摘 要: 网络边界处的防火墙系统可以有效防御一些来自外网的攻击,在入侵检测系统的实时保护下,理论上可以保障内网安全无忧。然而,内部网络的非法操作更隐蔽、更有威胁。针对这种情况,通过嗅探技术对内网进行实时的流量监控和数据包分析,较好地加强和保障了内网的安全。
关键词: 嗅探技术;流量监控;数据包分析
由于TCP/IP协议族本身存在许多安全漏洞,使复杂的网络安全难以保障。网络安全一般来说分为网络外部安全和网络内部安全两方面,这两方面出现的安全问题的比例约为3:7,显然,最普遍的安全威胁主要来自内部。内网由大量的终端组成,内网任何一部分的安全问题,都可能导致整个内部网络的瘫痪。内网的安全通常依靠主机防护系统、入侵检测系统(IDS)及漏洞扫描技术等来保证[1]。针对使用入侵检测系统的内网,由于网络传输速率的大大加快,使IDS的负担加重,造成了IDS的高虚警率,且IDS在应对对自身的攻击时,对其他传输的检测也会被抑制。因此本文通过嗅探技术加强对内网的实时监控管理,一定程度上加强了内网安全。
1 嗅探技术及Omni peek
网络嗅探是指利用计算机的网络接口截获目的地为其他计算机的数据报文的一种手段。网络嗅探技术不主动向网络发送数据包,而是监听、提取和解析网络中正在传输的数据包。网络嗅探技术是一把双刃剑,其正当用途主要是分析网络的流量及性能,以便找出网络中潜在的问题,但不可用于窃取私密信息[2]。如果某时段一个网段运行不畅,造成信息包的发送比较慢,丢包现象严重,而网络管理员又不知道问题所在,此时就可以用嗅探软件作出较准确的判断。
Omni peek是出自WildPackets的著名抓包软件,其功能与Sniffer Pro有相似之处,是一款网管和应用故障诊断分析软件。针对复杂的网络环境,执行管理、监控、分析、除错及最佳化的工作。Omni peek软件v6.02提供更好的图形用户界面,不管是在有线网络还是在无线网络中,它都能够给予网络管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。
2 实时网络监控
2.1 协议分析
在共享网络环境下,即由集线器组成的局域网环境,只需将网卡设置成混杂模式,即可监听到所有经过该网卡的数据包。而在交换网络环境,设置网卡接收模式就不可行了。因此,在一个交换式的局域网中,在其任一台主机上安装网络嗅探工具,无论其嗅探功能如何强大,也无能为力。这时,它只能嗅探到从本机进出的数据包。而若把嗅探工具安装在代理服务器上便可解决这一问题。对内网的实时监控,不是为了实时记录网络状态,而是为了发现异常和攻击。本文分析了一些常见的内网安全问题(正常的数据包就不再此阐释),通过运行Omni peek,捕获数据包,经查看发现内网主机192.168.0.136的数据包可疑,刚开机不久便向IP地址为24.89.201.200发送大量数据包,且这台主机发出的所有数据包协议都基于HTTP,如图1所示。
通过查看某个捕获的数据包的源码,解码后如表1所示。
由于HTTP是基于请求/响应范式的,信息交换过程分为4个部分:建立连接、发送请求、发送响应、关闭连接。但捕获到的内网IP为192.168.0.136的主机所发出的数据包却很可疑,ACK确认的数量值全为0。图2是通过Omni peek软件对TCP的解析,发现所有数据包均是SYN包,而SYN包是主机要发起TCP连接时发出的数据包,也就是这台内网主机不断地向外网中的某主机建立HTTP连接,但没有得到任何回应,既未收到ACK确认包,也没有FIN释放连接[3]。
在30 s内,内网主机192.168.0.136从网络收到的数据包数只有5个,但其向外网发出的数据包却有904个,如图3所示。
这时用Omni peek节点分析功能,查看192.168.0.136节点的详细资料统计,如图4所示,发现HTTP协议占了整个通信协议的99.386%。
通过对上述情况的分析,可以推测192.168.0.136所收到的5个包是来自别的节点的DNS包(从图3可以看出总共有3个节点与它通信,并且图4的协议中DNS数据包占了0.614%)。
当单独查看IP地址为192.168.0.136与24.89.201.200的主机通信协议时,则100%都是HTTP协议,如图5所示。它与IP地址为24.89.201.200的主机通信全是基于HTTP的,但没有收到一个回包。这对HTTP来说显然是不正常的,HTTP是基于TCP、是有连接的,不会只发不收。因此判断该主机可能是感染了病毒,是造成TCP SYN泛洪(Flood)攻击所需的“肉鸡”。
然而对于被攻击主机来说,由于SYN泛洪攻击所使用的IP地址并不是真实的地址,而是代理服务器的公共IP地址,所以被攻击者最多只能追踪到内网代理服务器的IP地址为210.40.20.76(假设未使用二级以上代理),而要确定攻击终端很难,黑客通常利用这种攻击的隐蔽性肆意破坏。所以,内网管理员应该立即确定这台内网主机,对其进行下线处理,再进行扫描杀毒,以免造成不可避免的损失。
2.2 流量监控
一般进行流量监控时,首先要关注那些流量最大的终端节点。某一时段,丢包现象严重,网络性能下降,通过Omni peek软件分析发现网络阻塞,如图6所示。
经查看发现,内网IP为192.168.0.162的主机流量最大,且比例一直在持续增加,这是造成网络阻塞的重要原因。本文先分析网络流量的流向[4],通过Omni peek的peer map捕获发现,确定192.168.0.162向外网很多终端发送大量的数据包,如图7所示。再对数据包的传输协议进行查看,发现均为基于UDP的数据包。UDP是一个无连接、不可靠和缺乏安全性的传输层协议。通过对内网IP为192.168.0.162的主机进行单点分析,其在短时间内向257外网终端发出了7 863个数据包,其中UDP数据包占了91.4%,如图8所示。
主机向外网发出大量UDP数据包,虽然UDP数据包不像TCP建立连接需“3次握手”,可以被人利用SYN消耗一方资源,但如果利用大量UDP包冲击服务器,可能会造成UDP FLOOD攻击,也会使网络瘫痪。一般出现下面两种可能:(1)“肉鸡”终端不断向外网发送大量无意义的UDP数据包,利用UDP协议漏洞,在两台主机的网段之间产生大量没有实际意义的UDP数据流。这些数据流将占尽服务器的网络带宽资源,从而导致系统无法正常提供服务功能,造成DoS攻击[5]。(2)某种P2P下载软件的共享功能从图8得知,它收到了2 642个数据包。有关调查表明,P2P业务不断增加,造成了网络带宽的巨大消耗,引起网络拥塞,降低其他业务的性能。经查找证实,该内网终端确实在使用P2P软件Emule。在这种情况下,应对该终端进行限速处理,恢复网络通畅。
2.3 防止内网ARP欺骗攻击
在局域网中,最常见的攻击是ARP欺骗攻击。由于ARP使主机不会验证包的来源是否合理,使得一台主机在从未收到ARP请求包时,也可以发送ARP应答包。一旦某台主机收到ARP应答包,即使它从未向发送此应答包的主机发送过ARP请求包,仍会对本地的ARP缓存进行更新,将应答包中的IP和MAC地址存储在ARP缓存中,所以很多人利用这种缺陷,通过发送伪造的ARP应答包给发出请求的主机,从而改变它们之间的数据传输过程[6]。造成这种情况主要是因为ARP的基础就是信任局域网内所有的人,这样就很容易实现在以太网上的ARP欺骗。被ARP攻击的主要现象有:局域网内频繁性区域掉线,网速时快时慢,同时能够在网络中产生大量的ARP数据包通信量使网络阻塞。
某时段,发现捕获的数据包不显示目的IP地址及源IP地址,查看其数据包协议为ARP的应答包,如图9所示,分析证实必然是某台主机发送ARP欺骗数据包。
在MS-DOS环境下使用arp–a命令来查看ARP缓存,正常情况下,每一个内网IP都有唯一的MAC地址与之对应。某主机窜改MAC地址(人为或是病毒)(如图10所示),主机192.168.0.105伪造代理服务器192.168.0.1的MAC地址。
同时Omni peek软件的ARP数据包分析功能也发现异样,如图11所示,幅度较大的部分是ARP Response包的频率值,从图得知这个时段内有大量的ARP应答包,应答包数量大大超过请求包,经分析得知,图中大部分的应答包是192.168.0.105的终端发出的,以达到欺骗的目的。
内网管理员可以通过Omni peek软件第一时间察觉到ARP攻击,立即对恶意主机进行下线处理。
在基于代理服务器的环境下,通过网络嗅探软件Omni peek可以很方便地对内网进行实时监控管理。本文对常见的内网安全问题进行了分析和阐述,特别是第一种,由于内网主机本身没有真实IP地址,通过代理服务器的公共IP地址隐藏终端来攻击外网主机,而被攻击者又很难确定这台没有真实IP地址的终端。从被攻击者的角度,如何确定没有固定IP地址的终端,即非真实IP地址网络终端定位方法的有待进一步的研究。
参考文献
[1] 杨云江.计算机网络管理技术[M].第2版,北京:清华大学出版社,2009.
[2] 蔡林.网络嗅探技术在信息安全中的应用[J].计算机时代,2008(6):16-18.
[3] RICHARD S W.TCP/IP illustrated volume 1[M].北京:机械工业出版社,2002.
[4] DABIR A, MATRAWY A. Bottleneck analysis of traftic monitoring using wireshark[C]. 4th International Conference on Innovations in Information Technology, 2007, IEEE Innovations′07, 2007:158-162.
[5] OADEER M A. Network traffic analysis and intrusion detection using packet sniffer[C]. 2010 Second International Conference on Communication Software and Networks, 2010:313-317.
[6] 孙谦,黄家林,傅军.基于协议分析的ARP欺骗病毒源自动定位[J].现代计算机,2008,289:136-139.