摘 要：網(wǎng)絡(luò)偵聽是采用網(wǎng)絡(luò)搭線等信號(hào)拾獲方法，使用網(wǎng)絡(luò)探針采集網(wǎng)絡(luò)線路上的所有數(shù)據(jù)包并進(jìn)行過濾的一種行為。本文介紹了網(wǎng)絡(luò)偵聽潛在的安全隱患，闡述了偵聽和偵聽存在檢測(cè)技術(shù)的基本原理，并結(jié)合某企業(yè)局域網(wǎng)的具體結(jié)構(gòu)，探討了具體的常見防范措施。

關(guān)鍵詞：網(wǎng)絡(luò)偵聽；偵聽檢測(cè)；數(shù)據(jù)包；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393.08

如今，網(wǎng)絡(luò)上經(jīng)常出現(xiàn)用戶信息被竊取的現(xiàn)象，預(yù)防個(gè)人信息被盜已經(jīng)成了網(wǎng)民十分關(guān)注的問題。當(dāng)然，但凡是互聯(lián)網(wǎng)，就有存在網(wǎng)絡(luò)安全問題的隱患，這其中就包括信息安全的防范。當(dāng)前，竊取網(wǎng)絡(luò)信息的主要工具與方法就是網(wǎng)絡(luò)信息監(jiān)聽技術(shù)，該技術(shù)同時(shí)可以有效預(yù)防信息竊取。筆者首先簡(jiǎn)要介紹了網(wǎng)絡(luò)偵聽的涵義與危害，接著分析了網(wǎng)絡(luò)偵聽的工作原理，最后提出了幾點(diǎn)預(yù)防網(wǎng)絡(luò)偵聽的對(duì)策。

1 網(wǎng)絡(luò)偵聽的涵義和危害性

網(wǎng)絡(luò)偵聽是指獲取網(wǎng)絡(luò)電纜上傳輸?shù)乃芯W(wǎng)絡(luò)報(bào)文的技術(shù)。一是網(wǎng)絡(luò)偵聽技術(shù)能用在網(wǎng)絡(luò)測(cè)試或網(wǎng)絡(luò)管理內(nèi)；二是網(wǎng)絡(luò)偵聽在很大程度上損害了局域網(wǎng)的安全。其主要因?yàn)楝F(xiàn)在的局域網(wǎng)差不多都使用以廣播技術(shù)為基礎(chǔ)的以太網(wǎng)，無(wú)論兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包，不但為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所獲取也同樣為處在同一沖突域上的任意一個(gè)節(jié)點(diǎn)的網(wǎng)卡所獲取。所以，黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行監(jiān)聽，就可以捕獲發(fā)生在這個(gè)沖突域上的全部數(shù)據(jù)包，對(duì)其進(jìn)行解包分析，從而竊取關(guān)鍵信息。

監(jiān)聽可能導(dǎo)致的危害主要有以下幾個(gè)方面：（1）能夠捕獲密碼；（2）能夠獲得機(jī)密的或者特殊的信息；（3）損害鄰居網(wǎng)絡(luò)的安全，或是被人用來(lái)獲得更高級(jí)別的訪問權(quán)限。

2 網(wǎng)絡(luò)偵聽的工作原理

事實(shí)上，以太網(wǎng)協(xié)議是通過發(fā)送數(shù)據(jù)包連接所有的主機(jī)的。其中，應(yīng)該接收數(shù)據(jù)包的主機(jī)的正確地址都包括在數(shù)據(jù)包中。這樣是為了讓與數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)接受數(shù)據(jù)包。如果主機(jī)的運(yùn)行處在被偵聽的狀態(tài)下，那么數(shù)據(jù)包中的目標(biāo)地址一般就能被其它主機(jī)接收到。在龐大的局域網(wǎng)中，大部分主機(jī)都是由中心、電纜接通的。如果兩臺(tái)主機(jī)能夠在一樣的網(wǎng)絡(luò)中進(jìn)行通信，那么源主機(jī)會(huì)將帶有目的地主機(jī)地址的數(shù)據(jù)包接到目的地主機(jī)。在網(wǎng)絡(luò)主機(jī)中，如果一臺(tái)主機(jī)和外部發(fā)生連接時(shí)，那么源主機(jī)也會(huì)把主機(jī)的IP地址的相關(guān)數(shù)據(jù)包發(fā)送到網(wǎng)關(guān)。不過這種數(shù)據(jù)包是從TCP/IP網(wǎng)絡(luò)接口層發(fā)送的，而非由協(xié)議棧的高層傳送的，這樣的發(fā)送也就是數(shù)據(jù)鏈路層。IP地址對(duì)于網(wǎng)絡(luò)接口來(lái)講，是不能夠被識(shí)別的。其IP地址的IP層包添加幀包括在以太網(wǎng)信息中。這其中，只有源主機(jī)和網(wǎng)絡(luò)接口主機(jī)物理地址的48位的地址能夠被其中的兩個(gè)領(lǐng)域識(shí)認(rèn)。也就是說(shuō)，一個(gè)物理地址有且只有一個(gè)對(duì)應(yīng)的IP地址。除此之外，因?yàn)榫W(wǎng)關(guān)主機(jī)是連接到一個(gè)網(wǎng)絡(luò)上的，所以它還將在每個(gè)網(wǎng)絡(luò)有很多的IP地址，它有一個(gè)物理地址和發(fā)送到網(wǎng)絡(luò)幀中繼端是網(wǎng)關(guān)。

以太網(wǎng)填充了一個(gè)物理地址，也就是網(wǎng)絡(luò)接口的幀的一個(gè)物理地址，它是由網(wǎng)卡發(fā)送出去，并傳送到物理線路上的。因此，如果一個(gè)局域網(wǎng)是通過一根細(xì)網(wǎng)或者是粗網(wǎng)連接的，那么電纜傳輸信號(hào)的數(shù)字信號(hào)就可以達(dá)到對(duì)線的每個(gè)主機(jī)。然后使用集線器時(shí)，傳送的信號(hào)就是從一個(gè)集線器進(jìn)入到另一個(gè)集線器的，在此基礎(chǔ)之上，再對(duì)各線連接到集線器上。從物理線路上發(fā)送的數(shù)字信號(hào)能夠連接到集線器上的每一個(gè)主機(jī)。如果主機(jī)接到了網(wǎng)絡(luò)接口的數(shù)字信號(hào)，那么在正常狀態(tài)下的網(wǎng)絡(luò)接口進(jìn)行讀取的數(shù)據(jù)幀，如果在物理地址的數(shù)據(jù)幀進(jìn)行他們獨(dú)自的物理地址就是廣播地址的話，那么就會(huì)把數(shù)據(jù)幀到IP層軟件。事實(shí)上，任何一個(gè)到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)幀都要經(jīng)歷這樣一個(gè)過程。然而，如果主機(jī)處在被監(jiān)聽的狀態(tài)下，那么全部的數(shù)據(jù)幀就會(huì)被移送至上層協(xié)議軟件，該軟件會(huì)對(duì)相關(guān)信息進(jìn)行處理。如果遇到這種狀況，也就是有目的地將主機(jī)設(shè)成為監(jiān)聽模式，那么在局域網(wǎng)內(nèi)傳送的全部數(shù)據(jù)都將被掌握。假如這些數(shù)據(jù)沒有經(jīng)過加密處理，那么將會(huì)被出現(xiàn)泄密的狀況。

3 預(yù)防網(wǎng)絡(luò)監(jiān)聽的幾點(diǎn)對(duì)策

3.1 引進(jìn)加密技術(shù)，使傳輸文件處于加密狀態(tài)

上文已經(jīng)闡述了，如果主機(jī)設(shè)置為監(jiān)聽模式，那么局網(wǎng)中任何數(shù)據(jù)的傳輸主機(jī)都將偷竊。然而，如果偷竊者獲得的數(shù)據(jù)都是加密的，它即便收到這個(gè)數(shù)據(jù)包，也無(wú)用，因?yàn)槊艽a無(wú)法解。因此，加密通常是局網(wǎng)預(yù)防監(jiān)聽的有效方法之一。如果數(shù)據(jù)加了密，那么雖然依靠監(jiān)聽可以獲得發(fā)送的數(shù)據(jù)信息，不過，其信息是亂碼的。因此，即使得到了數(shù)據(jù)，也是一堆垃圾，起不到任何作用。

現(xiàn)在關(guān)于傳輸加密的方法非常多，IPSec協(xié)議是最常用的。IPSec具有三種操作方法，一種是接受者條件，一種是強(qiáng)迫使用，最后一種是不用。舉個(gè)例子來(lái)說(shuō)，如果一臺(tái)主機(jī)向另一臺(tái)主機(jī)傳送數(shù)據(jù)資料，那么這兩臺(tái)機(jī)就會(huì)進(jìn)行一定的協(xié)商，其中就有是否要使用IPSec技術(shù)加密數(shù)據(jù)。第一種是接受者條件，也就是說(shuō)在協(xié)商過程里，第一臺(tái)主機(jī)與第二臺(tái)主機(jī)討論是否使用IPSec技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密。倘若第二臺(tái)主機(jī)不同意使用，那么就要運(yùn)用明文傳輸。反過來(lái)，要是第二臺(tái)主機(jī)同意使用IPSec加密，那么第一臺(tái)主機(jī)就會(huì)對(duì)數(shù)據(jù)進(jìn)行加密，然后再進(jìn)行傳送。經(jīng)過這種加密技術(shù)的加密，通常情況下是不會(huì)被解密的。除此之外最為重要的是，不管是加密還是解密，對(duì)于用戶來(lái)講，其都處在透明狀態(tài)。也就是說(shuō)，如果網(wǎng)絡(luò)管理者使用了IPSec技術(shù)，那么就不必添加多余的東西了。在運(yùn)用加密方法時(shí)，需要注意一些問題，譬如說(shuō)要學(xué)會(huì)如何配置IPSec策略。第二種是必須使用，也就是說(shuō)，無(wú)論是第一臺(tái)主機(jī)，還是第二臺(tái)主機(jī)，都需要支持IPSec技術(shù)，否則，傳輸就會(huì)以失敗告終。另外一種情況是，要強(qiáng)迫加密的話，那么雙方務(wù)必都要獲得IPSec技術(shù)的支持，若不然，那么也有可能使得通信以失敗收?qǐng)觥?/p>

3.2 采用多種方式對(duì)網(wǎng)絡(luò)物理進(jìn)行分段

從上文的原理分析能夠明白，如果某部門的某一員工能夠使用網(wǎng)絡(luò)向該部門的主管傳送一份密函，那么此文件將被傳輸?shù)骄W(wǎng)絡(luò)。如果該部門以及其它部門是用路由器代替交換機(jī)或者共享集線器進(jìn)行連接的，那么這種連接方式就能夠很好地預(yù)防網(wǎng)絡(luò)監(jiān)聽的發(fā)生。舉個(gè)例子來(lái)說(shuō)，某個(gè)員工要向某個(gè)領(lǐng)導(dǎo)傳送一份資料，如果不使用路由器分割，那么這個(gè)消息將被劃分為多個(gè)數(shù)據(jù)包，在內(nèi)部局域網(wǎng)傳輸。反之，倘若我們?cè)谶B接某部門與其它部門的網(wǎng)絡(luò)時(shí)使用路由器，那么在傳輸過程中，路由器就會(huì)先檢查數(shù)據(jù)包的IP地址，然后再進(jìn)行傳送。這種情況下，只有相對(duì)的IP地址的網(wǎng)絡(luò)能接收該數(shù)據(jù)包，此數(shù)據(jù)包也不會(huì)被別的不是路由器的接口收到。很明顯，采用路由器這樣的設(shè)備進(jìn)行數(shù)據(jù)包處理，則能夠有效減少網(wǎng)絡(luò)中的數(shù)據(jù)包的通信范圍，讓數(shù)據(jù)包可以在最小的區(qū)域內(nèi)傳播。除此之外，這種方法還能夠有效減輕網(wǎng)絡(luò)寬帶所承受的壓力。簡(jiǎn)言之，通過對(duì)網(wǎng)絡(luò)進(jìn)行物理分段，可以將數(shù)據(jù)包存放在一個(gè)比較狹小的空間里，減輕了寬帶的壓力，從而有效提高了網(wǎng)絡(luò)的性能。如果遭遇了DDoS這樣的破壞，還可以有效避免傷害。

3.3 網(wǎng)絡(luò)工具防御

現(xiàn)在科技發(fā)達(dá)，有許多工具可以讓我們發(fā)現(xiàn)系統(tǒng)中的漏洞，如SATAN等。SATAN是可以分析網(wǎng)絡(luò)的管理、測(cè)試和報(bào)告許多信息，識(shí)別一些與網(wǎng)絡(luò)相關(guān)的安全問題。安裝防火墻，防火墻型安全保障技術(shù)是基于被保護(hù)網(wǎng)絡(luò)具有明確定義的邊界和服務(wù)、并且只有來(lái)自外部的網(wǎng)絡(luò)才能威脅到網(wǎng)絡(luò)的安全。

不過，這也只是通過網(wǎng)絡(luò)分段的方法進(jìn)行網(wǎng)絡(luò)監(jiān)聽的預(yù)防，因此，還是存在只能降低入侵網(wǎng)絡(luò)概率，而在網(wǎng)段中，仍舊無(wú)法有效制止網(wǎng)絡(luò)監(jiān)聽。

參考文獻(xiàn)：

[1]蔡皖東.網(wǎng)絡(luò)與信息安全[M].西安：西北工業(yè)大學(xué)出版社，2011.

[2]程先海.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)及應(yīng)用[M].北京：機(jī)械工業(yè)出版社，2012.

作者簡(jiǎn)介：李洪洋，男，工程師，本科，主要從事計(jì)算機(jī)業(yè)務(wù)應(yīng)用及網(wǎng)絡(luò)管理。

作者單位：山東消防總隊(duì)，濟(jì)南 250102