乙太網監聽的原理與防範

隨著計算機網路應用的普及，網路已日益成為生活中不可或缺的工具，但伴之而來的非法入侵也一直威脅著計算機網路系統的安全。由於乙太網中採用廣播方式，因此，在某個廣播域中可以監聽到所有的資訊包。網路監聽是黑客們常用的一種方法。當成功地登入進一台網路上的主機，並取得了這台主機的超級使用者的許可權之後，往往要擴大戰果，嘗試登入或者奪取網路中其他主機的控制。而網路監聽則是一種最簡單而且最有效的方法，他常常能輕易地獲得用其他方法很難獲得的資訊。在網路上，監聽效果最好的地方是在閘道器、路由器、防火牆一類的裝置處，通常由網路管理員來操作。使用最方便的是在乙個乙太網中的任何一台上網的主機上，這是大多數黑客的做法。事實上，很多黑客入侵時都把乙太網掃瞄和偵聽作為其最基本的步驟和手段，原因是想用這種方法獲取其想要的密碼等資訊。但另一方面，我們對黑客入侵活動和其他網路犯罪進行偵查、取證時，也可以使用網路監聽技術來獲取必要的資訊。因此，了解乙太網監聽技術的原理、實現方法和防範措施就顯得尤為重要。

1網路監聽的基本原理

1.1廣播式乙太網中的網路監聽

廣播式乙太網在邏輯上由一條匯流排和一群掛在匯流排上的節點組成。任何乙個節點主機發出的資料報都是在共享的乙太網傳輸介質上進行傳輸的，每個資料報的包頭部分都包含了源位址和目的位址。網路上所有節點都通過網路介面（網絡卡）負責檢查每乙個資料報，如果發現其目的位址是本機，則接收該資料報並向上層傳遞，以進行下一步的處理；如果目的位址不是本機，則資料報將被丟棄不作處理。乙太網資料報過濾機制分為鏈路層、網路層和傳輸層。在鏈路層，網絡卡驅動程式判斷收到包的目標mac位址是否是自己的mac位址；在網路層判斷

目標ip位址是否為本機所繫結的ip位址；在傳輸層如tcp層或者udp層判斷目標埠是否在本

機已經開啟。如果以上判斷否定，資料報將被丟棄。

在進行網路資料報的「監聽」時，首先通過將系統的網路介面設定為「混雜模式」，網路監聽程式繞過系統正常工作的處理機制，直接訪問網路底層。不論資料報的目的位址是否是本機，都能夠截獲並傳遞給上層進行處理（只能監聽經過自己網路介面的那些包），通過相應的軟體進一步地分析處理，就能夠得到資料報的一些基本屬性，如包型別、包大小、目的位址、源位址等，可以實時分析這些資料的內容，如使用者名稱、口令以及所感興趣的內容。

同理，正確地使用網路監聽技術也可以發現入侵並對入侵者進行追蹤定位，在對網路犯罪進行偵查取證時獲取有關犯罪行為的重要資訊，成為打擊網路犯罪的有力手段。

1.2交換式乙太網中的監聽

交換機的工作原理不同於hub的共享式報文方式，交換機**的報文是一一對應的，能

夠隔離衝突域和有效的抑制廣播風暴的產生。由此看來，交換環境下再採用傳統的共享式乙太網下網路監聽是不可能了，由於報文是一一對應**的，普通的網路監聽軟體此時無法監聽到交換環境下其他主機任何有價值的資料。但是，乙太網內主機資料報的傳送完成不是依靠ip位址，而是依靠arp找出ip位址對應的mac位址實現的。而arp協議是不可靠和無連線的

，通常即使主機沒有發出arp請求，也會接受發給他的arp回應，並將回應的mac和ip對應關

系放入自己的

arp快取中。因此利用arp協議，交換機的安全性也面臨著嚴峻的考驗。

1.2.1交換機緩衝區溢位攻擊

交換機大多使用存貯**技術，工作時維護著一張mac位址與埠的對映表，這個表中記

錄著交換機每個埠繫結的mac位址。他的工作原理是對某一段資料報進行分析判別定址，

並進行**，在發出前均存貯在交換機的緩衝區內。但是，交換機緩衝區是有限的。如用大量無效ip包，包含錯誤mac位址的資料幀對交換機進行攻擊。該交換機將接收到大量的不符

合分裝原則的包，造成交換機處理器工作繁忙，從而導致資料報來不及**，進而導致緩衝區溢位產生丟包現象。這時交換機就會退回到hub的廣播方式，向所有的埠傳送資料報

。這樣，監聽就變得非常容易了。

1.2.2arp協議和欺騙

在乙太網中傳輸的資料報是以太包，而以太包的定址是依據其首部的實體地址（mac位址

）。僅僅知道某主機的邏輯位址（ip位址）並不能讓核心傳送一幀資料給此主機，核心必須

知道目的主機的實體地址才能傳送資料。arp協議的作用就是在於把邏輯位址變換成物理地

址，也既是把32 b的ip位址變換成48 b的以太位址。每乙個主機都有乙個arp快取記憶體，此

快取中記錄了最近一段時間內其他ip位址與其mac位址的對應關係。如果本機想與某台主機

通訊，則首先在arp快取記憶體中查詢此台主機的ip和mac資訊，如果存在，則直接利用此mac

位址構造以太包；如果不存在，則向本網路上每乙個主機廣播乙個arp請求包。其意義是「

包，本機收到此響應包後，把相關資訊記錄在arp快取記憶體中。可以看出，arp協議是有缺點

的，第三方主機可以構造乙個

arp欺騙包，而源主機卻無法分辨真假。

假定a為進行監聽的主機，b為被監聽的主機，c為其他網路主機。當a收到b向c發出的arp

請求包後，向b回應乙個arp應答。向c主動傳送乙個應答，修改c快取中的關於b的ipmac對映。當a收到c向b發出的arp請求時，向b主動傳送乙個應答，修改b快取中的關於c的

ipmac對映。這樣，構造了arp欺騙包（欺騙b對c的連線）。事實上，a成了b的**

可以全部捕獲到b和c的相關資料。

2網路監聽的檢測及防範

網路監聽是很難被發現的，因為執行網路監聽的主機只是被動地接收在區域網上傳輸的資訊，不主動與其他主機交換資訊，也沒有修改在網上傳輸的資料報。

2.1網路監聽的檢測

(1)對於懷疑執行監聽程式的機器，向區域網內的主機傳送非廣播方式的arp包（錯誤的

實體地址），如果區域網內的某個主機響應了這個arp請求，我們就可以判斷該機器處於雜

亂模式。而正常的機器不處於雜亂模式，對於錯誤的實體地址不會得到響應。

（2）網路和主機響應時間測試。向網上發大量不存在的實體地址的包，處於混雜模式下

的機器則缺乏此類底層的過濾，由於監聽程式要分析和處理大量的資料報會占用很多的cpu

（3）使用反監聽工具如antisniffer等進行檢測。

2.2網路監聽的防範

2.2.1網路分段

網路分段通常被認為是控制網路廣播風暴的一種基本手段，但其實也是防範網路監聽的一項重要措施。將網路劃分為不同的網段，其目的是將非法使用者與敏感的網路資源相互隔離，從而防止可能的非法監聽。

2.2.2以交換式集線器代替共享式集線器

對區域網的中心交換機進行網路分段後，區域網監聽的危險仍然存在。這是因為網路終端使用者的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當使用者與主機進行資料通訊時，兩台機器之間的資料報(單播包)還是會被同一

臺集線器上的其他使用者監聽。因此，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節點之間傳送，從而防止非法監聽。

2.2.3使用加密技術

資料經過加密後，通過監聽仍然可以得到傳送的資訊,但顯示的是亂碼。使用加密技術的

缺點是影響資料傳輸速度以及使用乙個弱加密術比較容易被攻破。

2.2.4劃分vlan

運用vlan（虛擬區域網）技術，將乙太網通訊變為點到點通訊，vlan子網隔離了廣播風暴

，可以防止大部分基於網路監聽的侵入，對一些重要部門實施了安全保護。且當某一部門物理位置發生變化時，只需對交換機進行設定，就可以實現網路的重組，非常方便、快捷，同時節約了成本。為保證不同職能部門管理的方便性和安全性以及整個網路執行的穩定性，可採用vlan技術進行虛擬網路劃分。

3結語

網路監聽技術在資訊保安領域中顯得非常重要，他又是一把雙刃劍，總是扮演著正反兩方面的角色。對於網路管理員來說，網路監聽技術可以用來分析網路效能，檢查網路是否被入侵發揮著重要的作用；對於入侵者來說，網路監聽技術可以很容易地獲得明文傳輸的密碼和各種機密資料。為了保護網路資訊的安全，必須採用網路監聽技術進行反跟蹤，時刻探明現有網路的安全現狀，掌握先機，才能保證網路的資訊保安。 

乙太網監聽的原理與防範

乙太網的工作原理

乙太網自動協商原理

乙太網自動協商原理

乙太網監聽的原理與防範

乙太網的工作原理

乙太網自動協商原理

乙太網自動協商原理

相關推薦