安全防范Linux嗅探器

抵御嗅探器的攻击

有二种方法可能会对抵御嗅探器的攻击有所作用：

1.检测和消灭嗅探器；

2．将数据隐藏，使嗅探器无法发现。

针对于第一种方法：检测和消灭嗅探器，可以采用检测混杂模式网卡的工具。

由于嗅探器需要将网络中入侵的网卡设置为混杂模式才能工作，所以有效检测混杂模式网卡的工具Anto-sniff就是一个好的工具。软件可以在http://www.securitysoftwatech.com/antisniff下载。但是嗅探器是非常难以被发现，因为它们是被动的程序。一个老练的黑客可以轻易通过破坏日志文件来掩盖信息，它并不会给别人留下进行核查的尾巴。

此处将对于第二种方法：将数据隐藏，使嗅探器无法发现重点介绍。

一般有两种防御的方法：

1．安全的拓扑结构；

2．会话加密。

嗅探器只能在当前网络段上进行数据捕获。这就意味着，将网络分段工作进行得越细，嗅探器能够收集的信息就越少。但是，除非你的公司是一个ISP，或者资源相对不受限制，否则这样的解决方案需要很大的代价。网络分段需要昂贵的硬件设备。有三种网络设备是嗅探器不可能跨过的：交换机、路由器、桥。

我们可以通过灵活的运用这些设备来进行网络分段。读者可能采用20个工作站为一组，这是一个比较合理的数字。然后，每个月人为地对每段进行检测(也可以每个月采用MD5随机地对某个段进行检测)。网络分段只适应于小的网络。如果有一个500个工作站的网络，分布在50个以上的部门中，那么完全的分段是价格所不允许的。即使在单位预算时有安全方面的考虑，也难以让单位主管相信需要50个硬件设备，而这只是为了防止嗅探器的攻击。在这样的情况下，对会话进行加密就是一种很好的选择。会话加密提供了另外一种解决方案。不要特别地担心数据被嗅探，而是要想办法使得嗅探器不认识嗅探到的数据。这种方法的优点是明显的：即使攻击者嗅探到了数据，这些数据对他也是没有用的。但是，其存在的缺点也非常明显。在加密时有两个主要的问题：一个是技术问题，一个是人为问题。

技术问题包括是否该加密到足够强大的程度，还是仅仅是想当然地认为它比较强大。例如，40位的加密就可能不够，而且并不是所有的应用程序都集成了加密支持。而且，跨平台的加密方案还比较少见，一般只在一些特殊的应用之中才有。再者，有些用户可能抵制使用加密，他们觉得这太麻烦。用户在开始时可能会同意使用加密，但他们很少能够坚持下。总之我们必须寻找一种友好的媒介，它还要具有一定的用户友好性。而Secure Shell（SSH）就具有上述的特征。通过使用SSH，你可以把所有传输的数据进行加密，这样“中间服务器”这种攻击方式就不可能实现了，而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为 FTP、POP,甚至PPP提供一个安全的“通道”。SSH绑定在端口22上，其连接采用协商方式使用RSA加密。身份鉴别完成之后，后面的所有流量都使用IDEA进行加密。SSH（Secure　Shell）程序可以通过网络登录到远程主机并执行命令。SSH的加密隧道保护的只是中间传输的安全性，使得任何通常的嗅探工具软件无法获取发送的内容。它提供了很强的安全验证可以在不安全的网络中进行安全的通信.所以它是防范嗅探器的一种方法。

简单使用SSH

安装

1.下载软件包，下载地址为www.ssh.com，下载最新软件包SSH2。最好下载源程序软件包自己进行自行编译。

2.解压及安装：

# tar -zxvf ssh2-2.4.0.tar.gz

# cd ssh2-2.4.0

# ./configure

# make

#make install

安装完成。这一过程实际上将服务器软件包及客户端软件一起安装了，不必再次安装客户端软件包。

已编译好的二进制软件包以rpm格式存放在ftp://ftp.ssh.com/pub/ssh/rpm目录下。它是一个给非商业用户使用的软件包，软件包名称为：ssh-2.4.0-1.i386.rpm，其中包含了对X-Window的支持。另一个不支持X-Window的软件包为ssh-2.4.0- 1nox.i386.rpm，下载后可以直接安装。安装程序将SSH2软件包安装在/usr/local/bin及/usr/local/sbin下。

配置

SSH的配置文件在/etc/ssh2下，其中包括sshd2的主机公钥和私钥：hostkey和hostkey.pub。这两个文件通常是在安装SSH时自动生成的。你可以通过下面的命令重新来生成它们：

#rm/etc/ssh2/hostkey*

#ssh-keygen2?P/etc/ssh2/hostkey

而ssh2_config文件一般情形下无需修改。

启动

在Uinux/Linux环境下，服务器程序放置在/usr/local/sbin目录下，启动方法如下：

# sshd

# ps x

可以看到SSHD已经启动了。如果不希望每次重启动系统，都要手工运行启动SSHD，则可以自己写一个脚本，放置在init.d目录下，让系统启动后，自动执行SSHD服务的启动工作。或者直接在rc.local中加入/usr/local/sbin/sshd。

使用SSH

客户端在Uinux/Linux系统中就是SSH，存放在/usr/local/bin目录下，中有SSH2、scp等客户端工具。用SSH登录远程主机方法如下：

host.ip.of.remote

其使用方法如同Telnet一样，不同之处是要求用户输入认证字符串。如果认证字符串通过了认证，则用户直接登录成功；如果不成功，则是要求用户输入系统口令。口令认证成功后，用户也可以成功登录系统。从使用上看，它与Telnet没有什么不同之处。而且有了SSH客户端软件，那么你要上传文件就不必向以前一样再开一个FTP窗口，再次认证，然后上传文件。使用SSH客户端自带的scp工具，就可以直接将文件上传到远端服务器上。使用方法如下：

host1:dir/filename host2:/home/abc/filename

嗅探器技术被广泛应用于网络维护和管理方面。它工作的时候就像一部被动声纳，默默的接收来自网络的各种信息。通过对这些数据的分析，网络管理员可以深入了解网络当前的运行状况，以便找出网络中的漏洞。这里并不想否定嗅探器好的作用。在网络安全日益被注意的今天，我们不但要正确使用嗅探器，还要合理防范嗅探器的危害。嗅探器能够造成很大的安全危害，主要是因为它们不容易被发现。可以通过学习使用嗅探器、了解黑客如何使用嗅探器进行攻击的方法，来抵御嗅探器的攻击。同时也要看到，最好地抵御嗅探器的方法是安全的拓扑结构和会话加密。