營口市中等專業(yè)學校 呂艷娟

一、網(wǎng)絡監(jiān)聽的研究現(xiàn)狀

在計算網(wǎng)絡技術日漸發(fā)展的今天，威脅計算機網(wǎng)絡系統(tǒng)安全的非法入侵也伴隨而來。一方面，網(wǎng)絡管理員管理網(wǎng)絡要捕獲對方的通信報文或通信內(nèi)容。然而黑客們也常用網(wǎng)絡監(jiān)聽工具來竊取信息，以達到非法獲得他人的信息的目的。當今的時代，網(wǎng)絡上傳輸?shù)男畔⒋蟛糠质且晕拿鞯男问絺鬏數(shù)?，因此，人們可以使用網(wǎng)絡監(jiān)聽的方式來捕獲用戶的口令、賬號、敏感的信息數(shù)據(jù)以及網(wǎng)絡底層的協(xié)議信息等重要內(nèi)容。這樣就涉及用戶的信息尤其是私密數(shù)據(jù)泄露，給用戶帶來一定的煩惱，甚至會帶來經(jīng)濟損失。想要有效管理網(wǎng)絡，監(jiān)視網(wǎng)絡數(shù)據(jù)流動情況，確保數(shù)據(jù)在傳輸過程中的安全，就必須知道網(wǎng)絡監(jiān)聽工具軟件原理及其操作方法，網(wǎng)絡監(jiān)聽的工作原理，這樣才能對阻攔黑客的進攻而采取相應的防護措施。

二、網(wǎng)絡監(jiān)聽原理

網(wǎng)絡監(jiān)聽是指以計算機互聯(lián)的網(wǎng)絡接口為攔取目的地，從而來截取別的計算機的數(shù)據(jù)報文及信息。所謂的廣播就是，在互聯(lián)的局域網(wǎng)中，當主機與其他相連接的其他計算機進行數(shù)據(jù)交換的時候，發(fā)送的數(shù)據(jù)包會發(fā)送到互聯(lián)的所有主機。正確的目標機地址包含在數(shù)據(jù)報的包頭，當主機與所有含有數(shù)據(jù)報中目標地址一致就要接收該數(shù)據(jù)報，而丟棄其余的數(shù)據(jù)報。而網(wǎng)絡監(jiān)聽工作模式卻與其相反，主機都會將接受所有的數(shù)據(jù)報。而不管接收到的數(shù)據(jù)報含有什么樣的目標地址，接下來分析數(shù)據(jù)報，從而得到局域網(wǎng)中通信的數(shù)據(jù)。同一網(wǎng)段所有的數(shù)據(jù)報可以被一臺主機所監(jiān)聽，但是該主機對于不同網(wǎng)段的計算傳輸信息不能監(jiān)聽。

三、網(wǎng)絡監(jiān)聽的組成

網(wǎng)絡中的任一地方可以實施網(wǎng)絡監(jiān)聽，例如路由器、主機、調(diào)制解調(diào)器、網(wǎng)關、。監(jiān)聽的主要部分是監(jiān)聽器，一個監(jiān)聽器包含下面幾個部分：

1.路由器、集線器、網(wǎng)卡等部分組成網(wǎng)絡硬件設備。

2.監(jiān)聽驅(qū)動程序的主要作用是截獲數(shù)據(jù)流，緩沖區(qū)中存放被過濾好的截獲的數(shù)據(jù)。

3.捕獲驅(qū)動程序是監(jiān)聽器的重要組成，網(wǎng)絡硬件經(jīng)過它的控制通過信道捕獲數(shù)據(jù)，然后將其存進緩沖器。

4.緩沖器是存放捕獲的數(shù)據(jù)的場所。畢竟緩沖器容量不大，監(jiān)聽器在使用緩沖器時，一般有兩種方式：一是當緩沖器填滿時候，即會中止捕獲；二是不管緩沖器是否已滿，仍會捕獲數(shù)據(jù)，原來的數(shù)據(jù)會被捕獲來的新數(shù)據(jù)而覆蓋。

5.實時分析程序主要是對存在于數(shù)據(jù)幀的數(shù)據(jù)，進行實時分析，側(cè)重于發(fā)現(xiàn)網(wǎng)絡故障，網(wǎng)絡中出現(xiàn)的性能問題。

6.解碼程序主要是解密接收到的被加密數(shù)據(jù)，組成獨立的加密數(shù)據(jù)包，加密后的數(shù)據(jù)包會被傳送到網(wǎng)絡中。

7.數(shù)據(jù)包分析器進行模式匹配和分析已經(jīng)截取到的數(shù)據(jù)包，從原始數(shù)據(jù)包中剝離出來有用的信息。

四、網(wǎng)絡監(jiān)聽的用途

在當今的網(wǎng)絡安全領域中，網(wǎng)絡監(jiān)聽起著非凡的作用。一般來說Sniffer程序有兩種形式：

其中一種是商業(yè)Sniffer，而另一種是黑客所使用的sniffer。

用于維護網(wǎng)絡主要用的是商業(yè)Sniffer，網(wǎng)絡管理者在維護和監(jiān)控本地網(wǎng)絡狀況時候，可以利用其進行網(wǎng)絡監(jiān)聽，監(jiān)測黑客入侵系統(tǒng)的重要方式是網(wǎng)絡監(jiān)聽。具體地說：

1.網(wǎng)絡監(jiān)聽用可讀的方式轉(zhuǎn)化網(wǎng)絡中的數(shù)據(jù)流。

2.網(wǎng)路監(jiān)聽對監(jiān)聽的數(shù)據(jù)分析性能來發(fā)現(xiàn)網(wǎng)絡瓶頸。

3.網(wǎng)絡監(jiān)聽能夠?qū)ΡO(jiān)聽的數(shù)據(jù)進行入侵檢測，從而發(fā)現(xiàn)是否是外來入侵者。

4.網(wǎng)絡監(jiān)聽能對網(wǎng)絡的日常活動生成活動日志，同會還能夠?qū)W(wǎng)絡進行安全審計。

5.網(wǎng)絡監(jiān)聽可以根據(jù)監(jiān)聽的數(shù)據(jù)對網(wǎng)絡運行進行故障分析，從而找到網(wǎng)絡中可能出現(xiàn)的問題。

五、網(wǎng)絡監(jiān)聽的意義

在現(xiàn)實生活中研究網(wǎng)絡監(jiān)聽技術具有很大的意義，特別是在現(xiàn)代網(wǎng)絡信息戰(zhàn)中，發(fā)揮著不可替代的作用。在現(xiàn)實的網(wǎng)絡安全中，Sniffer有“雙刀劍”的作用：一是網(wǎng)絡管理員可以通過網(wǎng)絡監(jiān)聽軟件監(jiān)視網(wǎng)絡運行狀態(tài)，同時也可以監(jiān)視網(wǎng)絡上正在傳輸?shù)男畔?，網(wǎng)絡數(shù)據(jù)傳輸情況，同時可以實時觀測分析數(shù)據(jù)包，從而迅速找到網(wǎng)絡運行故障，然而，網(wǎng)絡監(jiān)聽對以太網(wǎng)造成很大的威脅，太網(wǎng)內(nèi)的網(wǎng)絡監(jiān)聽和非法的網(wǎng)絡入侵事件往往同時發(fā)生，因此會發(fā)生很多惡性的安全事件，例如入侵者盜用用戶密碼，截獲用戶私密數(shù)據(jù)等。針對Sniffer正反兩方面的作用，對Sniffer的研究也有兩方面的意義：一方面，我們要不斷探索網(wǎng)絡監(jiān)聽方法，找出存在于網(wǎng)絡中的破綻，防微杜漸；另一方面，不但研究出更加有效的監(jiān)聽方式，在將來的的網(wǎng)絡信息戰(zhàn)中對入侵者方網(wǎng)絡發(fā)動襲擊，從而為社會各行各業(yè)提供更好的網(wǎng)絡信息服務。

六、網(wǎng)絡監(jiān)聽的實現(xiàn)方式

實施網(wǎng)絡監(jiān)聽是有限制的，如果在網(wǎng)絡內(nèi)部的一臺主機上裝上監(jiān)聽軟件，就能看到網(wǎng)絡的全部運行狀況，是不現(xiàn)實的。網(wǎng)絡監(jiān)聽實現(xiàn)情況分兩種，一種是利用以太網(wǎng)絡的廣播特性實現(xiàn)，另一種是通過設置路由器的監(jiān)聽端口實現(xiàn)，這兩種方式分別適用于不同的工作情況。

1.針對集線器的監(jiān)聽

首先局域網(wǎng)內(nèi)發(fā)送的數(shù)據(jù)包過程，從TCP/IP模型的視覺來看：應用層中數(shù)據(jù)的傳遞模式是從上向下的，IP數(shù)據(jù)包在網(wǎng)絡層形成，IP數(shù)據(jù)包被數(shù)據(jù)鏈路層接收，IP數(shù)據(jù)包在數(shù)據(jù)鏈路層中被分成數(shù)據(jù)幀大小的單位，以太網(wǎng)包頭加在數(shù)據(jù)幀中，向下層進一步傳輸。本機目標設備的物理地址，存在于在傳輸?shù)囊蕴W(wǎng)的包頭中，數(shù)據(jù)鏈路層的數(shù)據(jù)幀發(fā)送時，數(shù)據(jù)包從TCP/IP協(xié)議的IP層傳輸給網(wǎng)絡接口。由于IP地址不能被網(wǎng)絡接口所識別，有IP地址的數(shù)據(jù)包中包含太幀的幀頭，幀頭包含兩部分地址域，一個是48位的源主機的物理地址，另一個是目的主機的物理地址，這個地址與IP地址是一對一關系，因此一個物理地址關聯(lián)一個IP地址。對于網(wǎng)關中的主機，如果有若干個網(wǎng)絡，那么就具有若干個IP地址。由于HUB將局域網(wǎng)內(nèi)的各個主機連接起來，因此它充當一個共享的廣播媒體，HUB接受局域網(wǎng)將要發(fā)送的數(shù)據(jù)，然后向它自己的各個端口轉(zhuǎn)發(fā)。將主機的網(wǎng)卡調(diào)成為混雜模式，那么該局域網(wǎng)內(nèi)各個主機的數(shù)據(jù)就可以互相傳輸。

2.針對交換機的監(jiān)聽

數(shù)據(jù)鏈路層是交換機是工作場所，交換機內(nèi)部存儲一個ARP的數(shù)據(jù)庫表，表中有交換機每個端口所固定的物理地址，交換機接收到數(shù)據(jù)報時，數(shù)據(jù)庫表內(nèi)的端口和數(shù)據(jù)報的目的地址進行在交換機會進行比對，如果交換機的數(shù)據(jù)庫表中與數(shù)據(jù)報文的目的物理地址不一致，此時報文向所有端口轉(zhuǎn)發(fā)，然后將數(shù)據(jù)報發(fā)送到“相應的”端口上，如果是一一對應的，則廣播此報文。所謂的廣播媒體不是建立在以交換機為基礎的以太網(wǎng)局域，被動監(jiān)聽工具所能捕獲的的數(shù)據(jù)受到了交換機的限制了。想使監(jiān)聽發(fā)揮真正的作用的，要采用MAC flooding和ARP欺騙等方法。

七、網(wǎng)絡監(jiān)聽的防范對策分析

目前這對網(wǎng)絡監(jiān)聽有多種防護手段，主要有三類：一是預防策略。首先要保證以太網(wǎng)的整體數(shù)據(jù)的安全性，經(jīng)常查看網(wǎng)絡內(nèi)部是否有漏洞的主機，監(jiān)聽的前提條件是主機被攻克了，從而使敏感數(shù)據(jù)被截獲。二是被動防御措施，對數(shù)據(jù)信息采取加密技術。三是主動防御策略，限制網(wǎng)絡監(jiān)聽的有效措施是：以網(wǎng)絡拓撲結構為基礎，利用交換機劃分VLAN，讓網(wǎng)絡內(nèi)部所有的監(jiān)聽行為發(fā)生在一個虛擬網(wǎng)中，使網(wǎng)絡監(jiān)聽的危害程度降到最小。

[1]呂驥,文靜華.校園網(wǎng)內(nèi)ARP欺騙攻擊及防范[J].福建電腦,2007,05.

[2]鄧清華,陳松喬.ARP欺騙攻擊及其防范[J].微機發(fā)展,2004,08.

[3]喻飛,安吉堯,朱淼良.以太網(wǎng)中網(wǎng)絡監(jiān)聽的檢測[J].網(wǎng)絡安全技術與應用,2004,01.