數據中心里最寶貴的就是數據,這些數據里隱含著很多私有的、機密信息,小到個人隱私,大到國家安全,所以保護數據是數據中心最為關鍵的任務,數據一旦被竊取被泄露,給數據中心帶來的損失無法估計。然而,這些數據在數據中心里以及外部并不是靜止的,躺在存儲硬盤里睡大覺,而是通過網絡在不斷傳遞和變化著,網絡成為數據傳遞的最為重要通道,無論是數據中心內部還是外部。對網絡進行監聽,就可以掌握數據的基本信息和特征,聽起來網絡監聽這個詞語貶義成分居多。而實際上,對網絡監聽對于數據中心管理非常重要。不過的確是凡事都有其兩面性,數據中心可以對網絡進行監聽,數據中心之外的人也可以對網絡進行監聽,尤其是那些不法之徒,美國抗攻擊服務器 亞洲服務器,通過監聽獲取網絡傳遞中的重要數據,從而竊密其中秘密或者將其破壞,這就是網絡監聽不好的一面。但是技術是沒有好壞之分的,關鍵在于監聽技術為誰使用,如果是好人用,可以方便數據中心管理,提升數據中心管理和運維水平,如果是惡人用,對數據中心的數據安全造成嚴重威脅。這里拋開善惡之分,只談網絡監聽技術本身。
所謂網絡監聽技術,就是在互相通訊的兩臺設備之間通過技術手段插入一臺可以接收并記錄通訊內容的設備,最終實現對通訊雙方的數據記錄。一般要求用作監聽的設備不能造成通訊雙方的行為異常或連接中斷等,即是說,監聽方不能參與通訊中任何一方的通訊行為,僅僅是“被動”的接收記錄通訊數據而不能對其進行篡改,一旦監聽方違反這個要求,這次行為就不是“監聽”,而是“劫持”了,顯然這就是針對網絡的惡意行為。網絡監聽是網絡運維人員常用的技術,通過網絡監聽,技術人員可以監視網絡的狀態、數據流動的情況以及網絡上傳輸的信息。但是,網絡監聽也是黑客常用的攻擊手段,當信息以明文的形式在網絡上傳輸時,便可以使用網絡監聽的方式來進行攻擊,將網絡接口設置在監聽模式,便可以源源不斷地將網上傳輸的信息截獲。網絡監聽可以在網上的任何一個位置實施,如局域網中的一臺主機、網關或遠程網的調制解調器之間等,黑客用得最多的是截獲用戶的口令,嘗試登錄或奪取網絡中其它主機的控制權,通過網絡監聽往往可以截獲其它方法難以獲得的信息。網絡監聽的對象是線纜中傳輸的數據包,在網絡上交換的數據結構在以太網中成為幀,這種數據包是由記錄著數據包發送給對方所必需信息的報頭部分和記錄著發送信息的報文部分構成。報頭部分包含接收端地址、發送端地址、數據校驗碼等信息。以太網協議的工作方式是將要發送的數據包發往連接在一起的所有主機,通常只有與數據包中目標地址一致的那臺主機才能接收到信息包,但當主機工作在監聽模式下,不管數據包中目標地址是什么,主機都將可以接收到。
自網絡監聽這一技術誕生以來,產生了大量的可工作在各種平臺上的相關軟硬件工具,其中有商用的,也有免費的,還有很多是自創的,很多黑客都是自己編寫監聽軟件,針對特定的數據中心發起網絡監聽,獲取機密數據。在Windows環境下,常用的網絡監聽工具當然是著名的netxray以及snifferpro了,實際上很多人都用它在Windows環境下抓包來分析。Iris是Eeye公司的一款付費軟件,主機托管 深圳電信托管,有試用期,完全圖形化界面,可以很方便地定制各種截獲控制語句,對截獲數據包進行分析,還原等。技術水平高低不同的人都可以從這個工具上得到自己想要得東西,這個工具也運行在Windows 95/98/ME/Windows NT/2000/XP平臺上。而在Unix環境下,監聽工具非常多,如Sniffit、Snoop、Tcp2dump、Dsniff等都是比較常見的,它們都能免費發布源代碼,可用以研究。
除了網絡監聽,很多數據中心最為關心的是自己有沒有被監聽,畢竟自己在明處,而黑客都是在暗處,要時時保持警惕,看是否自己即將成為別人的盤中肉。由于運行監聽程序的主機在進行監聽的過程中只是被動地接收以太網中傳輸的信息,不會占用其它主機交換信息,也不能修改在網絡中傳輸的信息包,因此要對網絡監聽進行檢測很復雜。首先,可以對懷疑運行監聽程序的服務器,用正確的IP地址和錯誤的物理地址PING,運行監聽程序的服務器都會有響應,這是因為正常的服務器不接收錯誤的物理地址,處理監聽狀態的服務器能接收,從而發現監聽服務器;其次,可以向網上發大量不存在的物理地址的包,由于監聽程序要分析和處理大量的數據包會占用很多的CPU資源,這將導致性能下降,通過比較前后該服務器性能加以判斷;第三,可以使用反監聽工具如Antisniffer等進行檢測。當然,要在茫茫的網絡海洋里找到那個將槍眼瞄準自己的狙擊手是非常困難的,猶如大海撈針。最好還是自練內功,提升對網絡監聽的防御。從邏輯或物理上對網絡分段,將非法用戶與敏感的網絡資源相互隔離,防止可能的非法監聽。使用加密技術,對傳遞的數據進行加密,監聽仍然可以得到傳送的信息,但顯示的是亂碼。還可以運用VLAN、端口隔離、VXLAN等技術,將以太網通信變為點到點通信,可防止大部分基于網絡監聽的入侵。
