【文章內(nèi)容簡(jiǎn)介】 攔截整個(gè)會(huì)話過程。 對(duì)底層的協(xié)議信息記錄，如兩臺(tái)主機(jī)之間的網(wǎng)絡(luò)接口地址，遠(yuǎn)程網(wǎng)絡(luò)接口 IP地址， IP路由信息和 TCP連接的字節(jié)順序號(hào)碼等，這 些信息由非法入侵者掌握后將對(duì)網(wǎng)絡(luò)的安全構(gòu)成極大的危害。 一個(gè)入 侵者攻擊網(wǎng)絡(luò)系統(tǒng)可能步驟大體有 :信息收集 ?安全弱點(diǎn)探測(cè)和分析?實(shí)施攻擊 ?逃避檢測(cè)。入侵者會(huì)利用公開的協(xié)議和工具，收集目標(biāo)網(wǎng)絡(luò)中各個(gè)主機(jī)系統(tǒng)的相關(guān)信息，入侵者會(huì)探測(cè)目標(biāo)網(wǎng)絡(luò)上的各個(gè)主機(jī)，以尋找該系統(tǒng)的安全漏洞及安全弱點(diǎn)。他可以自編程序或利用公開的程序進(jìn)行自動(dòng)掃描，然后對(duì)目標(biāo)實(shí)施攻擊，獲得系統(tǒng)控制權(quán)。入侵者甚至可以利用該主機(jī)為基礎(chǔ)入侵整個(gè)網(wǎng)絡(luò)并留下后門，掩蓋痕跡，完成一次入侵。 通過網(wǎng)絡(luò)嗅探進(jìn)行 網(wǎng)絡(luò)管理 在合理的網(wǎng)絡(luò)中， 網(wǎng)絡(luò)嗅探器 的存在對(duì)系統(tǒng)管理員是致關(guān)重要的，系統(tǒng)管理員通過 sniffer可以診斷 出大量的不可見模糊問題，這些問題涉及兩臺(tái)乃至多臺(tái)計(jì)算機(jī)之間的異常通訊有些甚至牽涉到各種的協(xié)議，借助于 sniffer系統(tǒng)管理員可以方便的確定出多少的通訊量屬于哪個(gè)網(wǎng)絡(luò)協(xié)議、占主要通訊協(xié)議的主機(jī)是哪一臺(tái)、大多數(shù)通訊目的地是哪臺(tái)主機(jī)、報(bào)文發(fā)送占用多少時(shí)間、或 者 相互主機(jī)的報(bào)文傳送間隔時(shí)間等等，這些信息為管理員判斷網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。 使用嗅探器進(jìn)行網(wǎng)絡(luò)管理主要體現(xiàn)在兩個(gè)方面： 通過網(wǎng)絡(luò)嗅探技術(shù)收集到網(wǎng)絡(luò)中傳送的數(shù)據(jù)后對(duì)這些數(shù)據(jù)進(jìn)行分析可以幫助 解決在各種網(wǎng)絡(luò)上的性能問題并排除網(wǎng)絡(luò)故障，進(jìn)一步可以產(chǎn)生報(bào)表等數(shù)據(jù)分析結(jié)果以更好的支持網(wǎng)絡(luò)的運(yùn)行。 通過對(duì)監(jiān)聽結(jié)果進(jìn)行分析，可以及時(shí)發(fā)現(xiàn)各種危害網(wǎng)絡(luò)安全的行為，維護(hù)網(wǎng)絡(luò)的安全性。新的網(wǎng)絡(luò)安全技術(shù)的研究方向正集中于網(wǎng)絡(luò)嗅探技術(shù)上，這種方式隱蔽，不會(huì)對(duì)正常的網(wǎng)絡(luò)傳輸造成任何影響，同時(shí)數(shù)據(jù)收集也十分豐富。通過網(wǎng)絡(luò)嗅探技術(shù)實(shí)現(xiàn)審計(jì)跟蹤、攻擊檢測(cè)等在網(wǎng)絡(luò)安全問題上具有重要意義。 3 入侵檢測(cè)系統(tǒng)與嗅探器 入侵檢測(cè)概念 建立入侵檢測(cè)系統(tǒng)是網(wǎng)絡(luò)安全的一個(gè)重要工作，通過學(xué)習(xí)，對(duì) 入侵檢測(cè)系統(tǒng)有了一定的了解，下面對(duì)入侵檢測(cè)技術(shù)做一個(gè)總體介紹。 入侵檢測(cè)技術(shù)與防火墻、 PKI 等技術(shù)不同，防火墻、 PKI 只是立足于“防”，而入侵檢測(cè)是對(duì)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。 為了提高入侵檢測(cè)系統(tǒng)（ IDS）產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作 性，美國國防高級(jí)研究計(jì)劃署（ DARPA）和互聯(lián)網(wǎng)工程任務(wù)組（ IETF）的入侵檢測(cè)工作組（ IDWG）發(fā)起制定了一系列建議草案，從體系結(jié)構(gòu)、 API、通信機(jī)制、語言格式等 方 面規(guī)范 IDS的標(biāo)準(zhǔn) 。 DARPA提出的建議是公共入侵檢測(cè)框架（ CIDF），最早由加州大學(xué)戴維斯分校安全室主持起草工作。 CIDF 提出了一個(gè)通用模型， 將入侵檢測(cè)系統(tǒng)分成了四大模塊：事件產(chǎn)生器（ Event Generators），事件分析器（ Event Analyzers），響應(yīng)單元（ Response Units）和事件數(shù)據(jù)庫（ Event Database）。各部分功能是： 1. 事件產(chǎn)生器獲得數(shù)據(jù)并向 IDS 的其它模塊提供； 2. 事件分析器針對(duì)數(shù)據(jù)進(jìn)行入侵分析； 3. 響應(yīng)單元對(duì)分析的結(jié)果作出不同的響應(yīng)； 4. 數(shù)據(jù)庫存儲(chǔ) 以上三個(gè)模塊收集及分析的各種數(shù)據(jù)。 在檢測(cè)的技術(shù)上，主要分為三類：靜態(tài)分析、異常檢測(cè)、誤用檢測(cè)。 ：通過分析系統(tǒng)配置，檢查系統(tǒng)是否已經(jīng)或可能被人入侵。 ：通過歷史數(shù)據(jù)定義用戶正?；顒?dòng)的模型，當(dāng)檢測(cè)到與所建立的正常模型有差異的行為發(fā)生時(shí)，認(rèn)為可能有入侵行為的發(fā)生。 ：通過分析已知的入侵模式，用事先定義的規(guī)則描述這些入侵模式， 再 通過這些已知的行為模式來檢測(cè)當(dāng)前網(wǎng)絡(luò)中是否存在入侵行為。 上述三種方法均建立在數(shù)據(jù)包捕獲的基礎(chǔ)上 。 入侵檢測(cè)的實(shí)現(xiàn)與嗅探器 入侵 檢測(cè)的實(shí)現(xiàn)由四部分組成：數(shù)據(jù)包嗅探解析部分、數(shù)據(jù)行為檢測(cè)部分、算法部分和掃描檢測(cè)部分。 在這里以誤用檢測(cè)方法對(duì)入侵檢測(cè)的實(shí)現(xiàn)做更詳細(xì)的介紹。系統(tǒng)編寫構(gòu)架如圖 31 所示： 圖 31 入侵檢測(cè)系統(tǒng)的架構(gòu) 由圖 31 可以知道， 在編寫入侵檢測(cè)系統(tǒng)時(shí)，需要遵循 CIDF 標(biāo)準(zhǔn)來進(jìn)行系統(tǒng)的設(shè)計(jì)，首先通過數(shù)據(jù)包嗅探技術(shù)獲得網(wǎng)絡(luò)上流通的數(shù)據(jù)包；其次通過攻擊特顯示模塊 入侵檢測(cè)模塊 網(wǎng)絡(luò)協(xié)議分析模塊 數(shù)據(jù)包捕獲模塊 存儲(chǔ) 模塊 規(guī)則解析模塊 攻擊特征 征庫對(duì)嗅探到的數(shù)據(jù)包進(jìn)行入侵行為的檢測(cè)；再次對(duì)入侵?jǐn)?shù)據(jù)包做出報(bào)警；最后將這些入侵事件紀(jì)錄到數(shù)據(jù)庫 ，便于查詢和分析。 入侵檢測(cè)的 實(shí)現(xiàn) 與嗅探器的關(guān)系 數(shù)據(jù)包嗅探技術(shù)是實(shí)現(xiàn)入侵檢測(cè)的基礎(chǔ)，將數(shù)據(jù)包從共享網(wǎng)絡(luò)線路中捕獲，并將其提取到應(yīng)用程序中，這個(gè)過程要依賴于網(wǎng)絡(luò)物理層到應(yīng)用層以及操作 系 統(tǒng)本身各方面進(jìn)行協(xié)調(diào)、設(shè)置，下面通過實(shí)例來看一下以太網(wǎng)絡(luò)中數(shù)據(jù)包的流程： 1. 物理層，在一個(gè)以太局域網(wǎng)，數(shù)據(jù)在共享的網(wǎng)絡(luò)介質(zhì)（網(wǎng)線、 HUB）中以廣播的形式到達(dá)局域網(wǎng)每一個(gè)節(jié)點(diǎn)； 2. 數(shù)據(jù)鏈路層，節(jié)點(diǎn)的網(wǎng)絡(luò)適配器（網(wǎng)卡 NIC）查看到來的數(shù)據(jù)幀（ Frame），通過一系列的檢驗(yàn)，將到來的大量的數(shù)據(jù)幀中屬于自己且正 確合法的數(shù)據(jù)幀重構(gòu)成數(shù)據(jù)包（ Packet）送入操作系統(tǒng)的協(xié)議棧； 3. 網(wǎng)絡(luò)層至運(yùn)輸層，操作系統(tǒng)的協(xié)議棧通過這兩層中的 IP、 TCP、 UDP 等協(xié)議判斷到來的數(shù)據(jù)包是否屬于本操作系統(tǒng)的接收范圍（根據(jù) IP 地址），是否屬于本操作系統(tǒng)上的應(yīng)用程序的接收范圍（根據(jù) Port 端口號(hào)），如果所屬范圍正確并且數(shù)據(jù)包合法，操作系統(tǒng)通過端口將數(shù)據(jù)包重構(gòu)成報(bào)文（ Segment）送入應(yīng)用程序 。 數(shù)據(jù)包嗅探技術(shù)在入侵檢測(cè)系統(tǒng)中的應(yīng)用 為了嗅探到網(wǎng)絡(luò)中的任意一個(gè)數(shù)據(jù)包，必須 對(duì) 物理線路、網(wǎng)卡、操作系統(tǒng)進(jìn)行完全的配合 ，首先從網(wǎng)絡(luò)構(gòu)成上講，嗅探技術(shù)并不是適合所有類型的網(wǎng)絡(luò)，不同傳輸介質(zhì)的網(wǎng)絡(luò)的可監(jiān)聽性是不同的。一般來說，以太網(wǎng)被監(jiān)聽的可能性比較高，因?yàn)橐蕴W(wǎng)是一個(gè)廣播型的網(wǎng)絡(luò)，在一個(gè)標(biāo)準(zhǔn)的以太網(wǎng)子網(wǎng)上，多臺(tái)計(jì)算機(jī)通過一條線路互聯(lián)，且任何時(shí)刻，電纜上只有一個(gè)數(shù)據(jù)包存在，為了保證多臺(tái)計(jì)算機(jī)能 共 享 同 一 線 路 ， 以 太 網(wǎng) 使 用 了 CSMA/CD（ Carrier Sense MultipleAccess/Collision Detection)載波偵聽多路訪問 /沖突檢測(cè) ,這樣一來，共享線路上的所有以太網(wǎng)卡及相關(guān)設(shè) 備總是處于對(duì)線路上的信號(hào)進(jìn)行監(jiān)聽的狀態(tài)中 ,這使得每一臺(tái)機(jī)器都能夠探知并接受線路上的數(shù)據(jù)流。 事實(shí)證明嗅探適用于基于廣播包的網(wǎng)絡(luò)，如利用廣播技術(shù)來分發(fā)數(shù)據(jù)包的連通網(wǎng)絡(luò)（或者使用令牌的網(wǎng)絡(luò)，只不過因?yàn)榱钆?不一定經(jīng)過本機(jī)器，所以只能嗅探到網(wǎng)絡(luò)中部分?jǐn)?shù)據(jù)包）。此外如果在 一個(gè)子網(wǎng)內(nèi)部進(jìn)行嗅探，而子網(wǎng)頂部存在著諸如交換機(jī)這類設(shè)備，由于它能夠阻止廣播，所以就不能夠?qū)ψ泳W(wǎng)內(nèi)其他的機(jī)器進(jìn)行監(jiān)聽，若想要對(duì)此子網(wǎng)進(jìn)行監(jiān)聽，就必須處于與此交換機(jī)同級(jí)的包交換網(wǎng)絡(luò)中。例如從路由器到某一子網(wǎng)的共享網(wǎng)絡(luò)中安裝一個(gè) hub，在將監(jiān)聽機(jī)器和子 網(wǎng)交換機(jī)用此 hub 連接起來，這樣，就能夠?qū)Υ俗泳W(wǎng)進(jìn)行監(jiān)聽了，另一種辦法就是在交換機(jī)上給監(jiān)聽機(jī)器做端口映射，指明讓它接受經(jīng)過交換機(jī)的所有數(shù)據(jù)包。 當(dāng)數(shù)據(jù)經(jīng)過數(shù)據(jù)鏈路層后，就要通過操作系統(tǒng)協(xié)議棧的審核了，系統(tǒng)協(xié)議棧在 TCP/IP 網(wǎng)絡(luò)模型跨越的層次非常多，它們直接從位于系統(tǒng)的數(shù)據(jù)鏈路層提取數(shù)據(jù)，通過在這一層的開發(fā)環(huán)境中設(shè)置混雜模式，就可以成功的接收從驅(qū)動(dòng)層來的各種數(shù)據(jù)包。大多數(shù)的操作系統(tǒng)在這一層使用的是 Socket 套接字技術(shù)，它們通過函數(shù) ioctlsocket(socket, SIO_RCVALL, amp。Value)來實(shí)現(xiàn)混雜模式接收數(shù)據(jù)包。通過 Socket 的處理，數(shù)據(jù)流（ Bits）已經(jīng)變成了能識(shí)別的數(shù)據(jù)結(jié)構(gòu)，最后協(xié)議棧將數(shù)據(jù)信息傳入應(yīng)用層 —— 應(yīng)用程序中。最終，所有的數(shù)據(jù)變成可以識(shí)別的文字、符號(hào)出現(xiàn)在機(jī)器的視頻輸出上。 4 嗅探器的實(shí)現(xiàn)與測(cè)試 利用 套接字 開發(fā)網(wǎng)絡(luò) 嗅探器 程序時(shí) 的一般步驟如圖 41 所示： 圖 41 嗅探器工作流程 如圖 41 所示， 在利用 套接字 開發(fā)網(wǎng)絡(luò) 嗅探器 程序時(shí) 的一般步驟是：首先，創(chuàng)建原始套接字，并設(shè)置其操作選項(xiàng) ；其次將原始套接字綁定到本地網(wǎng)卡地址上；設(shè)置網(wǎng)卡為混雜模式， 這樣網(wǎng)卡就可以收到任何在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包 ；在以上關(guān)閉套接字 是 開始 建立套接字 綁定套接字 設(shè)置網(wǎng)卡為混雜模式 初始 化數(shù)據(jù)包接收結(jié)構(gòu) 停止接收 分析處理數(shù)據(jù)包 否 開始捕獲 顯示分析結(jié)果 條件下開始對(duì)數(shù)據(jù)包進(jìn)行捕獲、分析。 嗅探器的具體實(shí)現(xiàn)原理 嗅探器作為一種網(wǎng)絡(luò)通訊程序，是通過對(duì)網(wǎng)卡的編程來實(shí)現(xiàn)網(wǎng)絡(luò)通訊的，對(duì)網(wǎng)卡的編程是使用通常的套接字（ socket）方式來進(jìn)行。但是，通常的套接字程序只能響應(yīng)與自己硬件地址相匹配的或是以廣播形式發(fā)出的數(shù)據(jù)幀，對(duì)于其他形式的數(shù)據(jù)幀比如已到達(dá)網(wǎng)絡(luò)接口但卻不是發(fā)給此地址的數(shù)據(jù)幀，網(wǎng)絡(luò)接口在驗(yàn)證投遞地址并非自身地址之后將不引起響應(yīng)，也就是說應(yīng)用程序 無法收取到達(dá)的數(shù)據(jù)包。 而本設(shè)計(jì)的要求通過 網(wǎng)絡(luò)嗅探器從網(wǎng)卡接收所有經(jīng)過它的數(shù)據(jù)包， 因此，在該系統(tǒng)中將網(wǎng)卡以混雜模式替代 通常的正常模式 。 具體到編程實(shí)現(xiàn)上，這種對(duì)網(wǎng)卡混雜模式的設(shè)置是通過原始套接字（ raw socket）來實(shí)現(xiàn)的，這也有別于通常經(jīng)常使用的數(shù)據(jù)流套接字和數(shù)據(jù)報(bào)套接字。在創(chuàng)建了原始套接字后，需要通過 setsockopt()函數(shù)來設(shè)置 IP頭操作選項(xiàng)，然后再通過 bind()函數(shù)將原始套接字綁定到本地網(wǎng)卡。為了讓原始套接字能接受所有的數(shù)據(jù)，還需要通過 WSAIoctl ()來進(jìn)行設(shè)置 。至此，實(shí)際就可以開始 對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行嗅探了，對(duì)數(shù)據(jù)包的獲取仍象流式套接字或數(shù)據(jù)報(bào)套接字那樣通過recv()函數(shù)來完成。但是與其他兩種套接字不同的是，原始套接字此時(shí)捕獲到的數(shù)據(jù)包并不僅僅是單純的數(shù)據(jù)信息，而是包含有 IP 頭、 TCP 頭等信息頭的最原始的數(shù)據(jù)信息，這些信息保留了它在網(wǎng)絡(luò)傳輸時(shí)的原貌。通過對(duì)這些在低層傳輸?shù)脑夹畔⒌姆治隹梢缘玫接嘘P(guān)網(wǎng)絡(luò)的一些信息。由于這些數(shù)據(jù)經(jīng)過了網(wǎng)絡(luò)層和傳輸層的打包，因此需要根據(jù)其附加的幀頭對(duì)數(shù)據(jù)包進(jìn)行分析。下面先給出結(jié)構(gòu) ，數(shù)據(jù)包的總體結(jié)構(gòu) 如圖 42 所示 ： 數(shù)據(jù)包 IP 頭 TCP 頭（或其他 信息頭） 數(shù)據(jù) 圖 42 數(shù)據(jù)包總體結(jié)構(gòu) 數(shù)據(jù)在從應(yīng)用層到達(dá)傳輸層時(shí)，將添加 TCP 數(shù)據(jù)段頭，或是 UDP 數(shù)據(jù)段頭。其中 UDP 數(shù)據(jù)段頭比較簡(jiǎn)單，由一個(gè) 8字節(jié)的頭和數(shù)據(jù)部分組成，具體格式如 圖43 所示 ： 16 位 16 位 源端口 目的端口 UDP 長度 UDP 校驗(yàn)和 圖 43 UDP數(shù)據(jù)段頭格式 對(duì)于此 UDP 數(shù)據(jù)段頭的分析在編程實(shí)現(xiàn)中可通過數(shù)據(jù)結(jié)構(gòu) UDPPacketHead來定義： struct UDPPacketHead { WORD SourPort。 //16 位源端口 WORD DestPort。 //16 位目的端口 WORD Len。 //16 位長度 WORD ChkSum。 //16 位校驗(yàn)和 }。 而 TCP 數(shù)據(jù)頭則比較復(fù)雜，以 20 個(gè)固定字節(jié)開始，在固定頭后面還可以有一些長度不固定的可選項(xiàng)， 圖 44給出 TCP 數(shù)據(jù)段頭的格式組成： 16 位 16 位 源端口 目的端口 順序號(hào) 確認(rèn)號(hào) TCP頭長 （保留）7 位 URG ACK PSH RST SYN FIN 窗口大小 校 驗(yàn)和 緊急指針 可選項(xiàng)（ 0 或更多的 32 位字） 數(shù)據(jù)（可選項(xiàng)） 圖 44 TCP數(shù)據(jù)段頭格式 對(duì)于此 TCP 數(shù)據(jù)段頭的分析在編程實(shí)現(xiàn)中可通過數(shù)據(jù)結(jié)構(gòu) TCPPacketHead來定義： struct TCPPacketHead { WORD SourPort。 //源端口 WORD DestPort。 //目的端口 DWORD SeqNo。 //32 位序列號(hào) DWORD AckNo。 //32 位確認(rèn)號(hào) BYTE HLen。 //4 位首部長度 BYTE Flag。 //6 位標(biāo)志位 WORD WndSize。 //16 位窗口大小 WORD ChkSum。 //16 位校驗(yàn)和 WORD UrgPtr。 //16 位緊急數(shù)據(jù)偏移量 }。 在網(wǎng)絡(luò)層，還要給 TCP 數(shù)據(jù)包添加一個(gè) IP 數(shù)據(jù)段頭以組成 IP 數(shù)據(jù)報(bào)。 IP數(shù)據(jù)段頭格式如 圖 45 所示 ： 16 位 16 位 版本 IHL 服務(wù)類型