第3章网络监听及防御技术.ppt

* 网络入侵与防范讲义 网络入侵与防范讲义 第3章 网络监听及防御技术 部分来源：国家计算机网络入侵防范中心，张玉清 网络与信息安全 沈超 刘烃 自动化科学与技术系 西安交通大学电子与信息工程院 tingliu@mail.xjtu.edu.cn chaoshen@mail.xjtu.edu.cn * 网络入侵与防范讲义 * 内容介绍 3.1 网络监听概述 3.2 监听技术 3.3 监听的防御 3.4 小结 3.1 网络监听概述 3.2 监听技术 3.3 监听的防御 3.4 小结 * 网络入侵与防范讲义 * * 网络入侵与防范讲义 * 案例：观察登录BBS过程 设置网卡 如果有多个网络接口（网卡），首先在Capture Options中设置在哪个网络接口上抓包。勾选Capture packets in promiscuous mode选项，将网卡设置成混杂模式。 * 网络入侵与防范讲义 * 案例：观察登录BBS过程 设置过滤条件：捕获前过滤 * 网络入侵与防范讲义 * 案例：观察登录BBS过程 设置过滤条件：捕获后过滤 如果Filter框背景显示为绿色，说明所设定的过滤规则合乎Wireshark支持的语法规则。 如果Filter框背景显示为红色，说明所设定的过滤规则不符合语法规则。 * 网络入侵与防范讲义 * 案例：观察登录BBS过程 登录BBS的用户名和密码 主机向服 务器发送 的POST 请求 * 网络入侵与防范讲义 * 3.3 监听的防御 3.3.1 通用策略 3.3.2 共享网络下的防监听 3.3.3 交换网络下的防监听 * 网络入侵与防范讲义 * 3.3.1 通用策略 由于嗅探器是一种被动攻击技术，因此非常难以被发现。 完全主动的解决方案很难找到并且因网络类型而有一些差异，但我们可以先采用一些被动但却是通用的防御措施。 这主要包括采用安全的网络拓扑结构和数据加密技术两方面。此外要注意重点区域的安全防范。 * 网络入侵与防范讲义 * 安全的拓扑结构 网络分段越细，嗅探器能够收集的信息就越少。 网络分段：将网络分成一些小的网络，每一个网段的集线器被连接到一个交换器 (Switch) 上，所以数据包只能在该网段的内部被网络监听器截获，这样网络的剩余部分（不在同一网段）便被保护了。网络有三种网络设备是嗅探器不可能跨过的：交换机、路由器、网桥。我们可以通过灵活的运用这些设备来进行网络分段。 划分VLAN：使得网络隔离不必要的数据传送，一般可以采用20个工作站为一组，这是一个比较合理的数字。网络分段只适应于中小的网络。网络分段需要昂贵的硬件设备。 * 网络入侵与防范讲义 * 数据加密 数据通道加密：正常的数据都是通过事先建立的通道进行传输的，以往许多应用协议中明文传输的账号、口令的敏感信息将受到严密保护。目前的数据加密通道方式主要有SSH 、SSL(Secure Socket Layer，安全套接字应用层)和VPN。 数据内容加密：主要采用的是将目前被证实的较为可靠的加密机制对对互联网上传输的邮件和文件进行加密。如PGP(Pretty Good Privacy)等。 * 网络入侵与防范讲义 * 3.3 监听的防御 3.3.1 通用策略 3.3.2 共享网络下的防监听 3.3.3 交换网络下的防监听 * 网络入侵与防范讲义 * 3.3.2 共享网络下的防监听 虽然共享式局域网中的嗅探很隐蔽，但也有一些方法来帮助判断： 检测处于混杂模式的网卡 网络通讯丢包率非常高 检测技术 网络和主机响应时间测试 ARP检测（如AntiSniff 工具） * 网络入侵与防范讲义 * 3.3.2 共享网络下的防监听 1. 网络和主机响应时间测试 这种检测已被证明是最有效的，它能够发现网络中处于监听模式的机器，而不管其操作系统是什么。 * 网络入侵与防范讲义 * 3.3.2 共享网络下的防监听 1. 网络和主机响应时间测试 测试原理是处于非监听模式的网卡提供了硬件底层过滤机制，即目标地址为非本地(广播地址除外)的数据包将被网卡所丢弃。 这种情况下骤然增加目标地址不是本地的网络通讯流量对操作系统的影响很小。 而处于混杂模式下的机器则缺乏底层的过滤，骤然增加目标地址不是本地的网络通讯流量会对该机器造成较明显的影响(不同的操作系统/内核/用户方式会有不同)。 * 网络入侵与防范讲义 * 3.3.2 共享网络下的防监听 1. 网络和主机响应时间测试 实现方法是利用ICMP ECHO请求及响应计算出需要检测机器的响应时间基准和平均值。 在得到这个数据后，立刻向本地网络发送大量的伪造数据包，与此同时再次发送测试数据包以确定平均响应时间的变化值。 非监听模式的机器的响应时间变化量会很小，而监听模式的机器的响应时间变化量则通常会有1～4个数量级。 *