让我们暂时假设你使用可加密文件系统(EFS)加密一台服务器中存储的所有文件。现在让我们假设一个拥有合法访问权限的用户从他们的工作站访问其中的一个文件。当这个用户打开这个文件的时候,安全就被简单的攻破了。这个原因就是这个文件必须通过网络传送。这是一个问题,因为当用户访问一个加密的文件时,这个文件是在服务器级进行加密的,而不是在工作站级加密的。这就意味着这个加密文件在没有到达用户的PC之前已经被解密了。网络上任何稍微有一点知识的人都能够使用协议分析器拦截传输中的文件,并且获得访问这个文件中包含的信息的权限。
这种利用安全漏洞的方法能够奏效的原因与网络在大多数基本级别上工作的方式有关。在许多类型的网络中,一个网段中的所有的计算机都共享一个通用的连接介质。当一台计算机向另一台计算机传送一个数据包时,这个网段的所有的计算机都接收这个数据包。每一台计算机都检查这个数据包的目的地址,看自己是不是这个数据包的接收者。如果目的地址与这台计算机的地址不匹配,这台计算机就会认为这个数据包是发给其他人的并且忽略这个数据包。
协议分析器
然而,当一台计算机运行一个协议分析器的时候,这个协议分析器就会把这台计算机的网卡设置为混杂模式。这就意味着这台计算机不忽略任何数据包,无论这个数据包预定的目的地是什么。然后,协议分析器在显示屏上显示每一个数据包的内容。每一种协议分析器都是不同的。但是,目前的大多数协议分析器都允许用户过滤不需要的数据包并且重新建立数据包流。这个结果就是运行协议分析器的用户能够收到发送给他们的文件,能够阅读电子邮件信息,并且还能做任何他们想做的其它事情。
显然,这个想法就是在你的网络上的用户能够使用一个协议分析器偷窥在网络上传输的数据包的内容。事实上,一个用户使用协议分析器造成的破坏比我在这里向你们介绍的情况要严重得多。是的,一个配备了协议分析器的用户能够偷窃传输中的文件,阅读电子邮件,偷窥你正在观看的网页内容等等。但是,他们还能够偷窃你的在线身份。
身份盗窃
想一下这个问题。文件、电子邮件信息和网页并不是在网络上传送的惟一的东西。身份识别证书也在网络上传送。设想一下,你正在登录一个FTP网站。在你输入口令的时候,这个口令没有在屏幕上显示出来。你看到的每个字符的位置上是一个点或者星号。只要你一按下回车键,你的口令就被发送到那台FTP服务器。如果有人使用协议分析器监视这个输入口令的过程,他们不会看到以点或者星号代替的口令的字符,他们看到的是你用明文拼写的口令。
好了。公平地说,窃取一个口令并不总是这样容易。普通的FTP进程以明文形式发送口令,但是,最新的加密机制在口令传输之前对口令进行加密。当这台服务器收到口令的时候,服务器对口令进行加密并且检查其准确性。如果你要观察要传送的加密的口令,这个协议分析器不能让你看到任何东西,只能让你看到一个长长的难懂的字符串。
好消息是通过加密口令即使不能完全阻止也能够让使用协议分析器的人很难偷窃口令。坏消息是这种用户不需要偷窃口令。这种用户可以使用重放攻击偷窃你的身份。
重放攻击(Replay attack)
这是重放攻击的原理。使用协议分析器的人识别出一个身份数据包,但是由于这个口令是加密的,他不能阅读数据包中包含的口令。虽然这个口令是加密的,但是,这并不意味着那里不存在口令。这个数据包仍包含一个口令,而且这个口令以识别这个口令的服务器能够完全接受的某种形式存在着。在这种情况下,用户制作一个身份识别数据包的副本,然后把数据包来源的地址改为与他们使用的计算机相匹配的地址。然后,他们使用协议分析器把修改过的身份识别数据包发送到这个网络上负责身份识别的服务器。服务器收到这个数据包并且看到这个数据包里面包含了一个合法的身份识别证书。因此,这台服务器就认为身份被窃的用户是在黑客的计算机上登录的。简言之,黑客以他们窃取的用户的身份登录,黑客这样做甚至不需要猜出受害人的口令是什么。
由于黑客是假冒合法用户的身份,因此,身份证被盗窃的用户与假冒这些用户的黑客同时登录的情况时有发生。有时候,黑客会向他们假冒的用户实施拒绝服务攻击。这种攻击使受害人在黑客完成任务之前无法登录。
我如何保护网络?
所以,我猜想这个数百万美元的问题是你如何保护你的网络不受这种类型的攻击?你可以采用一些不同的方法。你需要做的第一件事情是安装一个系统,捕捉在你的网络中使用协议分析器的人。起初,捕捉一个使用协议分析器的人看起来似乎是不可能的,因为协议分析器是被动地监视网络通信的。
