交换环境下网络嗅探的检测与防御

摘 要信息技术的持续发展，网络得以更大范围地应用。与此同时，网络受攻击者攻击的频率越来越高，破坏程度也越来越大，这更突出了信息安全在信息网络发展中的重要作用。本文结合自身实际工作经验，分析交换环境下网络嗅探的检测与防御策略，以持续提升信息网络的安全程度。

【关键词】交换环境 网络嗅探 检测 防御

网络嗅探，主要是指网络信息交换过程中，利用网络嗅探等工具得到在网络中交互的数据包，从而对数据包完成智能分析，并得到网络分析所需要的网络数据。在网络嗅探中所得到的网络数据通常包括网络账号、用户口令信息、关键文本等关键数据。在网络安全保障工作中，网络嗅探已成为威胁信息安全的重要问题。因而，深入地探讨如何检测并防御交互环境下的网络嗅探问题，有助于提升网络环境的信息安全等级，更好地保障網络用户数据安全。

1 交互式环境下网络嗅探的常见实现方式

1.1 MAC地址伪造

MAC地址伪造，主要是利用修改计算机网络中本机的MAC地址信息，促使其跟攻击对象的计算机MAC地址信息一致，就能够达到同样的MAC地址信息就能够达到同一个MAC地址信息能够映射到交换机中不同的两个端口信息。通过MAC地址伪造，网络中所交互的数据包就会通过交换机中的两个不同端口发送出去，达到网络嗅探的入侵效果。

1.2 MAC地址溢出

计算机网络中所布置的交换机所创建的端到端网络连接，需要在内存中建立交换机端口与计算机终端MAC地址信息的映射关系信息。然而，受到内存大小的约束，所构建的地址映射信息所存在的端口与MAC地址映射关系相对有限。假如网络中交换机所获取的MAC地址信息很大比例上是攻击者所伪造的，占用了大量的内存缓存空间，从而会导致交换机中由于所接收的大量伪造数据而造成交换机难以完成正常地数据交换，转而通过广播的方式将网络信息发送到所有端口，达到传统的网络嗅探。

1.3 ARP欺骗攻击

交互网络环境下，ARP欺骗攻击，主要是指借助于向交互式网络内的目标主机发出伪造的ARP应答信息，从而进行更新计算机网络中攻击目标的计算机ARP缓存中的MAC数据及IP数据之间的对应信息，进而达到掌控网络中数据包走向的嗅探入侵效果。

2 交换式网络中网络嗅探的检测

2.1 DNS请求监视

当存在网络嗅探问题时，需要借助于DNS的发送以反向分析所需要处理的数据包以分析确定与IP信息相关的域名数据。因而，对网络中被嗅探的计算机主机所发出的DNS数据信息进行监测，就能够达到分析目标主机是否存在被网络嗅探的问题。因而，当利用PING网络命令监测伪造的IP地址时，假如该目标计算机有返回反向查询的DNS请求信息时，就表明该目标计算机终端有存在被网络嗅探的风险问题。

2.2 系统响应时间分析

通常而言，网络中的计算机系统一般不会处理来向不明的MAC地址信息所发来的数据包，因而，计算机网络中的计算机系统被攻击者推送大量伪造的MAC地址信息所发出的网络数据包时，网络嗅探监听系统就会对这些所伪造的网络数据包进行处理，这就耗费了大量的系统资源，增加了操作系统的相应时间，比计算机网络中未被监听的系统响应时间要长很多。因而，及时地关注分析操作系统的响应时间也是网络中网络嗅探的有效检测方式。

2.3 PING命令监测

假如在网络中怀疑存在网络嗅探问题时，可以尝试应用PING命令达到网络监测的效果。比如，在计算机网络中发出正确的IP地址以及异常的网络MAC地址信息都进行PING命令监测。假如所进行的两种方式，计算机网络主机终端都有发出相应的网络响应信息，这表明当前计算机网络中存在网络嗅探问题。比如，正常计算机网络中目标终端是不会接收到错误的MAC地址信息所发出的网络数据。想要分析计算机网络中所存在的ARP攻击问题，可以借助于多种方法。一方面，可以分析计算机网络中的交换机地址映射表以确定网络嗅探的MAC地址信息。另一方面，也可以根据网络嗅探攻击原理以制作网络嗅探分析工具，从而定位ARP攻击源的MAC信息。另外，也可以直接通过PING命令直接检测IP网关地址，从而检测分析与IP地址信息相对应的MAC地址信息，以分析判断网络攻击的真正地址信息。

3 交换环境下网络嗅探的防御策略

3.1 加密网络传输数据

网络加密技术，是当前网络安全的主要实现方式，也是当前网络嗅探防御的可行技术。网络传输数据过程中进行加密，已成为对付恶意嗅探的最佳防御方式。即使网络嗅探捕获了网络中所传输的数据包，网络嗅探工具也无法获悉正确地数据信息，这也使得网络嗅探失去了其应有的作用。因而，针对当前网络嗅探所存在的各种问题，可以通过SSH协议、IDEA加密技术等方式进行加密网络中所传输的数据，以达到网络嗅探防御的效果。

3.2 网络分割

通常而言，网络广播会通过同一根网络总线进行广播，因而，网络嗅探只会发生在相同的网络段中。因而，在网络嗅探防御工作中，就可以通过网络分割的方式将所构建的网络进行进一步的划分细化，从而尽量缩小网络嗅探的影响范围，从而确保当发生网络嗅探问题时其他网络段不会受到影响。因而，在网络搭建过程中，应该通过网络分割的方式以解决不同网络之间的信任关系，并在此基础之上设计形成更为高效地网络拓扑结构。

3.3 防止ARP欺骗

在当前的交换式网络环境中，网络嗅探监听需要通过ARP欺骗的方式开展各种嗅探行为。进行ARP欺骗的核心原理在于攻击者通过向目标终端发挥伪装的ARP应答，从而促使目标终端构建所伪造的IP地址信息与MAC地址信息之间的映射关系，并重写了目标终端的缓存数据。针对此种方式，可以考虑在包括防火墙以及路由器等网络重要设备设置静态方式的ARP，也可以将网络中访问频率较高的主机的IP地址信息与MAC地址信息写成静态的映射关系，并定期删除网络中使用频率较低的地址信息映射关系，从而最大化地减少ARP欺骗发生的次数。

4 结束语

网络嗅探问题，已成为当前信息安全领域最大的威胁因素。因而，在实际交换环境应用中，应深入地了解网络嗅探常见的实现方式，并制定积极有效的检测与防御策略，以提升网络的安全等级。

参考文献

[1]魏为民，袁仲雄.网络攻击与防御技术的研究与实践[J].信息网络安全，2012（12）：53-56.

[2]李光辉，佟云峰，孙余一，李依蓉.网络嗅探防御措施研究[J].有色金属设计，2012，39（04）：59-62+67.

[3]康文峥，余鹏.交换式网络嗅探与反嗅探研究[J].数字技术与应用，2013（03）：70.

作者简介

韩晓琛（1995-），男，青海省海东市循化撒拉族自治县人。撒拉族，2014级，大学本科学历。长治学院计算机系网络工程（网络规划构建方向）专业。

作者单位

长治学院 山西省长治市 046000