摘  要： 網絡邊界處的防火墻系統可以有效防御一些來自外網的攻擊，在入侵檢測系統的實時保護下，理論上可以保障內網安全無憂。然而，內部網絡的非法操作更隱蔽、更有威脅。針對這種情況，通過嗅探技術對內網進行實時的流量監控和數據包分析，較好地加強和保障了內網的安全。
關鍵詞： 嗅探技術；流量監控；數據包分析

    由于TCP/IP協議族本身存在許多安全漏洞，使復雜的網絡安全難以保障。網絡安全一般來說分為網絡外部安全和網絡內部安全兩方面，這兩方面出現的安全問題的比例約為3：7，顯然，最普遍的安全威脅主要來自內部。內網由大量的終端組成，內網任何一部分的安全問題，都可能導致整個內部網絡的癱瘓。內網的安全通常依靠主機防護系統、入侵檢測系統(IDS)及漏洞掃描技術等來保證[1]。針對使用入侵檢測系統的內網，由于網絡傳輸速率的大大加快，使IDS的負擔加重，造成了IDS的高虛警率，且IDS在應對對自身的攻擊時，對其他傳輸的檢測也會被抑制。因此本文通過嗅探技術加強對內網的實時監控管理，一定程度上加強了內網安全。
1 嗅探技術及Omni peek
    網絡嗅探是指利用計算機的網絡接口截獲目的地為其他計算機的數據報文的一種手段。網絡嗅探技術不主動向網絡發送數據包，而是監聽、提取和解析網絡中正在傳輸的數據包。網絡嗅探技術是一把雙刃劍，其正當用途主要是分析網絡的流量及性能，以便找出網絡中潛在的問題，但不可用于竊取私密信息[2]。如果某時段一個網段運行不暢，造成信息包的發送比較慢，丟包現象嚴重，而網絡管理員又不知道問題所在，此時就可以用嗅探軟件作出較準確的判斷。
    Omni peek是出自WildPackets的著名抓包軟件，其功能與Sniffer Pro有相似之處，是一款網管和應用故障診斷分析軟件。針對復雜的網絡環境，執行管理、監控、分析、除錯及最佳化的工作。Omni peek軟件v6.02提供更好的圖形用戶界面，不管是在有線網絡還是在無線網絡中，它都能夠給予網絡管理人員實時的網絡監視、數據包捕獲以及故障診斷分析能力。
2 實時網絡監控
2.1 協議分析
    在共享網絡環境下，即由集線器組成的局域網環境，只需將網卡設置成混雜模式，即可監聽到所有經過該網卡的數據包。而在交換網絡環境，設置網卡接收模式就不可行了。因此，在一個交換式的局域網中，在其任一臺主機上安裝網絡嗅探工具，無論其嗅探功能如何強大，也無能為力。這時，它只能嗅探到從本機進出的數據包。而若把嗅探工具安裝在代理服務器上便可解決這一問題。對內網的實時監控，不是為了實時記錄網絡狀態，而是為了發現異常和攻擊。本文分析了一些常見的內網安全問題(正常的數據包就不再此闡釋)，通過運行Omni peek，捕獲數據包，經查看發現內網主機192.168.0.136的數據包可疑，剛開機不久便向IP地址為24.89.201.200發送大量數據包，且這臺主機發出的所有數據包協議都基于HTTP，如圖1所示。

    通過查看某個捕獲的數據包的源碼，解碼后如表1所示。

    由于HTTP是基于請求/響應范式的，信息交換過程分為4個部分：建立連接、發送請求、發送響應、關閉連接。但捕獲到的內網IP為192.168.0.136的主機所發出的數據包卻很可疑，ACK確認的數量值全為0。圖2是通過Omni peek軟件對TCP的解析，發現所有數據包均是SYN包，而SYN包是主機要發起TCP連接時發出的數據包，也就是這臺內網主機不斷地向外網中的某主機建立HTTP連接，但沒有得到任何回應，既未收到ACK確認包，也沒有FIN釋放連接[3]。

    在30 s內，內網主機192.168.0.136從網絡收到的數據包數只有5個，但其向外網發出的數據包卻有904個，如圖3所示。

    這時用Omni peek節點分析功能，查看192.168.0.136節點的詳細資料統計，如圖4所示，發現HTTP協議占了整個通信協議的99.386%。

    通過對上述情況的分析，可以推測192.168.0.136所收到的5個包是來自別的節點的DNS包(從圖3可以看出總共有3個節點與它通信，并且圖4的協議中DNS數據包占了0.614%)。
    當單獨查看IP地址為192.168.0.136與24.89.201.200的主機通信協議時，則100%都是HTTP協議，如圖5所示。它與IP地址為24.89.201.200的主機通信全是基于HTTP的，但沒有收到一個回包。這對HTTP來說顯然是不正常的，HTTP是基于TCP、是有連接的，不會只發不收。因此判斷該主機可能是感染了病毒，是造成TCP SYN泛洪(Flood)攻擊所需的“肉雞”。

    然而對于被攻擊主機來說，由于SYN泛洪攻擊所使用的IP地址并不是真實的地址，而是代理服務器的公共IP地址，所以被攻擊者最多只能追蹤到內網代理服務器的IP地址為210.40.20.76(假設未使用二級以上代理)，而要確定攻擊終端很難，黑客通常利用這種攻擊的隱蔽性肆意破壞。所以，內網管理員應該立即確定這臺內網主機，對其進行下線處理，再進行掃描殺毒，以免造成不可避免的損失。
2.2 流量監控
    一般進行流量監控時，首先要關注那些流量最大的終端節點。某一時段，丟包現象嚴重，網絡性能下降，通過Omni peek軟件分析發現網絡阻塞，如圖6所示。

    經查看發現，內網IP為192.168.0.162的主機流量最大，且比例一直在持續增加，這是造成網絡阻塞的重要原因。本文先分析網絡流量的流向[4]，通過Omni peek的peer map捕獲發現，確定192.168.0.162向外網很多終端發送大量的數據包，如圖7所示。再對數據包的傳輸協議進行查看，發現均為基于UDP的數據包。UDP是一個無連接、不可靠和缺乏安全性的傳輸層協議。通過對內網IP為192.168.0.162的主機進行單點分析，其在短時間內向257外網終端發出了7 863個數據包，其中UDP數據包占了91.4%，如圖8所示。

    主機向外網發出大量UDP數據包，雖然UDP數據包不像TCP建立連接需“3次握手”，可以被人利用SYN消耗一方資源，但如果利用大量UDP包沖擊服務器，可能會造成UDP FLOOD攻擊，也會使網絡癱瘓。一般出現下面兩種可能：(1)“肉雞”終端不斷向外網發送大量無意義的UDP數據包，利用UDP協議漏洞，在兩臺主機的網段之間產生大量沒有實際意義的UDP數據流。這些數據流將占盡服務器的網絡帶寬資源，從而導致系統無法正常提供服務功能，造成DoS攻擊[5]。(2)某種P2P下載軟件的共享功能從圖8得知，它收到了2 642個數據包。有關調查表明，P2P業務不斷增加，造成了網絡帶寬的巨大消耗，引起網絡擁塞，降低其他業務的性能。經查找證實，該內網終端確實在使用P2P軟件Emule。在這種情況下，應對該終端進行限速處理，恢復網絡通暢。
2.3 防止內網ARP欺騙攻擊
    在局域網中，最常見的攻擊是ARP欺騙攻擊。由于ARP使主機不會驗證包的來源是否合理，使得一臺主機在從未收到ARP請求包時，也可以發送ARP應答包。一旦某臺主機收到ARP應答包，即使它從未向發送此應答包的主機發送過ARP請求包，仍會對本地的ARP緩存進行更新，將應答包中的IP和MAC地址存儲在ARP緩存中，所以很多人利用這種缺陷，通過發送偽造的ARP應答包給發出請求的主機，從而改變它們之間的數據傳輸過程[6]。造成這種情況主要是因為ARP的基礎就是信任局域網內所有的人，這樣就很容易實現在以太網上的ARP欺騙。被ARP攻擊的主要現象有：局域網內頻繁性區域掉線，網速時快時慢，同時能夠在網絡中產生大量的ARP數據包通信量使網絡阻塞。
    某時段，發現捕獲的數據包不顯示目的IP地址及源IP地址，查看其數據包協議為ARP的應答包，如圖9所示，分析證實必然是某臺主機發送ARP欺騙數據包。

    在MS-DOS環境下使用arp–a命令來查看ARP緩存，正常情況下，每一個內網IP都有唯一的MAC地址與之對應。某主機竄改MAC地址(人為或是病毒)(如圖10所示)，主機192.168.0.105偽造代理服務器192.168.0.1的MAC地址。

    同時Omni peek軟件的ARP數據包分析功能也發現異樣，如圖11所示，幅度較大的部分是ARP Response包的頻率值，從圖得知這個時段內有大量的ARP應答包，應答包數量大大超過請求包，經分析得知，圖中大部分的應答包是192.168.0.105的終端發出的，以達到欺騙的目的。

    內網管理員可以通過Omni peek軟件第一時間察覺到ARP攻擊，立即對惡意主機進行下線處理。
    在基于代理服務器的環境下，通過網絡嗅探軟件Omni peek可以很方便地對內網進行實時監控管理。本文對常見的內網安全問題進行了分析和闡述，特別是第一種，由于內網主機本身沒有真實IP地址，通過代理服務器的公共IP地址隱藏終端來攻擊外網主機，而被攻擊者又很難確定這臺沒有真實IP地址的終端。從被攻擊者的角度，如何確定沒有固定IP地址的終端，即非真實IP地址網絡終端定位方法的有待進一步的研究。
參考文獻
[1] 楊云江.計算機網絡管理技術[M].第2版，北京：清華大學出版社，2009.
[2] 蔡林.網絡嗅探技術在信息安全中的應用[J].計算機時代，2008(6)：16-18.
[3] RICHARD S W.TCP/IP illustrated volume 1[M].北京：機械工業出版社，2002.
[4] DABIR A， MATRAWY A. Bottleneck analysis of traftic monitoring using wireshark[C]. 4th International Conference on Innovations in Information Technology， 2007， IEEE Innovations′07， 2007：158-162.
[5] OADEER M A. Network traffic analysis and intrusion detection using packet sniffer[C]. 2010 Second International Conference on Communication Software and Networks， 2010：313-317.
[6] 孫謙，黃家林，傅軍.基于協議分析的ARP欺騙病毒源自動定位[J].現代計算機，2008，289：136-139.