数据中心里最宝贵的就是数据,这些数据里隐含着很多私有的、机密信息,小到个人隐私,大到国家安全,所以保护数据是数据中心最为关键的任务,数据一旦被窃取被泄露,给数据中心带来的损失无法估计。然而,这些数据在数据中心里以及外部并不是静止的,躺在存储硬盘里睡大觉,而是通过网络在不断传递和变化着,网络成为数据传递的最为重要通道,无论是数据中心内部还是外部。对网络进行监听,就可以掌握数据的基本信息和特征,听起来网络监听这个词语贬义成分居多。而实际上,对网络监听对于数据中心管理非常重要。不过的确是凡事都有其两面性,数据中心可以对网络进行监听,数据中心之外的人也可以对网络进行监听,尤其是那些不法之徒,通过监听获取网络传递中的重要数据,从而窃密其中秘密或者将其破坏,这就是网络监听不好的一面。但是技术是没有好坏之分的,关键在于监听技术为谁使用,如果是好人用,可以方便数据中心管理,提升数据中心管理和运维水平,如果是恶人用,对数据中心的数据安全造成严重威胁。这里抛开善恶之分,只谈网络监听技术本身。
所谓网络监听技术,就是在互相通讯的两台设备之间通过技术手段插入一台可以接收并记录通讯内容的设备,最终实现对通讯双方的数据记录。一般要求用作监听的设备不能造成通讯双方的行为异常或连接中断等,即是说,监听方不能参与通讯中任何一方的通讯行为,仅仅是“被动”的接收记录通讯数据而不能对其进行篡改,一旦监听方违反这个要求,这次行为就不是“监听”,而是“劫持”了,显然这就是针对网络的恶意行为。网络监听是网络运维人员常用的技术,通过网络监听,技术人员可以监视网络的状态、数据流动的情况以及网络上传输的信息。但是,网络监听也是黑客常用的攻击手段,当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击,将网络接口设置在监听模式,便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关或远程网的调制解调器之间等,黑客用得最多的是截获用户的口令,尝试登录或夺取网络中其它主机的控制权,通过网络监听往往可以截获其它方法难以获得的信息。网络监听的对象是线缆中传输的数据包,在网络上交换的数据结构在以太网中成为帧,这种数据包是由记录着数据包发送给对方所必需信息的报头部分和记录着发送信息的报文部分构成。报头部分包含接收端地址、发送端地址、数据校验码等信息。以太网协议的工作方式是将要发送的数据包发往连接在一起的所有主机,通常只有与数据包中目标地址一致的那台主机才能接收到信息包,但当主机工作在监听模式下,不管数据包中目标地址是什么,主机都将可以接收到。
自网络监听这一技术诞生以来,产生了大量的可工作在各种平台上的相关软硬件工具,其中有商用的,也有免费的,还有很多是自创的,很多黑客都是自己编写监听软件,针对特定的数据中心发起网络监听,获取机密数据。在Windows环境下,常用的网络监听工具当然是著名的netxray以及snifferpro了,实际上很多人都用它在Windows环境下抓包来分析。Iris是Eeye公司的一款付费软件,有试用期,完全图形化界面,可以很方便地定制各种截获控制语句,对截获数据包进行分析,还原等。技术水平高低不同的人都可以从这个工具上得到自己想要得东西,这个工具也运行在Windows 95/98/ME/Windows NT/2000/XP平台上。而在Unix环境下,监听工具非常多,如Sniffit、Snoop、Tcp2dump、Dsniff等都是比较常见的,它们都能免费发布源代码,可用以研究。
除了网络监听,很多数据中心最为关心的是自己有没有被监听,毕竟自己在明处,而黑客都是在暗处,要时时保持警惕,看是否自己即将成为别人的盘中肉。由于运行监听程序的主机在进行监听的过程中只是被动地接收以太网中传输的信息,不会占用其它主机交换信息,也不能修改在网络中传输的信息包,因此要对网络监听进行检测很复杂。首先,可以对怀疑运行监听程序的服务器,用正确的IP地址和错误的物理地址PING,运行监听程序的服务器都会有响应,这是因为正常的服务器不接收错误的物理地址,处理监听状态的服务器能接收,从而发现监听服务器;其次,可以向网上发大量不存在的物理地址的包,由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,这将导致性能下降,通过比较前后该服务器性能加以判断;第三,可以使用反监听工具如Antisniffer等进行检测。当然,要在茫茫的网络海洋里找到那个将枪眼瞄准自己的狙击手是非常困难的,犹如大海捞针。最好还是自练内功,提升对网络监听的防御。从逻辑或物理上对网络分段,将非法用户与敏感的网络资源相互隔离,防止可能的非法监听。使用加密技术,对传递的数据进行加密,监听仍然可以得到传送的信息,但显示的是乱码。还可以运用VLAN、端口隔离、VXLAN等技术,将以太网通信变为点到点通信,可防止大部分基于网络监听的入侵。
网络监听技术作为一种工具,总是扮演着正反两方面的角色,数据中心对它是既爱又恨。对于入侵者黑客来说,通过网络监听技术可以很容易地获得机密数据信息,而对于入侵检测和追踪者来说,网络监听技术又能够在与入侵者的斗争中发挥重要的作用。
本文作者:佚名
来源:51CTO
