,要遠遠少于單播包。
(3).劃分VLAN
運用VLAN(虛擬局域網)技術,將以太網通信變為點到點通信,可以防止大部分基于網絡監聽的入侵。 一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中,即使是兩臺計算機有著同樣的網段,但是它們卻沒有相同的VLAN號,它們各自的廣播流也不會相互轉發,從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性,也有效地防范了嗅探攻擊。
圖12
總結:嗅探是一柄“雙刃劍”,入侵者通過它獲取網絡中的敏感信息然后實施攻擊,當然我也可以利用嗅探技術進行反嗅探捕獲入侵者。作為網絡管理員只有了解嗅探的原理,掌握必要的防嗅探技術才有可能在嗅探與反嗅探的斗爭中掌握主動權取得最后的勝利。
