檢測和防范局域網監聽方法的討論研究

摘要：本文通過對局域網監聽技術基本工作原理的研究，分析了在局域網特別是以太網中檢測網絡監聽的方法，并結合實際工作情況總結了一些檢測監聽的方法和防范監聽的措施，詳細設計了幾種常見的防范局域網監聽方法：Ping、交換式集線器、劃分VLAN、訪問控制、靜態ARP、加密技術、防御軟件、安全意識等。

關鍵詞：網絡安全；監聽檢測；監聽防范；方法

中文圖書分類號：TP393 文獻標識碼：A 文章編號：1009-3044(2008)15-20ppp-0c

LAN Monitoring Detection and Prevention Methods Discussed

LIU Ru

(The Xiangfan Power of Wuhan Railway Bureau，Xiangfan 441003，China)

Abstract:Based on the LAN Sniffer Technology basic tenets of research，analysis in a particular Ethernet LAN Network Sniffer detection method，combined with the actual work of summing up some of the methods and monitoring measures to prevent eavesdropping the detailed design Several common methods to prevent eavesdropping LAN: Pingwitching hubs，of VLAN，access control，static ARP，encryption technology，defense software，security awareness.

Key words:Network Security;Detection Monitoring;Prevent Eavesdropping;Method

1 引言

隨著計算機網絡技術的迅速發展，網絡在辦公中扮演的角色越來越重要，數據的傳輸、資源的共享簡化了辦公流程，加快了辦事的效率，但由于網絡連接的自由性和信息的可復制性，也使網絡安全逐漸成為人們關注的一個熱點，信息泄露現象越來越普遍。一旦諸如口令、賬號等被截獲，則可以非常容易地實現對整個局域網的控制。

在表1中，以太網和環網是不需要搭線或通過主機設備就可進行監聽，目前多數局域網以以太網為主，當信息以明文的形式在網絡上傳輸時，便可以使用網絡監聽的方式來進行攻擊。因而檢測和防范此類網絡監聽就顯得尤其重要。

2 局域網監聽技術的定義及原理

局域網技術是把分散在較小地理范圍中的計算機、終端、外圍設備、網絡設備等各種數據通信設備相互連接起來，以很高的速度進行通信的技術。在局域網線路上傳輸的數據是以數據包為單位的，主機的局域網卡負責發送和接收數據包。局域網系統有一條共享信道，各主機平等地、隨機地競爭在信道上傳輸數據包的機會。某一主機發送數據包，數據包會在共享信道上廣播到每一個主機，主機局域網卡根據地址選取發給本機的數據包，過濾掉發給其他主機的數據包。如果網絡中某個網卡的物理地址不確定，那么該網卡將接收所有在局域網中傳輸的數據包，無論該數據數據包中攜帶的目標地址是廣播地址還是某一指定的地址，這就形成了局域網的監聽。如果局域網中的某一臺主機被設置成監聽模式，它就成了一個網絡嗅探器，英文稱為Sniffer。在局域網中，Sniffer收集局域網上傳送的數據包中的數據，這些數據可以是用戶的賬號和密碼，也可以是一些機密文件和重要數據等等。Sniffer通常運行在路由器或有路由器功能的主機上，這樣能對大量的數據進行監控。使用Sniffer進行監聽的網絡可以是運行在各種協議之下的，也可以是其中幾種協議的聯合。由此可見，Sniffer幾乎能監聽和捕獲到任何局域網上傳送的數據包。

3 檢測局域網監聽的方法

3.1 Ping方法

這種檢測原理基于以太網的數據鏈路層和TCP/IP網絡層的實現，是一種非常有效的測試方法。

Ping法的原理：如果一個以太網的數據包的目的MAC地址不屬于本機，該包會在以太網的數據鏈路層上被拋棄，無法進入TCP/IP網絡層；進入TCP/IP網絡層的數據包，如果解析該包后，發現這是一個包含本機ICMP回應請示的TCP包（Ping則網絡層向該包的發送主機發送ICMP回應。

我們可以構造一個Ping含正確的IP地址和錯誤的MAC地址，其中IP地址是可疑主機的IP地址，MAC地址是偽造的，這樣如果可疑主機的網卡工作在正常模式，則該包將在可疑主機的以太網的數據鏈路層上被丟棄，TCP/IP網絡層接收不到數據因而也不會有什么反應。如果可疑主機的網卡工作在混雜模式，它就能接收錯誤的MAC地址，該非法包會被數據鏈路層接收而進入上層的TCP/IP網絡層，TCP/IP網絡層將對這個非法的Ping回應，從而暴露工作模式。

使用Ping步驟如下：

a.假設可疑主機的IP地址為192.168.10.11，MAC地址是00-E0-4C-3A-4B-A4，檢測者和可疑主機位于同一網段。

b.稍微修改可疑主機的MAC地址，假設改成00-E0-4C-3A-4B-A4。

c.向可疑主機發送一個Ping含它的IP和改動后的MAC地址。

d.沒有被監聽的主機不能夠看到發送的數據包，因為正常的主機檢查這個數據包，比較數據包的MAC地址與自己的MAC地址不相符，則丟棄這個數據包，不產生回應。

e.如果看到回應，說明數據包沒有被丟棄，也就是說，可疑主機被監聽了．

3.2 通過一些現象檢測

a.網絡通信掉包率反常的高：

通過一些網絡軟件，可以看到信息包傳送情況。如果網絡中有人在監聽，那么信息包傳送將無法每次都順暢地傳到目的地，這是由于Sniffer攔截每個包導致。

b.絡帶寬出現反常：

通過防火墻的帶寬控制器可以實時看到當前網絡帶寬的分布情況，如果某臺計算機長時間占用了較大的帶寬，對外界的響應很慢，這臺計算機就有可能被監聽。

c.查看Sniffer警告信息：

在一個大型網絡中，被安裝Sniffer的計算機會明顯加重負荷，Sniffer的日志文件會很快增大并填滿文件空間。這些警告信息能夠幫助管理員發現Sniffer。

d.檢測混雜模式的網絡接口：

一個主機上的Sniffer會將網絡接口置為混雜模式以接收所有數據包，因而，可通過監測混雜模式網絡接口的方法來判斷是否被監聽。雖然可以在非混雜模式下運行Sniffer，但這樣只能捕獲本機會話，只有混雜模式下才能捕獲局域網中的所有會話。

3.3 ARP方法

這種模式是Ping一種變體。通過向網絡內的主機發送廣播方式的ARP包，如果網絡內的某臺主機響應了這個ARP請求，那么我們就可以判斷它很有可能處于網絡監聽模式。

4 局域網監聽的防范方法

4.1 網絡分段

網絡分段通常被認為是控制網絡監聽的一種基本手段，其目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法監聽。網絡分段可分為物理分段和邏輯分段兩種方式。通常在保密級別相對較高的地點會采用物理分段的方式，而保密的級別相對較低的地點采用邏輯分段。物理分段是以硬件設備將網絡劃分成不同的網絡地址段。目前，絕大多數交換機都有一定的訪問控制能力，可實現對網絡的物理分段。在出現問題進可以通過物理手段來斷開網絡以避免更大的損失。邏輯分段則通過網段的劃分和IP地址策略制定達到網絡分段的目的。對TCP/IP網絡，可把網絡分成若干IP子網，各子網間必須通過路由器、交換機、網關、防火墻等設備進行連接，利用這些中間設備的安全機制來控制各子網間的訪問。在實際應用過程中，通常采取物理分段與邏輯分段相結合的方法來實現對網絡系統的安全性控制。

我段根據實際情況采用網絡分段技術，建立安全的網絡拓撲結構，把網絡分成三個小的網絡，在網段之間通過路由器、交換機相連，實現相互隔離。在用戶模式下根本感覺不到網絡段落的存在，但是確實很好地防范了網絡監聽。即使某個網段被監聽了，網絡中的其他網段還是安全的。

4.2 訪問控制

訪問控制就是要對訪問的申請、批準和撤銷的全過程進行有效的控制，確保只有合法用戶的合法訪問才能被批準，而且被批準的訪問要進行授權，對于每次訪問還應該有審計跟蹤。訪問控制是局域網內防止信息泄漏的重要策略，其主要任務是保證網絡資源不被非法使用和訪問，常見的訪問控制策略有：

a.對計算機的使用控制：

對用戶的身份進行鑒別，保證使用計算機的用戶合法性，禁止非法用戶操作計算機，從物理上做好訪問控制。

b.用戶權限控制：

用戶被賦予一定的權限，根據權限控制用戶可以訪問哪些資源，對這些資源可以進行哪些操作。根據訪問權限不同，將用戶分為系統管理員用戶、受限用戶。并根據對資源操作的不同，訪問權限分為系統管理員權限、讀權限、寫權限、創建權限、刪除權限、文件查找權限等。網絡系統管理員可以為用戶指定適當的訪問權限，同時又能有效地控制用戶對服務器資源的訪問，從而加強了網絡和服務器的安全性。

c.網絡監測和鎖定控制：

網絡管理員應對網絡實施監控，服務器記錄用戶對網絡資源的訪問。對非法的網絡訪問，服務器應以文字的方式在日志中予以記錄，從而引起管理員的注意。如果非法訪問的次數達到設定數值，那么該賬戶將被自動鎖定。

4.3 以交換式集線器代替共享式集線器

對局域網的中心交換機進行網絡分段后，局域網監聽的危險仍然存在。這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機。而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行數據通信時，兩臺機器之間的數據包還是會被同一臺集線器上的其他用戶監聽。因此，以交換機式集線器代替共享式集線器，使單播包僅在兩個節點之間傳送，從而防止非法監聽。

4.4 劃分VLAN

運用VLAN（虛擬局域網）技術，將以太網通信變為點到點通信，可以防止大部分基于網絡監聽的入侵。VLAN內部之間的連接采用交換來實現，而VLAN與VLAN間的連接則采用路由來實現，將其通信改為點對點的通信，能有效地防止基于廣播原理的局域網監聽。在集中式網絡環境中，一般將中心所有主機集中到一個VLAN中，在這個VLAN中不允許有任何其它節點，從而較好地保護了敏感主機。

5 結束語

本文通過對局域網監聽技術基本工作原理的研究，分析了在局域網特別是以太網中檢測網絡監聽的方法，并結合實際工作情況總結了一些檢測監聽的方法和防范監聽的措施。鑒于目前的局域網絡安全現狀，我們會根據實際工作情況進一步挖掘檢測局域網監聽和防范的技術細節，從技術實現上掌握先機，消除給網絡安全還來的所有隱患。

參考文獻：

[1]王石，局域網安全與攻防[M].北京:電子工業出版社，2006:347.

[2]方欣，劉仰華.計算機網絡系統集成[M].北京:中國水利水電出版社，2005.

[3]徐健.基于網絡的入侵檢測系統的設計與實現.計算機系統應用，2006.10.

[4](美)W.Richard Stevens.TCP/IP詳解（卷1：協議）[M].北京:機械T-業出版社，2002.

收稿日期：2008-2-10

作者簡介：劉茹（1978-），女，湖北當陽人，武漢鐵路局襄樊供電段段長辦公室助理工程師，助理工程師，學士學位，主要從事TMIS、辦公自動化等研究。