|
现在市场上涌现了很多网络监听管理软件(这里仅指通过旁路监听来管理网络的一类软件,网关型不在讨论范围之列,网关型的才符合网络规划)。网络监控软件很早之前就有了,当时主要功能是对网络状况进行分析,目前经过一些公司“发展”通过增加对客户端的攻击进行攻击,来达到网络管理的目的。 并且网络监控软件采用的技术还是多年前就有的技术,其实不应该称为“技术“,小伎俩而已。甚至有些公司将一些黑客n年前就在使用的伎俩包装了一下申请了专利。下面就这些网络监控软件“技术”进行一些粗浅介绍。
目前主要有两类监听旁路软件,采用两种不同的技术,当然他们的基础都是通过一定的手段达到监听数据目的。
1、 监听数据,发现非法数据,比如某某在访问黄色网站,立即对某某发动攻击。让其不能正常访问网络。
识别方式:这种网络监控软件需要能够监听到数据,所以要求hub或端口镜像等等,反正目的是要让它能听到数据。因此在公司的安装文档中需要有这种hub、端口镜像等都属于这类。
2、 一上来就进行攻击,让客户端路由指向自己,数据从自己这里过,从而进行管理。号称自己不象别的公司一样需要什么hub或端口镜像等等的就属此类。
(一)第一种
这种网络监控软件大部分都使用wincap开源软件来进行监听,也有自己写的,这部分的工作原理网上有很多,这里不赘述。这类网络监控软件都是从网络上监听数据,然后根据相应的规则进行判断,对非法的客户端发起攻击。 由于udp协议的特殊性,目前主要攻击是针对tcp协议的进行攻击,比如http,邮件等,对udp只能对已知协议的应用进行伪装攻击,比如dns,qq等。对不知道协议的udp它就无能为力了。列举网络监控软件一些主要的攻击手段:
1、ICMP攻击:发现非法数据,向客户端发起icmp路由重定向包,比如让客户机到www.sina.com.cn的路由指向一个不存在的路由地址,客户机当然就不能正常访问了。这种方式可以对任何协议有效,包括udp和tcp,还好任何防火墙都可以将其屏蔽掉。
2、RST攻击:这种攻击只能针对tcp。对udp无效。这是目前这些软件主要会采用的攻击手段。详细技术细节可以从网上查。 RST:(Reset the connection)用于复位因某种原因引起出现的错误连接,也用来拒绝非法数据和请求。如果接收到RST位时候,通常发生了某些错误。 假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为1.1.1.1,并向服务器发送一个带有RST位的TCP数据段。 服务器接收到这样的数据后,认为从1.1.1.1发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户1.1.1.1再发送合法数据,服务器就已经没有这样的连接了,该用户就必须重新开始建立连接。
对付这种攻击也可以通过防火墙简单设置就可以了。建议使用天网防火墙,将进来的包带RST位的包丢弃就可以了。参考网使用手册。
3、udp 。攻击方式只能对已知的udp应用进行攻击,比如dns,你要解析www.sina.com.cn,他伪装成dns服务器,告诉你不可解析,还有qq,他伪装成qq服务器的包告诉登陆失败就可以了。但对未知协议的udp应用它就无能为力了。目前流行的几种软件还没有一个声称自能能管理skype。
上面只是随便列举了几种,但都是主要的,基本上搞好防护就可以上网不受那些软件影响了。用攻击来管理网络本来就是违背网络建设宗旨的事情,更是笑掉大牙的事情。所以单位采购这样的软件只能增加网络管理的难度。
(二)第二种
基本原理就是基于arp欺骗,可以参考ARP攻击相关文案,只要用arp –s XXXXXXX(ip地址) XXXXXX( mac)地址命令把路由的mac地址静态的固定下来,那些软件就失效,win2000,98下是不可以的,微软的漏洞吧。从网络安全的角度讲,这些软件就是流氓软件,不断频繁地向网上发垃圾包。又起不到什么效果。
总体来说监听技术用来做数据分析是可以的,用来做控制就是忽悠了,根本不符合网络建设原则。网络控制应该是网关或网桥型,或者通过控制交换机路由器等接入设备来实现。
为什么会出现这么多网络监听控制软件?因为技术含量太低,完全是应用层编程。不是内核级,网关、网桥等网关都需要内核级编程,难度大。应用层开发简单,周期短。
|
闽公网安备 35021102001278号