局域網(wǎng)禁用詞語的原理、實(shí)現(xiàn)與防范

13 套ROOTKITS源碼—Windows內(nèi)核的安全防護(hù)

• 類型：源碼相關(guān)大�。�541KB語言：中文 評分：7.1
• 標(biāo)簽：

立即下載

 一、引言

    隨著計(jì)算機(jī)技術(shù)的發(fā)展，網(wǎng)絡(luò)已日益成為生活中不可或缺的工具，但伴之而來的非法入侵也一直威脅著計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。由于局域網(wǎng)中采用廣播方式，因此，在某個(gè)廣播域中可以禁用詞語到所有的信息包。而黑客通過對信息包進(jìn)行分析，就能獲取局域網(wǎng)上傳輸?shù)囊恍┲匾�信息。事�?shí)上，很多黑客入侵時(shí)都把局域網(wǎng)掃描和偵聽作為其最基本的步驟和手段，原因是想用這種方法獲取其想要的密碼等信息。但另一方面，我們對黑客入侵活動(dòng)和其它網(wǎng)絡(luò)犯罪進(jìn)行偵查、取證時(shí)，也可以使用網(wǎng)絡(luò)禁用詞語技術(shù)來獲取必要的信息。因此，了解以太網(wǎng)禁用詞語技術(shù)的原理、實(shí)現(xiàn)方法和防范措施就顯得尤為重要。
    二、局域網(wǎng)禁用詞語的基本原理
    根據(jù)IEEE的描述，局域網(wǎng)技術(shù)是“把分散在一個(gè)建筑物或相鄰幾個(gè)建筑物中的計(jì)算機(jī)、終端、大容量存儲(chǔ)器的外圍設(shè)備、控制器、顯示器、以及為連接其它網(wǎng)絡(luò)而使用的網(wǎng)絡(luò)連接器等相互連接起來，以很高的速度進(jìn)行通訊的手段”。
    局域網(wǎng)具有設(shè)備共享、信息共享、可進(jìn)行高速數(shù)據(jù)通訊和多媒體信息通信、分布式處理、具有較高的兼容性和安全性等基本功能和特點(diǎn)。目前局域網(wǎng)主要用于辦公室自動(dòng)化和校園教學(xué)及管理，一般可根據(jù)具體情況采用總線形、環(huán)形、樹形及星形的拓?fù)浣Y(jié)構(gòu)。
    1. 網(wǎng)絡(luò)禁用詞語
    網(wǎng)絡(luò)禁用詞語技術(shù)本來是提供給網(wǎng)絡(luò)安全管理人員進(jìn)行管理的工具，可以用來監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌取．?dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時(shí)，使用禁用詞語技術(shù)進(jìn)行攻擊并不是一件難事，只要將網(wǎng)絡(luò)接口設(shè)置成禁用詞語模式，便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@。網(wǎng)絡(luò)禁用詞語可以在網(wǎng)上的任何一個(gè)位置實(shí)施，如局域網(wǎng)中的一臺(tái)主機(jī)、網(wǎng)關(guān)上或遠(yuǎn)程網(wǎng)的調(diào)制解調(diào)器之間等。
    2. 在局域網(wǎng)實(shí)現(xiàn)禁用詞語的基本原理
    對于目前很流行的以太網(wǎng)協(xié)議，其工作方式是：將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機(jī)，包中包含著應(yīng)該接收數(shù)據(jù)包主機(jī)的正確地址，只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才能接收。但是，當(dāng)主機(jī)工作禁用詞語模式下，無論數(shù)據(jù)包中的目標(biāo)地址是什么，主機(jī)都將接收（當(dāng)然只能禁用詞語經(jīng)過自己網(wǎng)絡(luò)接口的那些包）。
    在因特網(wǎng)上有很多使用以太網(wǎng)協(xié)議的局域網(wǎng)，許多主機(jī)通過電纜、集線器連在一起。當(dāng)同一網(wǎng)絡(luò)中的兩臺(tái)主機(jī)通信的時(shí)候，源主機(jī)將寫有目的的主機(jī)地址的數(shù)據(jù)包直接發(fā)向目的主機(jī)。但這種數(shù)據(jù)包不能在IP層直接發(fā)送，必須從TCP/IP協(xié)議的IP層交給網(wǎng)絡(luò)接口，也就是數(shù)據(jù)鏈路層，而網(wǎng)絡(luò)接口是不會(huì)識別IP地址的，因此在網(wǎng)絡(luò)接口數(shù)據(jù)包又增加了一部分以太幀頭的信息。在幀頭中有兩個(gè)域，分別為只有網(wǎng)絡(luò)接口才能識別的源主機(jī)和目的主機(jī)的物理地址，這是一個(gè)與IP地址相對應(yīng)的48位的地址。
    傳輸數(shù)據(jù)時(shí)，包含物理地址的幀從網(wǎng)絡(luò)接口（網(wǎng)卡）發(fā)送到物理的線路上，如果局域網(wǎng)是由一條粗纜或細(xì)纜連接而成，則數(shù)字信號在電纜上傳輸，能夠到達(dá)線路上的每一臺(tái)主機(jī)。當(dāng)使用集線器時(shí)，由集線器再發(fā)向連接在集線器上的每一條線路，數(shù)字信號也能到達(dá)連接在集線器上的每一臺(tái)主機(jī)。當(dāng)數(shù)字信號到達(dá)一臺(tái)主機(jī)的網(wǎng)絡(luò)接口時(shí)，正常情況下，網(wǎng)絡(luò)接口讀入數(shù)據(jù)幀，進(jìn)行檢查，如果數(shù)據(jù)幀中攜帶的物理地址是自己的或者是廣播地址，則將數(shù)據(jù)幀交給上層協(xié)議軟件，也就是IP層軟件，否則就將這個(gè)幀丟棄。對于每一個(gè)到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)幀，都要進(jìn)行這個(gè)過程。
    然而，當(dāng)主機(jī)工作在禁用詞語模式下，所有的數(shù)據(jù)幀都將被交給上層協(xié)議軟件處理。而且，當(dāng)連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個(gè)子網(wǎng)時(shí)，如果一臺(tái)主機(jī)處于禁用詞語模式下，它還能接收到發(fā)向與自己不在同一子網(wǎng)（使用了不同的掩碼、IP地址和網(wǎng)關(guān)）的主機(jī)的數(shù)據(jù)包。也就是說，在同一條物理信道上傳輸?shù)乃�有信息都可以被接收到。另外，現(xiàn)在網(wǎng)絡(luò)中使用的大部分協(xié)議都是很早設(shè)計(jì)的，許多協(xié)議的實(shí)現(xiàn)都是基于一種非常友好的、通信的雙方充分信任的基礎(chǔ)之上，許多信息以明文發(fā)送。因此，如果用戶的賬戶名和口令等信息也以明文的方式在網(wǎng)上傳輸，而此時(shí)一個(gè)黑客或網(wǎng)絡(luò)攻擊者正在進(jìn)行網(wǎng)絡(luò)禁用詞語，只要具有初步的網(wǎng)絡(luò)和TCP/IP協(xié)議知識，便能輕易地從禁用詞語到的信息中提取出感興趣的部分。同理，正確的使用網(wǎng)絡(luò)禁用詞語技術(shù)也可以發(fā)現(xiàn)入侵并對入侵者進(jìn)行追蹤定位，在對網(wǎng)絡(luò)犯罪進(jìn)行偵查取證時(shí)獲取有關(guān)犯罪行為的重要信息，成為打擊網(wǎng)絡(luò)犯罪的有力手段。