【文章內(nèi)容簡介】 攔截整個會話過程。 對底層的協(xié)議信息記錄，如兩臺主機之間的網(wǎng)絡接口地址，遠程網(wǎng)絡接口 IP地址， IP路由信息和 TCP連接的字節(jié)順序號碼等，這 些信息由非法入侵者掌握后將對網(wǎng)絡的安全構成極大的危害。 一個入 侵者攻擊網(wǎng)絡系統(tǒng)可能步驟大體有 :信息收集 ?安全弱點探測和分析?實施攻擊 ?逃避檢測。入侵者會利用公開的協(xié)議和工具，收集目標網(wǎng)絡中各個主機系統(tǒng)的相關信息，入侵者會探測目標網(wǎng)絡上的各個主機，以尋找該系統(tǒng)的安全漏洞及安全弱點。他可以自編程序或利用公開的程序進行自動掃描，然后對目標實施攻擊，獲得系統(tǒng)控制權。入侵者甚至可以利用該主機為基礎入侵整個網(wǎng)絡并留下后門，掩蓋痕跡，完成一次入侵。 通過網(wǎng)絡嗅探進行 網(wǎng)絡管理 在合理的網(wǎng)絡中， 網(wǎng)絡嗅探器 的存在對系統(tǒng)管理員是致關重要的，系統(tǒng)管理員通過 sniffer可以診斷 出大量的不可見模糊問題，這些問題涉及兩臺乃至多臺計算機之間的異常通訊有些甚至牽涉到各種的協(xié)議，借助于 sniffer系統(tǒng)管理員可以方便的確定出多少的通訊量屬于哪個網(wǎng)絡協(xié)議、占主要通訊協(xié)議的主機是哪一臺、大多數(shù)通訊目的地是哪臺主機、報文發(fā)送占用多少時間、或 者 相互主機的報文傳送間隔時間等等，這些信息為管理員判斷網(wǎng)絡問題、管理網(wǎng)絡區(qū)域提供了非常寶貴的信息。 使用嗅探器進行網(wǎng)絡管理主要體現(xiàn)在兩個方面： 通過網(wǎng)絡嗅探技術收集到網(wǎng)絡中傳送的數(shù)據(jù)后對這些數(shù)據(jù)進行分析可以幫助 解決在各種網(wǎng)絡上的性能問題并排除網(wǎng)絡故障，進一步可以產(chǎn)生報表等數(shù)據(jù)分析結果以更好的支持網(wǎng)絡的運行。 通過對監(jiān)聽結果進行分析，可以及時發(fā)現(xiàn)各種危害網(wǎng)絡安全的行為，維護網(wǎng)絡的安全性。新的網(wǎng)絡安全技術的研究方向正集中于網(wǎng)絡嗅探技術上，這種方式隱蔽，不會對正常的網(wǎng)絡傳輸造成任何影響，同時數(shù)據(jù)收集也十分豐富。通過網(wǎng)絡嗅探技術實現(xiàn)審計跟蹤、攻擊檢測等在網(wǎng)絡安全問題上具有重要意義。 3 入侵檢測系統(tǒng)與嗅探器 入侵檢測概念 建立入侵檢測系統(tǒng)是網(wǎng)絡安全的一個重要工作，通過學習，對 入侵檢測系統(tǒng)有了一定的了解，下面對入侵檢測技術做一個總體介紹。 入侵檢測技術與防火墻、 PKI 等技術不同，防火墻、 PKI 只是立足于“防”，而入侵檢測是對網(wǎng)絡系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果，以保證系統(tǒng)資源的機密性、完整性和可用性。 為了提高入侵檢測系統(tǒng)（ IDS）產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作 性，美國國防高級研究計劃署（ DARPA）和互聯(lián)網(wǎng)工程任務組（ IETF）的入侵檢測工作組（ IDWG）發(fā)起制定了一系列建議草案，從體系結構、 API、通信機制、語言格式等 方 面規(guī)范 IDS的標準 。 DARPA提出的建議是公共入侵檢測框架（ CIDF），最早由加州大學戴維斯分校安全室主持起草工作。 CIDF 提出了一個通用模型， 將入侵檢測系統(tǒng)分成了四大模塊：事件產(chǎn)生器（ Event Generators），事件分析器（ Event Analyzers），響應單元（ Response Units）和事件數(shù)據(jù)庫（ Event Database）。各部分功能是： 1. 事件產(chǎn)生器獲得數(shù)據(jù)并向 IDS 的其它模塊提供； 2. 事件分析器針對數(shù)據(jù)進行入侵分析； 3. 響應單元對分析的結果作出不同的響應； 4. 數(shù)據(jù)庫存儲 以上三個模塊收集及分析的各種數(shù)據(jù)。 在檢測的技術上，主要分為三類：靜態(tài)分析、異常檢測、誤用檢測。 ：通過分析系統(tǒng)配置，檢查系統(tǒng)是否已經(jīng)或可能被人入侵。 ：通過歷史數(shù)據(jù)定義用戶正?；顒拥哪Ｐ?，當檢測到與所建立的正常模型有差異的行為發(fā)生時，認為可能有入侵行為的發(fā)生。 ：通過分析已知的入侵模式，用事先定義的規(guī)則描述這些入侵模式， 再 通過這些已知的行為模式來檢測當前網(wǎng)絡中是否存在入侵行為。 上述三種方法均建立在數(shù)據(jù)包捕獲的基礎上 。 入侵檢測的實現(xiàn)與嗅探器 入侵 檢測的實現(xiàn)由四部分組成：數(shù)據(jù)包嗅探解析部分、數(shù)據(jù)行為檢測部分、算法部分和掃描檢測部分。 在這里以誤用檢測方法對入侵檢測的實現(xiàn)做更詳細的介紹。系統(tǒng)編寫構架如圖 31 所示： 圖 31 入侵檢測系統(tǒng)的架構 由圖 31 可以知道， 在編寫入侵檢測系統(tǒng)時，需要遵循 CIDF 標準來進行系統(tǒng)的設計，首先通過數(shù)據(jù)包嗅探技術獲得網(wǎng)絡上流通的數(shù)據(jù)包；其次通過攻擊特顯示模塊 入侵檢測模塊 網(wǎng)絡協(xié)議分析模塊 數(shù)據(jù)包捕獲模塊 存儲 模塊 規(guī)則解析模塊 攻擊特征 征庫對嗅探到的數(shù)據(jù)包進行入侵行為的檢測；再次對入侵數(shù)據(jù)包做出報警；最后將這些入侵事件紀錄到數(shù)據(jù)庫 ，便于查詢和分析。 入侵檢測的 實現(xiàn) 與嗅探器的關系 數(shù)據(jù)包嗅探技術是實現(xiàn)入侵檢測的基礎，將數(shù)據(jù)包從共享網(wǎng)絡線路中捕獲，并將其提取到應用程序中，這個過程要依賴于網(wǎng)絡物理層到應用層以及操作 系 統(tǒng)本身各方面進行協(xié)調(diào)、設置，下面通過實例來看一下以太網(wǎng)絡中數(shù)據(jù)包的流程： 1. 物理層，在一個以太局域網(wǎng)，數(shù)據(jù)在共享的網(wǎng)絡介質(zhì)（網(wǎng)線、 HUB）中以廣播的形式到達局域網(wǎng)每一個節(jié)點； 2. 數(shù)據(jù)鏈路層，節(jié)點的網(wǎng)絡適配器（網(wǎng)卡 NIC）查看到來的數(shù)據(jù)幀（ Frame），通過一系列的檢驗，將到來的大量的數(shù)據(jù)幀中屬于自己且正 確合法的數(shù)據(jù)幀重構成數(shù)據(jù)包（ Packet）送入操作系統(tǒng)的協(xié)議棧； 3. 網(wǎng)絡層至運輸層，操作系統(tǒng)的協(xié)議棧通過這兩層中的 IP、 TCP、 UDP 等協(xié)議判斷到來的數(shù)據(jù)包是否屬于本操作系統(tǒng)的接收范圍（根據(jù) IP 地址），是否屬于本操作系統(tǒng)上的應用程序的接收范圍（根據(jù) Port 端口號），如果所屬范圍正確并且數(shù)據(jù)包合法，操作系統(tǒng)通過端口將數(shù)據(jù)包重構成報文（ Segment）送入應用程序 。 數(shù)據(jù)包嗅探技術在入侵檢測系統(tǒng)中的應用 為了嗅探到網(wǎng)絡中的任意一個數(shù)據(jù)包，必須 對 物理線路、網(wǎng)卡、操作系統(tǒng)進行完全的配合 ，首先從網(wǎng)絡構成上講，嗅探技術并不是適合所有類型的網(wǎng)絡，不同傳輸介質(zhì)的網(wǎng)絡的可監(jiān)聽性是不同的。一般來說，以太網(wǎng)被監(jiān)聽的可能性比較高，因為以太網(wǎng)是一個廣播型的網(wǎng)絡，在一個標準的以太網(wǎng)子網(wǎng)上，多臺計算機通過一條線路互聯(lián)，且任何時刻，電纜上只有一個數(shù)據(jù)包存在，為了保證多臺計算機能 共 享 同 一 線 路 ， 以 太 網(wǎng) 使 用 了 CSMA/CD（ Carrier Sense MultipleAccess/Collision Detection)載波偵聽多路訪問 /沖突檢測 ,這樣一來，共享線路上的所有以太網(wǎng)卡及相關設 備總是處于對線路上的信號進行監(jiān)聽的狀態(tài)中 ,這使得每一臺機器都能夠探知并接受線路上的數(shù)據(jù)流。 事實證明嗅探適用于基于廣播包的網(wǎng)絡，如利用廣播技術來分發(fā)數(shù)據(jù)包的連通網(wǎng)絡（或者使用令牌的網(wǎng)絡，只不過因為令牌 不一定經(jīng)過本機器，所以只能嗅探到網(wǎng)絡中部分數(shù)據(jù)包）。此外如果在 一個子網(wǎng)內(nèi)部進行嗅探，而子網(wǎng)頂部存在著諸如交換機這類設備，由于它能夠阻止廣播，所以就不能夠對子網(wǎng)內(nèi)其他的機器進行監(jiān)聽，若想要對此子網(wǎng)進行監(jiān)聽，就必須處于與此交換機同級的包交換網(wǎng)絡中。例如從路由器到某一子網(wǎng)的共享網(wǎng)絡中安裝一個 hub，在將監(jiān)聽機器和子 網(wǎng)交換機用此 hub 連接起來，這樣，就能夠對此子網(wǎng)進行監(jiān)聽了，另一種辦法就是在交換機上給監(jiān)聽機器做端口映射，指明讓它接受經(jīng)過交換機的所有數(shù)據(jù)包。 當數(shù)據(jù)經(jīng)過數(shù)據(jù)鏈路層后，就要通過操作系統(tǒng)協(xié)議棧的審核了，系統(tǒng)協(xié)議棧在 TCP/IP 網(wǎng)絡模型跨越的層次非常多，它們直接從位于系統(tǒng)的數(shù)據(jù)鏈路層提取數(shù)據(jù)，通過在這一層的開發(fā)環(huán)境中設置混雜模式，就可以成功的接收從驅動層來的各種數(shù)據(jù)包。大多數(shù)的操作系統(tǒng)在這一層使用的是 Socket 套接字技術，它們通過函數(shù) ioctlsocket(socket, SIO_RCVALL, amp。Value)來實現(xiàn)混雜模式接收數(shù)據(jù)包。通過 Socket 的處理，數(shù)據(jù)流（ Bits）已經(jīng)變成了能識別的數(shù)據(jù)結構，最后協(xié)議棧將數(shù)據(jù)信息傳入應用層 —— 應用程序中。最終，所有的數(shù)據(jù)變成可以識別的文字、符號出現(xiàn)在機器的視頻輸出上。 4 嗅探器的實現(xiàn)與測試 利用 套接字 開發(fā)網(wǎng)絡 嗅探器 程序時 的一般步驟如圖 41 所示： 圖 41 嗅探器工作流程 如圖 41 所示， 在利用 套接字 開發(fā)網(wǎng)絡 嗅探器 程序時 的一般步驟是：首先，創(chuàng)建原始套接字，并設置其操作選項 ；其次將原始套接字綁定到本地網(wǎng)卡地址上；設置網(wǎng)卡為混雜模式， 這樣網(wǎng)卡就可以收到任何在網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包 ；在以上關閉套接字 是 開始 建立套接字 綁定套接字 設置網(wǎng)卡為混雜模式 初始 化數(shù)據(jù)包接收結構 停止接收 分析處理數(shù)據(jù)包 否 開始捕獲 顯示分析結果 條件下開始對數(shù)據(jù)包進行捕獲、分析。 嗅探器的具體實現(xiàn)原理 嗅探器作為一種網(wǎng)絡通訊程序，是通過對網(wǎng)卡的編程來實現(xiàn)網(wǎng)絡通訊的，對網(wǎng)卡的編程是使用通常的套接字（ socket）方式來進行。但是，通常的套接字程序只能響應與自己硬件地址相匹配的或是以廣播形式發(fā)出的數(shù)據(jù)幀，對于其他形式的數(shù)據(jù)幀比如已到達網(wǎng)絡接口但卻不是發(fā)給此地址的數(shù)據(jù)幀，網(wǎng)絡接口在驗證投遞地址并非自身地址之后將不引起響應，也就是說應用程序 無法收取到達的數(shù)據(jù)包。 而本設計的要求通過 網(wǎng)絡嗅探器從網(wǎng)卡接收所有經(jīng)過它的數(shù)據(jù)包， 因此，在該系統(tǒng)中將網(wǎng)卡以混雜模式替代 通常的正常模式 。 具體到編程實現(xiàn)上，這種對網(wǎng)卡混雜模式的設置是通過原始套接字（ raw socket）來實現(xiàn)的，這也有別于通常經(jīng)常使用的數(shù)據(jù)流套接字和數(shù)據(jù)報套接字。在創(chuàng)建了原始套接字后，需要通過 setsockopt()函數(shù)來設置 IP頭操作選項，然后再通過 bind()函數(shù)將原始套接字綁定到本地網(wǎng)卡。為了讓原始套接字能接受所有的數(shù)據(jù)，還需要通過 WSAIoctl ()來進行設置 。至此，實際就可以開始 對網(wǎng)絡數(shù)據(jù)包進行嗅探了，對數(shù)據(jù)包的獲取仍象流式套接字或數(shù)據(jù)報套接字那樣通過recv()函數(shù)來完成。但是與其他兩種套接字不同的是，原始套接字此時捕獲到的數(shù)據(jù)包并不僅僅是單純的數(shù)據(jù)信息，而是包含有 IP 頭、 TCP 頭等信息頭的最原始的數(shù)據(jù)信息，這些信息保留了它在網(wǎng)絡傳輸時的原貌。通過對這些在低層傳輸?shù)脑夹畔⒌姆治隹梢缘玫接嘘P網(wǎng)絡的一些信息。由于這些數(shù)據(jù)經(jīng)過了網(wǎng)絡層和傳輸層的打包，因此需要根據(jù)其附加的幀頭對數(shù)據(jù)包進行分析。下面先給出結構 ，數(shù)據(jù)包的總體結構 如圖 42 所示 ： 數(shù)據(jù)包 IP 頭 TCP 頭（或其他 信息頭） 數(shù)據(jù) 圖 42 數(shù)據(jù)包總體結構 數(shù)據(jù)在從應用層到達傳輸層時，將添加 TCP 數(shù)據(jù)段頭，或是 UDP 數(shù)據(jù)段頭。其中 UDP 數(shù)據(jù)段頭比較簡單，由一個 8字節(jié)的頭和數(shù)據(jù)部分組成，具體格式如 圖43 所示 ： 16 位 16 位 源端口 目的端口 UDP 長度 UDP 校驗和 圖 43 UDP數(shù)據(jù)段頭格式 對于此 UDP 數(shù)據(jù)段頭的分析在編程實現(xiàn)中可通過數(shù)據(jù)結構 UDPPacketHead來定義： struct UDPPacketHead { WORD SourPort。 //16 位源端口 WORD DestPort。 //16 位目的端口 WORD Len。 //16 位長度 WORD ChkSum。 //16 位校驗和 }。 而 TCP 數(shù)據(jù)頭則比較復雜，以 20 個固定字節(jié)開始，在固定頭后面還可以有一些長度不固定的可選項， 圖 44給出 TCP 數(shù)據(jù)段頭的格式組成： 16 位 16 位 源端口 目的端口 順序號 確認號 TCP頭長 （保留）7 位 URG ACK PSH RST SYN FIN 窗口大小 校 驗和 緊急指針 可選項（ 0 或更多的 32 位字） 數(shù)據(jù)（可選項） 圖 44 TCP數(shù)據(jù)段頭格式 對于此 TCP 數(shù)據(jù)段頭的分析在編程實現(xiàn)中可通過數(shù)據(jù)結構 TCPPacketHead來定義： struct TCPPacketHead { WORD SourPort。 //源端口 WORD DestPort。 //目的端口 DWORD SeqNo。 //32 位序列號 DWORD AckNo。 //32 位確認號 BYTE HLen。 //4 位首部長度 BYTE Flag。 //6 位標志位 WORD WndSize。 //16 位窗口大小 WORD ChkSum。 //16 位校驗和 WORD UrgPtr。 //16 位緊急數(shù)據(jù)偏移量 }。 在網(wǎng)絡層，還要給 TCP 數(shù)據(jù)包添加一個 IP 數(shù)據(jù)段頭以組成 IP 數(shù)據(jù)報。 IP數(shù)據(jù)段頭格式如 圖 45 所示 ： 16 位 16 位 版本 IHL 服務類型