網(wǎng)絡(luò)攻擊之嗅探攻擊的原理及仿真實(shí)現(xiàn)

◆段曉東

網(wǎng)絡(luò)攻擊之嗅探攻擊的原理及仿真實(shí)現(xiàn)

◆段曉東

（慶陽(yáng)職業(yè)技術(shù)學(xué)院 甘肅 745000）

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)攻擊手段日趨多樣化和復(fù)雜化，在這其中嗅探攻擊因其攻擊簡(jiǎn)單、門檻低而被不法分子廣泛應(yīng)用。但其工作的原理和直觀的表現(xiàn)，大多數(shù)網(wǎng)絡(luò)維護(hù)人員仍停留在文字層面。為此，本文將介紹攻擊分類與嗅探攻擊原理，同時(shí)用計(jì)算機(jī)仿真實(shí)現(xiàn)嗅探攻擊的一般過(guò)程，以此更好地保障網(wǎng)絡(luò)的信息安全。

網(wǎng)絡(luò)攻擊；嗅探攻擊；仿真實(shí)現(xiàn)

網(wǎng)絡(luò)的發(fā)展離不開(kāi)信息安全的防護(hù)，就猶如矛與盾的關(guān)系，此消彼長(zhǎng)。只有從根本上認(rèn)識(shí)到網(wǎng)絡(luò)攻擊和犯罪對(duì)信息安全造成的巨大危害，才能制定切實(shí)可行的防范措施，才可以防患于未然。

1 網(wǎng)絡(luò)攻擊的分類及其概念

網(wǎng)絡(luò)安全威脅是指網(wǎng)絡(luò)環(huán)境下的信息系統(tǒng)中分布在主機(jī)、鏈路和轉(zhuǎn)發(fā)結(jié)點(diǎn)中的信息受到威脅，存在危險(xiǎn)，信息系統(tǒng)無(wú)法持續(xù)正常提供服務(wù)。網(wǎng)絡(luò)攻擊是導(dǎo)致網(wǎng)絡(luò)安全威脅的主要原因，而嗅探攻擊就是常見(jiàn)的網(wǎng)絡(luò)攻擊。

網(wǎng)絡(luò)攻擊是指利用網(wǎng)絡(luò)中存在的漏洞和安全缺陷對(duì)網(wǎng)絡(luò)中的硬件、軟件及信息進(jìn)行的攻擊，其目的是破壞網(wǎng)絡(luò)中信息的保密性、完整性、可用性和不可抵賴性，削弱甚至癱瘓網(wǎng)絡(luò)的服務(wù)功能。

網(wǎng)絡(luò)攻擊分為主動(dòng)攻擊和被動(dòng)攻擊，被動(dòng)攻擊由于對(duì)網(wǎng)絡(luò)和主機(jī)都是透明的，因此難以檢測(cè)。

主動(dòng)攻擊是指改變網(wǎng)絡(luò)中的信息、狀態(tài)的攻擊行為。主動(dòng)攻擊可破壞信息的保密性、完整性和可用性。比如篡改信息（截獲信息并對(duì)信息進(jìn)行篡改，或?qū)Υ鎯?chǔ)在主機(jī)中的信息進(jìn)行非法修改）；欺騙攻擊是另外一種主動(dòng)攻擊，是利用錯(cuò)誤的信息誤導(dǎo)網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程和用戶資源訪問(wèn)過(guò)程的攻擊行為，比如用偽造的IP地址作為發(fā)動(dòng)攻擊的IP分組的源IP地址；拒絕服務(wù)攻擊則指通過(guò)消耗鏈路帶寬和主機(jī)計(jì)算能力使網(wǎng)絡(luò)喪失服務(wù)功能的攻擊行為。

被動(dòng)攻擊則是指不會(huì)對(duì)經(jīng)過(guò)網(wǎng)絡(luò)傳輸?shù)男畔?、網(wǎng)絡(luò)狀態(tài)產(chǎn)生影響的攻擊行為。被動(dòng)攻擊的特點(diǎn)是一般只會(huì)破壞信息的保密性。常用的被動(dòng)攻擊主要有嗅探攻擊，它會(huì)復(fù)制網(wǎng)絡(luò)傳輸?shù)男畔ⅲ粫?huì)改變信息原始狀態(tài)。另外，非法訪問(wèn)和數(shù)據(jù)流分析也屬于被動(dòng)攻擊的一種。

2 嗅探攻擊原理

嗅探攻擊原理是終端A向終端B傳輸信息過(guò)程中，信息不僅沿著終端A至終端B的傳輸路徑傳輸，還沿著終端A至黑客終端的傳輸路徑傳輸，并且終端A至黑客終端的傳輸路徑對(duì)通信雙方終端A和終端B都是透明的。集線器是廣播設(shè)備，從某個(gè)端口接收到MAC幀后除了接收MAC幀的端口以外的所有其他端口輸出該MAC幀。因此，當(dāng)集線器從連接交換機(jī)的端口接收到MAC幀后，將從連接路由器和黑客終端的端口輸出該MAC幀，該MAC幀同時(shí)到達(dá)路由器和黑客終端。

3 嗅探攻擊的后果

嗅探攻擊后果有以下幾點(diǎn)：（1）破壞信息的保密性。黑客得到信息后，可以閱讀、分析信息；（2）嗅探攻擊是實(shí)現(xiàn)數(shù)據(jù)流分析的前提，只有實(shí)現(xiàn)了嗅探攻擊才能對(duì)嗅探到的數(shù)據(jù)流進(jìn)行分析統(tǒng)計(jì)；（3）黑客終端可以在保持信息一段時(shí)間后，將信息發(fā)送給目的終端，或者反復(fù)多次發(fā)送給目的終端，以此來(lái)進(jìn)行重放攻擊。

4 集線器和嗅探攻擊

由于集線器接受到MAC幀后，通過(guò)除接收端口以外的所有其他端口輸出MAC幀，所以在黑客終端私自接入集線器的情況下，集線器完成終端A至終端B的MAC幀傳輸過(guò)程的同時(shí)也將該MAC幀傳輸給黑客私接的黑客終端。

5 仿真過(guò)程

正常網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示，終端A和終端B連接在交換機(jī)上，交換機(jī)和路由器相連，終端A和終端B通過(guò)交換機(jī)向路由器發(fā)送MAC幀。如果黑客需要嗅探終端A和終端B發(fā)送給路由器的MAC幀，可以在路由器和交換機(jī)之間插入集線器，并在集線器上連接黑客終端（圖2）。這樣黑客終端就可以嗅探所有的終端A和終端B與路由器之間的MAC幀。連接實(shí)驗(yàn)用的各種網(wǎng)絡(luò)設(shè)備，在思科網(wǎng)絡(luò)設(shè)備中，相同類型的設(shè)備之間如交換機(jī)之間、路由器之間、終端之間通過(guò)交叉線連接，而不同設(shè)備之間如交換機(jī)與終端之間，交換機(jī)和路由器之間通過(guò)直連線連接。在實(shí)驗(yàn)圖中所涉及的設(shè)備之間統(tǒng)一用直連線連接。

圖2 接入黑客終端

6 實(shí)驗(yàn)步驟

（1）啟動(dòng)Packet Tracer，在邏輯區(qū)根據(jù)圖1的網(wǎng)絡(luò)結(jié)構(gòu)放置和連接設(shè)備，分別將終端A和終端B用直通線（Copper Straight-Through）連接到交換機(jī)Switch的FastEthernet0/1和FastEthernet0/2端口。然后，用直通線連接交換機(jī)Switch的FastEthernet0/3端口和路由器Router的FastEthernet0/0接口。

（2）配置終端A的IP Configuration。在終端A的網(wǎng)絡(luò)信息配置界面中，在IP Address中輸入它的IP地址192.1.1.1，在子網(wǎng)掩碼中輸入255.255.255.0，在Defualt Gateway（默認(rèn)網(wǎng)關(guān)地址欄）中輸入終端A的默認(rèn)網(wǎng)關(guān)地址192.1.1.254，該地址是Router的FastEthernet0/0接口的IP地址。同理在終端B的配置窗口中，設(shè)置它的IP地址是192.1.1.2，子網(wǎng)掩碼也是255.255.255.0，默認(rèn)網(wǎng)關(guān)地址192.1.1.254。

（3）在路由器Router配置窗口中設(shè)置FastEthernet0/0接口，使其IP Address（IP地址）為該接口的IP地址192.1.1.254，該IP地址也是該接口所連接的網(wǎng)絡(luò)中終端A和終端B的默認(rèn)網(wǎng)關(guān)地址。在Subnet Mask（子網(wǎng)掩碼）輸入該接口的子網(wǎng)掩碼255.255.255.0。

（4）完成終端和路由器接口配置過(guò)程后，選擇簡(jiǎn)單報(bào)文工具確定終端A和終端B與路由器之間的連通性。

圖3 設(shè)備連通圖

（5）按照?qǐng)D3所示連接放置黑客終端設(shè)備后的網(wǎng)絡(luò)拓?fù)鋱D，在原有的圖中增加集線器和黑客終端兩種設(shè)備。在交換機(jī)Switch和路由器Router之間接上集線器Hub，并將黑客終端連接到集線器Hub上。

（6）在編輯過(guò)濾器窗口中設(shè)置報(bào)文類型為ICMP（Internet控制報(bào)文協(xié)議），目的是可以清楚看到插入的集線器Hub和黑客終端對(duì)于終端A和終端B以及路由器是完全透明的。

（7）在模擬操作模式下，通過(guò)簡(jiǎn)單ICMP報(bào)文傳輸過(guò)程可以清楚看到集線器不僅把ICMP報(bào)文轉(zhuǎn)發(fā)給路由器Router，而且將ICMP報(bào)文轉(zhuǎn)發(fā)給黑客終端，也就是黑客終端成功嗅探到終端A發(fā)送給路由器Router的ICMP報(bào)文。仿真圖如圖4所示。

圖4 黑客終端嗅探到報(bào)文

6 嗅探攻擊的防御措施

對(duì)于通過(guò)集線器實(shí)現(xiàn)的嗅探攻擊，需要有防止黑客終端接入集線器的措施。另外，如果黑客是通過(guò)交換機(jī)實(shí)現(xiàn)的嗅探攻擊，則需要有防止黑客終端接入交換機(jī)的措施，提高交換機(jī)防御MAC表溢出攻擊的機(jī)制。

而對(duì)于無(wú)線通信過(guò)程，嗅探攻擊是無(wú)法避免的，在這種情況下，則需要對(duì)傳輸?shù)男畔⑦M(jìn)行加密，使得黑客終端即使嗅探到信息，也因?yàn)閷?duì)信息解密而無(wú)法破壞信息的保密性，或者使解密者因?yàn)槠平獾拇鷥r(jià)過(guò)于高昂而放棄嗅探。

7 總結(jié)

綜上所述，計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)，在給人們生活、學(xué)習(xí)提供便利的同時(shí)，但自身也面臨著眾多的安全威脅。只有從根本上認(rèn)清黑客實(shí)現(xiàn)攻擊的手段與原理，才能更有效編織網(wǎng)絡(luò)防護(hù)網(wǎng)，加固網(wǎng)絡(luò)安全的邊界，增加護(hù)城河的高度。

[1]沈鑫剡，于海英.網(wǎng)絡(luò)技術(shù)基礎(chǔ)與計(jì)算思維實(shí)驗(yàn)教程[M].清華大學(xué)出版社，2016.

[2]任爭(zhēng).計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其保護(hù)策略研究[J].黑龍江科學(xué)，2013.