得 印

我們在電視或者電影中經(jīng)常會看到這樣的情景，間諜或者警察，在某戶人家的電話線總線上，拉出一根電話分線，對這個電話進行竊聽?，F(xiàn)在這種方法在網(wǎng)絡(luò)中也逐漸蔓延開來。

由于局域網(wǎng)中采用的是廣播方式，因此在某個廣播域中(往往一個企業(yè)局域網(wǎng)就是一個廣播域)，可以監(jiān)聽到所有的信息包。而非法入侵者通過對信息包進行分析，就能夠非法竊取局域網(wǎng)上傳輸?shù)囊恍┲匾畔?。如現(xiàn)在很多黑客在入侵時，都會把局域網(wǎng)掃描與監(jiān)聽作為他們?nèi)肭种暗臏?zhǔn)備工作。因為憑借這些方式，他們可以獲得用戶名、密碼等重要的信息。如現(xiàn)在不少的網(wǎng)絡(luò)管理工具，號稱可以監(jiān)聽別人發(fā)送的郵件內(nèi)容、即時聊天信息、訪問網(wǎng)頁的內(nèi)容等等，也是通過網(wǎng)絡(luò)監(jiān)聽來實現(xiàn)的。可見，網(wǎng)絡(luò)監(jiān)聽是一把雙刃劍，用到正處，可以幫助我們管理員工的網(wǎng)絡(luò)行為；用的不好，則會給企業(yè)的網(wǎng)絡(luò)安全以致命一擊。

一、監(jiān)聽的工作原理

要有效防止局域網(wǎng)的監(jiān)聽，則首先需要對局域網(wǎng)監(jiān)聽的工作原理有～定的了解。知己知彼，百戰(zhàn)百勝。只有如此，才能有針對性地提出一些防范措施。

現(xiàn)在企業(yè)局域網(wǎng)中常用的網(wǎng)絡(luò)協(xié)議是“以太網(wǎng)協(xié)議”。而這個協(xié)議有一個特點，就是某個主機A如果要發(fā)送一個數(shù)據(jù)包給B，其不是一對～的發(fā)送，而是會把數(shù)據(jù)包發(fā)送給局域網(wǎng)內(nèi)的包括主機B在內(nèi)的所有主機。在正常情況下，只有主機B才會接收這個數(shù)據(jù)包。其他主機在收到數(shù)據(jù)包的時候，看到這個數(shù)據(jù)庫的目的地址跟自己不匹配，就會把數(shù)據(jù)包丟棄掉。

但是，若此時局域網(wǎng)內(nèi)有臺主機C，其處于監(jiān)聽模式。則這臺數(shù)據(jù)不管數(shù)據(jù)包中的IP地址是否跟自己匹配，就會接收這個數(shù)據(jù)包，并把數(shù)據(jù)內(nèi)容傳遞給上層進行后續(xù)的處理。這就是網(wǎng)絡(luò)監(jiān)聽的基本原理。

在以太網(wǎng)內(nèi)部傳輸數(shù)據(jù)時，包含主機唯一標(biāo)識符的物理地址(MAC地址)的幀從網(wǎng)卡發(fā)送到物理的線路上，如網(wǎng)線或者光纖。此時，發(fā)一個某臺特定主機的數(shù)據(jù)包會到達連接在該線路上的所有主機。當(dāng)數(shù)據(jù)包到達某臺主機后，這臺主機的網(wǎng)卡會先接收這個數(shù)據(jù)包，進行檢查。如果這個數(shù)據(jù)包中的目的地址跟自己的地址不匹配的話，就會丟棄這個包。如果這個數(shù)據(jù)包中的目的地址跟自己地址匹配或者是一個廣播地址的話。就會把數(shù)據(jù)包交給上層進行后續(xù)的處理。在這種工作模式下，若把主機設(shè)置為監(jiān)聽模式，則其可以了解在局域網(wǎng)內(nèi)傳送的所有數(shù)據(jù)。如果這些數(shù)據(jù)沒有經(jīng)過加密處理的話，那么后果就可想而知了。

二、常見的防范措施

1采用加密技術(shù)，實現(xiàn)密文傳輸

從上面的分析中我們看到，若把主機設(shè)置為監(jiān)聽模式的話，則局域網(wǎng)中傳輸?shù)娜魏螖?shù)據(jù)都可以被主機所竊聽。但是，若竊聽者所拿到的數(shù)據(jù)是被加密過的，則其即使拿到這個數(shù)據(jù)包，也沒有用處，無法解密。這就好像電影中的電報，若不知道對應(yīng)的密碼，則即使獲得電報的信息，對他們來說，也是無用的。

所以，比較常見的防范局域網(wǎng)監(jiān)聽的方法就是加密。數(shù)據(jù)經(jīng)過加密之后，通過監(jiān)聽仍然可以得到傳送的信息，但是，其顯示的是亂碼。結(jié)果是，其即使得到數(shù)據(jù)，也是一堆亂碼，沒有多大的用處。

現(xiàn)在針對這種傳輸?shù)募用苁侄斡泻芏?，最常見的如lPSec協(xié)議。lPSec有三種工作模式，一是必須強制使用，二是接收方要求。三是不采用。當(dāng)某臺主機A向主機B發(fā)送數(shù)據(jù)文件的時候，主機A與主機B會先進行協(xié)商，其中包括是否需要采用lPSec技術(shù)對數(shù)據(jù)包進行加密。一是必須采用，也就是說，無論是主機A還是主機B都必須支持lPSec。否則的話，這個傳輸將會以失敗告終。二是請求使用，如在協(xié)商的過程中，主機A會問主機B，是否需要采用lPSec。若主機B回答不需要采用，則就用明文傳輸，除非主機A的lPSec策略設(shè)置的是必須強制使用。若主機B回答的是可以用lPSec加密，則主機A就會先對數(shù)據(jù)包進行加密，然后再發(fā)送。經(jīng)過lPSec技術(shù)加密過的數(shù)據(jù)，一般很難被破解。而且，重要的是這個加密、解密的工作對于用戶來說，是透明的。也就是說，我們網(wǎng)絡(luò)管理員配置好lPSec策略之后，員工不需要額外的動作。是否采用lPSec加密、不采用會有什么結(jié)果等等，員工主機之間會自己進行協(xié)商，而不需要我們進行額外的控制。

在使用這種加密手段的時候，唯一需要注意的就是如何設(shè)置lPSec策略。若在使用強制加密的情況下，一定要保證通信的雙方都支持lPSec技術(shù)，否則的話，就可能會導(dǎo)致通信的不成功。最懶的方法。就是不管三七二十一，給企業(yè)內(nèi)的所有電腦都配置lPSec策略。雖然，都會增加一定的帶寬，給網(wǎng)絡(luò)帶來一定的壓力，但是，基本上，這不會對用戶產(chǎn)生多大的直接影響?；蛘哒f，他們不能夠直觀地感受到由于采用了lPSec技術(shù)而造成的網(wǎng)絡(luò)性能降低。

2利用路由器等網(wǎng)絡(luò)設(shè)備對網(wǎng)絡(luò)進行物理分段

我們從上面的以太網(wǎng)工作原理的分析中可以知道。如果銷售部門的某位銷售員工發(fā)送給銷售經(jīng)理的一份文件，會在公司整個網(wǎng)絡(luò)內(nèi)進行傳送。我們?nèi)裟軌蛟O(shè)計一種方案，可以讓銷售員工的文件直接給銷售經(jīng)理，或者至少只在銷售部門內(nèi)部的員工可以收到的話，那么，就可以很大程度地降低由于網(wǎng)絡(luò)監(jiān)聽所導(dǎo)致的網(wǎng)絡(luò)安全的風(fēng)險。

如我們可以利用路由器來分離廣播域。若我們銷售部門跟其他部門之間不是利用共享式集線器或者普通交換機進行連接，而是利用路由器進行連接的話，就可以起到很好的防范局域網(wǎng)監(jiān)聽的作用。如此時，當(dāng)銷售員A發(fā)信息給銷售經(jīng)理B的時候，若不采用路由器進行分割，則這份郵件會分成若干的數(shù)據(jù)包在企業(yè)整個局域網(wǎng)內(nèi)部進行傳送。相反，若我們利用路由器來連接銷售部門跟其他部門的網(wǎng)絡(luò)，則數(shù)據(jù)包傳送到路由器之后，路由器會檢查數(shù)據(jù)包的目的IP地址，然后根據(jù)這個IP地址來進行轉(zhuǎn)發(fā)。此時，就只有對應(yīng)的IP地址網(wǎng)絡(luò)可以收到這個數(shù)據(jù)包，而其他不相關(guān)的路由器接口就不會收到這個數(shù)據(jù)包。很明顯，利用路由器進行數(shù)據(jù)包的預(yù)處理，就可以有效地減少數(shù)據(jù)包在企業(yè)網(wǎng)絡(luò)中傳播的范圍，讓數(shù)據(jù)包能夠在最小的范圍內(nèi)傳播。

不過，這個利用路由器來分段的話，有一個不好的地方，就是在一個小范圍內(nèi)仍然可能會造成網(wǎng)絡(luò)監(jiān)聽的情況。如在銷售部門這個網(wǎng)絡(luò)內(nèi)，若有一臺主機被設(shè)置為網(wǎng)絡(luò)監(jiān)聽，則其雖然不能夠監(jiān)聽到銷售部門以外的網(wǎng)絡(luò)，但是，對于銷售部門內(nèi)部的主機所發(fā)送的數(shù)據(jù)包，仍然可以進行監(jiān)聽。如財務(wù)經(jīng)理發(fā)送一份客戶的應(yīng)收賬款余額表給銷售經(jīng)理的話，由路由器轉(zhuǎn)發(fā)到銷售部門的網(wǎng)絡(luò)后，這個數(shù)據(jù)包仍然會到達銷售部門網(wǎng)絡(luò)內(nèi)的任一主機。如此的話，只要銷售網(wǎng)絡(luò)中有一臺網(wǎng)絡(luò)主機被設(shè)置為監(jiān)聽，就仍然可以竊聽到其所需要的信息。不過若財務(wù)經(jīng)理發(fā)送這份文件給總經(jīng)理。由于總經(jīng)理的網(wǎng)段不在銷售部門的網(wǎng)段，所以數(shù)據(jù)包不會傳送給財務(wù)部門所在的網(wǎng)絡(luò)段，而銷售部門中的偵聽主機就不能夠偵聽到這些信息了。

另外，除采用路由器進行網(wǎng)絡(luò)分段外，還可以減輕網(wǎng)絡(luò)帶寬的壓力。若數(shù)據(jù)包在這個網(wǎng)絡(luò)內(nèi)進行傳播的話，會給網(wǎng)絡(luò)帶來比較大的壓力。相反，通過路由器進行網(wǎng)絡(luò)分段，從而把數(shù)據(jù)包控制在一個比較小的范圍之內(nèi)，那么顯然可以節(jié)省網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)的性能。特別是企業(yè)在遇到DDOS等類似攻擊的時候，可以減少其危害性。

3利用虛擬局域網(wǎng)實現(xiàn)網(wǎng)絡(luò)分段

我們可以利用路由器這種網(wǎng)絡(luò)硬件來實現(xiàn)網(wǎng)絡(luò)分段。但是。這畢竟需要企業(yè)購買路由器設(shè)備。其實，我們也可以利用一些交換機實現(xiàn)網(wǎng)絡(luò)分段的功能。如有些交換機支持虛擬局域網(wǎng)技術(shù)，就可以利用它來實現(xiàn)網(wǎng)絡(luò)分段，減少網(wǎng)絡(luò)偵聽的可能性。

虛擬局域網(wǎng)的分段作用跟路由器類似，可以把企業(yè)的局域網(wǎng)分割成一個個的小段。讓數(shù)據(jù)包在小段內(nèi)傳輸，將以太網(wǎng)通信變?yōu)辄c到點的通信，從而可以防止大部分網(wǎng)絡(luò)監(jiān)聽的入侵。

不過，這畢竟還是通過網(wǎng)絡(luò)分段來防止網(wǎng)絡(luò)監(jiān)聽，所以，它也有上面所說的利用路由器來實現(xiàn)這個需求的缺點，就是只能夠減少網(wǎng)絡(luò)監(jiān)聽入侵的幾率。在某個網(wǎng)段內(nèi)，仍然不能夠有效避免網(wǎng)絡(luò)監(jiān)聽。

所以，比較好的方法，筆者還是推薦采用加密技術(shù)來防止網(wǎng)絡(luò)監(jiān)聽給企業(yè)所帶來的危害，特別是防止用戶名、密碼等關(guān)鍵信息被竊聽。