網路監聽的原理實現技術與防範方法

網路監聽的原理、實現技術與防範方法

一、網路監聽

網路監聽技術本來是提供給網路安全管理人員進行管理的工具，可以用來監視網路的狀態、資料流動情況以及網路上傳輸的資訊等。當資訊以明文的形式在網路上傳輸時，使用監聽技術進行攻擊並不是一件難事，只要將網路介面設定成監聽模式，便可以源源不斷地將網上傳輸的資訊截獲。網路監聽可以在網上的任何乙個位置實施，如區域網中的一台主機、閘道器上或遠端網的數據機之間等。

二、在區域網實現監聽的基本原理

對於目前很流行的乙太網協議，其工作方式是：將要傳送的資料報發往連線在一起的所有主機，包中包含著應該接收資料報主機的正確位址，只有與資料報中目標位址一致的那台主機才能接收。但是，當主機工作監聽模式下，無論資料報中的目標位址是什麼，主機都將接收(當然只能監聽經過自己網路介面的那些包)。

在網際網路上有很多使用乙太網協議的區域網，許多主機通過電纜、集線器連在一起。當同一網路中的兩台主機通訊的時候，源主機將寫有目的的主機位址的資料報直接發向目的主機。但這種資料報不能在ip層直接傳送，必須從tcp/ip協議的ip層交給網路介面，也就是資料鏈路層，而網路介面是不會識別ip位址的，因此在網路介面資料報又增加了一部分以太幀頭的資訊。在幀頭中有兩個域，分別為只有網路介面才能識別的源主機和目的主機的實體地址，這是乙個與ip位址相對應的48位的位址。

傳輸資料時，包含實體地址的幀從網路介面(網絡卡)傳送到物理的線路上，如果區域網是由一條粗纜或細纜連線而成，則數碼訊號在電纜上傳輸，能夠到達線路上的每一台主機。當使用集線器時，由集線器再發向連線在集線器上的每一條線路，數碼訊號也能到達連線在集線器上的每一台主機。當數碼訊號到達一台主機的網路介面時，正常情況下，網路介面讀入資料幀，進行檢查，如果資料幀中攜帶的實體地址是自己的或者是廣播位址，則將資料幀交給上層協議軟體，也就是ip層軟體，否則就將這個幀丟棄。對於每乙個到達網路介面的資料幀，都要進行這個過程。

然而，當主機工作在監聽模式下，所有的資料幀都將被交給上層協議軟體處理。而且，當連線在同一條電纜或集線器上的主機被邏輯地分為幾個子網時，如果一台主機處於監聽模式下，它還能接收到發向與自己不在同一子網(使用了不同的掩碼、ip位址和閘道器)的主機的資料報。也就是說，在同一條物理通道上傳輸的所有資訊都可以被接收到。另外，現在網路中使用的大部分協議都是很早設計的，許多協議的實現都是基於一種非常友好的、通訊的雙方充分信任的基礎之上，許多資訊以明文傳送。因此，如果使用者的賬戶名和口令等資訊也以明文的方式在網上傳輸，而此時乙個黑客或網路攻擊者正在進行網路監聽，只要具有初步的網路和tcp/ip協議知識，便能輕易地從監聽到的資訊中提取出感興趣的部分。同理，正確的使用網路監聽技術也可以發現入侵並對入侵者進行追蹤定位，在對網路犯罪進行偵查取證時獲取有關犯罪行為的重要資訊，成為打擊網路犯罪的有力手段。

三、區域網監聽的簡單實現

要使主機工作在監聽模式下，需要向網路介面發出i/o控制命令，將其設定為監聽模式。在unix系統中，傳送這些命令需要超級使用者的許可權。在windows系列作業系統中，則沒有這個限制。要實現網路監聽，可以自己用相關的計算機語言和函式編寫出功能強大的網路監聽程式，也可以使用一些現成的監聽軟體，在很多黑客**或從事網路安全管理的**都有。

1. 乙個使用sniffer pro進行監聽並解析ipv4協議頭部的例子

(1)ip頭部概述

對於上圖中各個欄位的含義以及ipv4和ipv6報頭的區別，rfc文件和一些計算機網路基礎的書籍中都有詳細的說明，在此不再贅述。

(2)例項解析

是用sniffer pro進行監聽時捕獲的ipv4協議報頭。

第一部分顯示的是關於ip的版本資訊，它的當前版本號為4;然後是頭部的長度，其單位是32-bit的字，本例中值為20bytes。

第二部分是有關服務型別的資訊。

第三部分為頭部長度字段，本例中ip報頭長為56位元組。

第四部分是關於分段的內容。

第五部分是生存時間字段，一般為64或128，本例為128seconds/hops。

第六部分是協議部分，說明了上層使用的服務型別，本例中為udp。

第七部分以下各欄位分別為校驗和、源位址、目的位址等。

2. 乙個使用sniffer pro進行監聽獲取郵箱密碼的例子

通過對用監聽工具捕獲的資料幀進行分析，可以很容易的發現敏感資訊和重要資訊。例如，對一些明碼傳輸的郵箱使用者名稱和口令可以直接顯示出來。

gao-jian2001為郵箱使用者名稱，12345為郵箱密碼，都以明碼顯示，由此也可以看到區域網監聽技術如果用於不正當的目的會有多大的危害。

在以上各部分中還有更詳細的資訊，在此不作更多的分析。通過這個例子想說明的是通過網路監聽可以獲得網路上實時傳輸的資料中的一些非常重要的資訊，而這些資訊對於網路入侵或入侵檢測與追蹤都會是很關鍵的。

四、如何檢測並防範網路監聽

網路監聽是很難被發現的，因為執行網路監聽的主機只是被動地接收在局域局上傳輸的資訊，不主動的與其他主機交換資訊，也沒有修改在網上傳輸的資料報。

1. 對可能存在的網路監聽的檢測

(1)對於懷疑執行監聽程式的機器，用正確的ip位址和錯誤的實體地址ping，執行監聽程式的機器會有響應。這是因為正常的機器不接收錯誤的實體地址，處理監聽狀態的機器能接收，但如果他的ip stack不再次反向檢查的話，就會響應。

(2)向網上發大量不存在的實體地址的包，由於監聽程式要分析和處理大量的資料報會占用很多的cpu資源，這將導致效能下降。通過比較前後該機器效能加以判斷。這種方法難度比較大。

(3)使用反監聽工具如antisniffer等進行檢測

2. 對網路監聽的防範措施

(1)從邏輯或物理上對網路分段

網路分段通常被認為是控制網路廣播風暴的一種基本手段，但其實也是保證網路安全的一項措施。其目的是將非法使用者與敏感的網路資源相互隔離，從而防止可能的非法監聽。

(2)以交換式集線器代替共享式集線器

對區域網的中心交換機進行網路分段後，區域網監聽的危險仍然存在。這是因為網路終端使用者的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當使用者與主機進行資料通訊時，兩台機器之間的資料報(稱為單播包unicast packet)還是會被同一臺集線器上的其他使用者所監聽。

因此，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節點之間傳送，從而防止非法監聽。當然，交換式集線器只能控制單播包而無法控制廣播包(broadcast packet)和多播包(multicast packet)。但廣播包和多播包內的關鍵資訊，要遠遠少於單播包。

(3)使用加密技術

資料經過加密後，通過監聽仍然可以得到傳送的資訊,但顯示的是亂碼。使用加密技術的缺點是影響資料傳輸速度以及使用乙個弱加密術比較容易被攻破。系統管理員和使用者需要在網路速度和安全性上進行折中。

(4)劃分vlan

運用vlan(虛擬區域網)技術，將乙太網通訊變為點到點通訊，可以防止大部分基於網路監聽的入侵。

五、結束語

網路監聽的原理實現技術與防範方法

區域網監聽的原理實現與防範

乙太網監聽的原理與防範

SQL注入的實現原理和防範

網路監聽的原理 實現技術與防範方法

區域網監聽的原理 實現與防範

乙太網監聽的原理與防範

SQL注入的實現原理和防範

相關推薦

網路監聽的原理實現技術與防範方法

區域網監聽的原理實現與防範