使用ARP分组检测处于混杂模式的网络节点doc.doc

使用ARP分组检测处于混杂模式的网络节点 Version 1.0原著： HYPERLINK mailto:hylen@ Daiji Sanai英文版翻译：Kelvin King-Pang Tsang中文版翻译：nixe0n(译自英文版) HYPERLINK /solution/ \l abstract 摘要 HYPERLINK /solution/ \l introduction 1.简介 HYPERLINK /solution/ \l principle 2.网络嗅探的原理 HYPERLINK /solution/ \l concept 3.检测混杂模式的基本概念 HYPERLINK /solution/ \l basic 4.基础  HYPERLINK /solution/ \l hardwarefilter 1).硬件过滤器 HYPERLINK /solution/ \l arp_mechanism 2).ARP机制  HYPERLINK /solution/ \l basics_detection 5.检测处于混杂模式的节点 HYPERLINK /solution/ \l softfilter 6.软件过滤器  HYPERLINK /solution/ \l Linux 1).Linux HYPERLINK /solution/ \l windows 2).Micro$oft Windows  HYPERLINK /solution/ \l dection 7.混杂模式检测 HYPERLINK /solution/ \l dectectionall 8.检查所有网络节点 HYPERLINK /solution/ \l exception 9.异常情况  HYPERLINK /solution/ \l oldnic 1).旧网卡 HYPERLINK /solution/ \l com3 2).3COM网卡 HYPERLINK /solution/ \l win 3).Windows Y2K分组捕获驱动模块 摘要 在一个局域网中，安全问题应该引起注意。当纯文本数据在网络上传输时，任何网络用户都会很容易地窃取这些信息。在网络上窃取数据就叫作嗅探(sniffing)。通过嗅探网络，一个用户能够获得绝密文档的访问权限，窥探到任何人的隐私。在Internet上有很多自由散发的嗅探器软件可以实现上述目的。尽管进行网络嗅探非常容易，然而却没有很好的方法来检测这种恶意行为。本文将阐述PromiScan(一个能够有效地检测网络嗅探器的软件)使用的检测机制。嗅探器为了能够截获网络上所有的分组，必须把网络接口卡(Network Interface Card,NIC)设置为混杂模式(promiscuous mode)。接着，网卡就能够接受网络上所有的分组，并将其送到系统内核。地址解析协议(Address Resolution Protocol,ARP)请求报文用来查询硬件地址到IP地址的解析。我们将使用这类分组来校验网卡是否被设置为混杂模式(promiscuous mode)。之所以会使用ARP请求分组是因为它适用于所有基于以太网的IPV4协议。在混杂模式(promiscuous mode)下，网卡不会阻塞目的地址不是自己的分组，而是照单全收，并将其传送给系统内核。然后，系统内核会返回包含错误信息的报文。基于这种机制，我们可以假造一些ARP请求报文发送到网络上的各个节点，没有处于混杂模式的网卡会阻塞这些报文，但是如果某些节点有回应，就表示这些节点的网卡处于混杂模式下。这些处于混杂模式的节点就可能运行嗅探器程序。这样就可以成功地检测到网络运行的嗅探器程序。 1.简介 在局域网中，嗅探行为已经成为网络安全的一个巨大威胁。通过网络嗅探，一些恶意用户能够很容易地窃取到绝密的文档和任何人的隐私。要实现上述目的非常容易，恶意用户只要从网络上下载嗅探器并安全到自己的计算机就可以了。然而，却没有一个很好的方法来检测网络上的嗅探器程序。本文将讨论使用地址解析协议(Address Resolution Protocol)报文来有效地检测办公网络和校园网上的嗅探器程序。 3.网络嗅探的原理 局域网通常使用以太网进行连接。在以太网线缆上使用IP(IPV4)协议传输的传递的信息是明文传输的，除非使用了加密程序进行了加密。当一个人把信息发送到网络上，他会希望只有特定的用户才能收到这些信息。但是，非常不幸，以太网的工作机制为非验证用户提供了窃取这些数据的机会。以太网在进行信息传输时，会把分组送到各个网络节点，目