计算机信息安全管理中网络嗅探技术的具体应用

朱　江

（广东凯通软件开发有限公司，广东　广州　501663）

计算机信息安全管理中网络嗅探技术的具体应用

朱江

（广东凯通软件开发有限公司，广东广州501663）

在现代计算机网络系统中，嗅探技术是计算机信息安全应用和管理过程中较为常用的一种技术手段，不仅可以作为不法分子的侵入工具，还可作为网络系统安全管理的重要工具和方法。实践中，应当立足实际，通过嗅探技术和方法的应用，对整个计算机网络系统实时监控，及时准确地发现攻击行为。文章主要分析了嗅探技术手段在检测、侵入防范过程中的应用，并在此基础上阐述观点和认识。

计算机；信息；嗅探技术；安全管理

所谓嗅探技术，有时也称之为监听技术，在现代计算机网络安全系统中，通常是指利用某种方式进行窃听并发送给本机的数据包动态过程。从某种意义上来讲，嗅探技术在计算机信息安全管理、黑客防御过程中，起到了举足轻重的作用。

1　网络嗅探技术分类及其机理

从功能的视角考虑，网络嗅探器包括两种类型，一种是利用网络设备，另一种则是专用设备，这里所讲的设备是指嗅探器。其中，前者支持的协议呈现出多样性特点，比如Snifferit；对于后者而言，通常是针对特定的技术软件、特定功能等进行即时通讯的软件，比如嗅探器、专门嗅探密码的装置等。基于工作环境以及工作机理分析，嗅探技术包括广播网、本机以及交换机等几种类型的嗅探等方法。

1.1本机嗅探技术

所谓本机嗅探是指在某台计算机内，嗅探程序通过某种方式，获取发送给其他进程的数据包的过程。例如，当邮件客户端在收发邮件时，嗅探程序可以窃听到所有的交互过程和其中传递的数据。通常情况下，获得网络数据包以后，需经硬件驱动以及操作协议栈方可进入应用程序进行处理。实践中，若在硬件驱动层、协议栈层对数据包获取代码进行编写，可以获得其他程序运行和应用实践中中的网络数据和信息。

1.2广播网嗅探技术

对于广播网而言，通常是在Hub（集线器）局域网络应用基础上，利用总线方式获得的数据包在网络系统中被发送至端口位置。广播网在传输信息数据过程中，主要是通过“共享”，本地网范畴中的计算机接收的数据包是一样的。基于此，以太网卡作为硬件“过滤”设备；该过滤器严重忽略了与本身没有任何关系的网络信息，即忽略了与媒体接入控制（Media Access Control，MAC）地址不符合的相关信息。广播网中，全部网卡均会收到数据包；再基于过滤器过滤无关数据包，将本机网卡设置成混杂形式，即可使嗅探技术支持广播网的嗅探应用。

1.3交换机应用放入嗅探技术

交换机的工作原理与Hub不同，它不再将数据包转发给所有的端口，而是采用分组交换模式传输单至单的信息数据。在此过程中，交换机能够将各端口MAC地址准确地记录下来。同时，结合数据包目的地址对目的端口进行优选，通过对预设地址网卡的把控，可以对数据信息进行准确把握。在交换机嗅探作用下，尤其是在交换环境条件中，通过一定的方式和方法嗅探。对于交换机而言，其主要是采用分组交换模式，仅仅将网卡简单地设定成混杂的模式，无法嗅探出相关的网络数据包，仅接收本机的信息数据包，采用其他方式进行嗅探。

2　计算机信息安全管理过程中的网络嗅探技术应用

2.1对网络入侵进行严格监测和控制

对于网络入侵检测而言，实际上就是采用模式匹配以及异常分析等方法，全面分析网络数据包，对入侵、病毒蠕虫以及攻击和传播等违规事件和行为进行严格把控，尤其要对所采用的软硬件进行监控。对于网络入侵检测而言，其带有一定嗅探工具，而且具有专家系统。在检测网络入侵问题时，应当将嗅探到的数据包进行分析。在此过程中，分析模块应当结合专家库特征、模型等提取有害或者可疑事件，对网络系统蠕虫病毒、系统进行安全报警。从实践来看，入侵检测与协议分析设备基本一致，通常在交换机镜像端口之上。

2.2对网络系统运行安全进行严格审计

所谓网络审计，实际上就是利用网络嗅探技术和工具，获取数据包、解码以后对其进行存储，目的在于为后期查询进行实时报警。采用嗅探技术的应用，网络审计能够优选实现上网审计、违规数据严格监控等。基于嗅探技术应用的网络审计软件，其在重点网络节点进行运行，并对网络系统中的数据流合法性进行严格的检查。

2.3对计算机网络蠕虫病毒进行严格控制

调查发现，当前计算机网络系统中的病毒蠕虫呈现出泛滥状态，而且其传播范围也不断地扩大，传播速度加快。在该种情况下，利用嗅探技术手段控制蠕虫病毒，能够起到非常好的应用效果。第一，利用网络嗅探技术进行流量检测，可以发现网络流量问题，一旦出现异常，可根据已建异常模型，对网络蠕虫病毒进行提前预知。第二，通过对网络嗅探协议进行分析，对蠕虫病毒情况及其发作与否进行全面了解，并且及时进行预警。第三，通过利用嗅探技术，尽早对蠕虫病毒样本进行获取，通过详细分析，制定防御、清除措施和应对方案。第四，利用嗅探技术对入侵进行严格检测，以此对局域网络内的蠕虫病毒源进行确定，及时对病毒蠕虫进行扼杀。

2.4网络布控及其追踪

结合当前计算机网络犯罪特点和趋势，利用嗅探技术手段对黑客入侵以及拒绝服务攻击等进行追踪，并且协助执法部门对计算机网络犯罪行为、违反者进行准确定位。对于当前的计算机网络犯罪而言，通常采用的是跳板，通过中间主机攻击或危害计算机网络系统，从事非法活动。值得一提的是，在捕获不法分子过程中，上述问题带来了非常大的技术障碍；嗅探技术工具的应用，能够帮助执法人员很好地应对该问题。在网络布控过程中，其具体操作如下。某犯罪行为是基于中间跳板主机而发生的，暂时对主机无法进行明显操作；而嗅探技术的应用，可以对其采取24小时不间断跟踪监控，只要不法分子对该主机进行远程登录，则嗅探器即可将该不法分子所在的网络协议（Internet Protocol，IP）地址准确地定位下来，这样既可实现协助定位以及实时跟踪监控。在此过程中需要注意以下事项：部分不法分子采用跳板方式侵入网络系统，对此应当多次进行布控，只有这样才能获得准确的IP地址。从本质上来讲，网络追踪实际上就是针对伪造的某一IP地址攻击追查法。实践中，因网络攻击多采用的是虚假IP地址，尤其是那些规模较大的拒绝服务侵入，所以从嗅探技术应用获取的相关数据信息分析，难以准确对攻击源进行判断。针对该种情况，需利用移动的嗅探技术和工具，采用溯源方式自终点逐个进行前溯，最后找到攻击起源。

2.5网络取证

从市场调查现状来看，目前国内计算机网络犯罪率不断升高，加之传统犯罪网络化趋势明显，而传统的电话录音、取证等方法已经无法有效满足日益变化和发展要求。在该种情况下，嗅探技术的应用，成为一种有力的取证工具和手段，而且可以有效填补传统空白。在嗅探技术应用过程中，网络取证工具能够利用在需取证犯罪行为所需的计算机以及网络系统之中，并且可以将违法犯罪分子的行为（比如上网记录、发的邮件以及QQ聊天信息等）进行实时跟踪和调取信息内容进行分析，这有利于案件的及时侦破。

3　结语

总而言之，国内计算机网络系统中的网络嗅探技术应用，大大提高了网络安全可靠性及其管理效率。然而，目前尚无那种技术手段是一劳永逸的，不可能采取某种技术手段和方法就能永久防止不法入侵。当前所应用的嗅探技术，不过是在不法分子入侵系统以后用以有价值信息的收集，在计算机网络安全管理与维护时，防止系统被侵入至关重要；同时，还要定期检测网络系统的运行安全可靠性，防止出现潜在的风险。实践中，为了能够有效防止或者避免嗅探侵入，建议按时对安全报告、网络状态进行追踪，一旦发现异常，则需及时进行介入，以此来有效减少网络危害，最大限度地发挥嗅探技术的应用作用。

［1］魏强.计算机网络欺骗和嗅探技术研究［J］.渭南师范学院学报，2014（19）：44-48.

［2］褚宗饶.探究计算机技术如何保障信息安全［J］.电脑知识与技术，2015（6）：10-14.

［3］高强.探析网络嗅探技术［J］.农业网络信息，2012（5）：84-86.

［4］王晓华，程兆敏.通信网络嗅探技术浅析［J］.中国科技财富，2012（15）：24-27.

［5］俞淑婷.基于WLAN嗅探攻防的安全技术研究［D］.天津：天津大学，2013.

Specific application of network sniffer technology in security management of computer information

Zhu Jiang
（Guangdong KaiTong software development Co.， Ltd.， Guangzhou 501663， China）

In modern computer network system， sniffer technology is a commonly used technical means in the process of application and management of computer information security， which can not only be a lawless intrusion tool， but also an important tools and methods of security management in network system.In the practice， we should take real-time monitoring of the entire computer network system on the basis of reality， through the use and method of sniffer technology， to find the attack timely and accurately. This article mainly analyzes the sniffer technology application in the process of detection， intrusion prevention and on the basis of which， idea and understanding of the sniffer technology are elaborated.

computer； information； sniffer technology； safety management

朱江（1975— ），男，浙江杭州，本科；研究方向：通信技术。