關(guān)于網(wǎng)絡(luò)監(jiān)聽技術(shù)的研究

營口市中等專業(yè)學(xué)校 呂艷娟

一、網(wǎng)絡(luò)監(jiān)聽的研究現(xiàn)狀

在計(jì)算網(wǎng)絡(luò)技術(shù)日漸發(fā)展的今天，威脅計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的非法入侵也伴隨而來。一方面，網(wǎng)絡(luò)管理員管理網(wǎng)絡(luò)要捕獲對方的通信報(bào)文或通信內(nèi)容。然而黑客們也常用網(wǎng)絡(luò)監(jiān)聽工具來竊取信息，以達(dá)到非法獲得他人的信息的目的。當(dāng)今的時(shí)代，網(wǎng)絡(luò)上傳輸?shù)男畔⒋蟛糠质且晕拿鞯男问絺鬏數(shù)模虼耍藗兛梢允褂镁W(wǎng)絡(luò)監(jiān)聽的方式來捕獲用戶的口令、賬號、敏感的信息數(shù)據(jù)以及網(wǎng)絡(luò)底層的協(xié)議信息等重要內(nèi)容。這樣就涉及用戶的信息尤其是私密數(shù)據(jù)泄露，給用戶帶來一定的煩惱，甚至?xí)斫?jīng)濟(jì)損失。想要有效管理網(wǎng)絡(luò)，監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流動情況，確保數(shù)據(jù)在傳輸過程中的安全，就必須知道網(wǎng)絡(luò)監(jiān)聽工具軟件原理及其操作方法，網(wǎng)絡(luò)監(jiān)聽的工作原理，這樣才能對阻攔黑客的進(jìn)攻而采取相應(yīng)的防護(hù)措施。

二、網(wǎng)絡(luò)監(jiān)聽原理

網(wǎng)絡(luò)監(jiān)聽是指以計(jì)算機(jī)互聯(lián)的網(wǎng)絡(luò)接口為攔取目的地，從而來截取別的計(jì)算機(jī)的數(shù)據(jù)報(bào)文及信息。所謂的廣播就是，在互聯(lián)的局域網(wǎng)中，當(dāng)主機(jī)與其他相連接的其他計(jì)算機(jī)進(jìn)行數(shù)據(jù)交換的時(shí)候，發(fā)送的數(shù)據(jù)包會發(fā)送到互聯(lián)的所有主機(jī)。正確的目標(biāo)機(jī)地址包含在數(shù)據(jù)報(bào)的包頭，當(dāng)主機(jī)與所有含有數(shù)據(jù)報(bào)中目標(biāo)地址一致就要接收該數(shù)據(jù)報(bào)，而丟棄其余的數(shù)據(jù)報(bào)。而網(wǎng)絡(luò)監(jiān)聽工作模式卻與其相反，主機(jī)都會將接受所有的數(shù)據(jù)報(bào)。而不管接收到的數(shù)據(jù)報(bào)含有什么樣的目標(biāo)地址，接下來分析數(shù)據(jù)報(bào)，從而得到局域網(wǎng)中通信的數(shù)據(jù)。同一網(wǎng)段所有的數(shù)據(jù)報(bào)可以被一臺主機(jī)所監(jiān)聽，但是該主機(jī)對于不同網(wǎng)段的計(jì)算傳輸信息不能監(jiān)聽。

三、網(wǎng)絡(luò)監(jiān)聽的組成

網(wǎng)絡(luò)中的任一地方可以實(shí)施網(wǎng)絡(luò)監(jiān)聽，例如路由器、主機(jī)、調(diào)制解調(diào)器、網(wǎng)關(guān)、。監(jiān)聽的主要部分是監(jiān)聽器，一個監(jiān)聽器包含下面幾個部分：

1.路由器、集線器、網(wǎng)卡等部分組成網(wǎng)絡(luò)硬件設(shè)備。

2.監(jiān)聽驅(qū)動程序的主要作用是截獲數(shù)據(jù)流，緩沖區(qū)中存放被過濾好的截獲的數(shù)據(jù)。

3.捕獲驅(qū)動程序是監(jiān)聽器的重要組成，網(wǎng)絡(luò)硬件經(jīng)過它的控制通過信道捕獲數(shù)據(jù)，然后將其存進(jìn)緩沖器。

4.緩沖器是存放捕獲的數(shù)據(jù)的場所。畢竟緩沖器容量不大，監(jiān)聽器在使用緩沖器時(shí)，一般有兩種方式：一是當(dāng)緩沖器填滿時(shí)候，即會中止捕獲；二是不管緩沖器是否已滿，仍會捕獲數(shù)據(jù)，原來的數(shù)據(jù)會被捕獲來的新數(shù)據(jù)而覆蓋。

5.實(shí)時(shí)分析程序主要是對存在于數(shù)據(jù)幀的數(shù)據(jù)，進(jìn)行實(shí)時(shí)分析，側(cè)重于發(fā)現(xiàn)網(wǎng)絡(luò)故障，網(wǎng)絡(luò)中出現(xiàn)的性能問題。

6.解碼程序主要是解密接收到的被加密數(shù)據(jù)，組成獨(dú)立的加密數(shù)據(jù)包，加密后的數(shù)據(jù)包會被傳送到網(wǎng)絡(luò)中。

7.數(shù)據(jù)包分析器進(jìn)行模式匹配和分析已經(jīng)截取到的數(shù)據(jù)包，從原始數(shù)據(jù)包中剝離出來有用的信息。

四、網(wǎng)絡(luò)監(jiān)聽的用途

在當(dāng)今的網(wǎng)絡(luò)安全領(lǐng)域中，網(wǎng)絡(luò)監(jiān)聽起著非凡的作用。一般來說Sniffer程序有兩種形式：

其中一種是商業(yè)Sniffer，而另一種是黑客所使用的sniffer。

用于維護(hù)網(wǎng)絡(luò)主要用的是商業(yè)Sniffer，網(wǎng)絡(luò)管理者在維護(hù)和監(jiān)控本地網(wǎng)絡(luò)狀況時(shí)候，可以利用其進(jìn)行網(wǎng)絡(luò)監(jiān)聽，監(jiān)測黑客入侵系統(tǒng)的重要方式是網(wǎng)絡(luò)監(jiān)聽。具體地說：

1.網(wǎng)絡(luò)監(jiān)聽用可讀的方式轉(zhuǎn)化網(wǎng)絡(luò)中的數(shù)據(jù)流。

2.網(wǎng)路監(jiān)聽對監(jiān)聽的數(shù)據(jù)分析性能來發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸。

3.網(wǎng)絡(luò)監(jiān)聽能夠?qū)ΡO(jiān)聽的數(shù)據(jù)進(jìn)行入侵檢測，從而發(fā)現(xiàn)是否是外來入侵者。

4.網(wǎng)絡(luò)監(jiān)聽能對網(wǎng)絡(luò)的日常活動生成活動日志，同會還能夠?qū)W(wǎng)絡(luò)進(jìn)行安全審計(jì)。

5.網(wǎng)絡(luò)監(jiān)聽可以根據(jù)監(jiān)聽的數(shù)據(jù)對網(wǎng)絡(luò)運(yùn)行進(jìn)行故障分析，從而找到網(wǎng)絡(luò)中可能出現(xiàn)的問題。

五、網(wǎng)絡(luò)監(jiān)聽的意義

在現(xiàn)實(shí)生活中研究網(wǎng)絡(luò)監(jiān)聽技術(shù)具有很大的意義，特別是在現(xiàn)代網(wǎng)絡(luò)信息戰(zhàn)中，發(fā)揮著不可替代的作用。在現(xiàn)實(shí)的網(wǎng)絡(luò)安全中，Sniffer有“雙刀劍”的作用：一是網(wǎng)絡(luò)管理員可以通過網(wǎng)絡(luò)監(jiān)聽軟件監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)，同時(shí)也可以監(jiān)視網(wǎng)絡(luò)上正在傳輸?shù)男畔ⅲW(wǎng)絡(luò)數(shù)據(jù)傳輸情況，同時(shí)可以實(shí)時(shí)觀測分析數(shù)據(jù)包，從而迅速找到網(wǎng)絡(luò)運(yùn)行故障，然而，網(wǎng)絡(luò)監(jiān)聽對以太網(wǎng)造成很大的威脅，太網(wǎng)內(nèi)的網(wǎng)絡(luò)監(jiān)聽和非法的網(wǎng)絡(luò)入侵事件往往同時(shí)發(fā)生，因此會發(fā)生很多惡性的安全事件，例如入侵者盜用用戶密碼，截獲用戶私密數(shù)據(jù)等。針對Sniffer正反兩方面的作用，對Sniffer的研究也有兩方面的意義：一方面，我們要不斷探索網(wǎng)絡(luò)監(jiān)聽方法，找出存在于網(wǎng)絡(luò)中的破綻，防微杜漸；另一方面，不但研究出更加有效的監(jiān)聽方式，在將來的的網(wǎng)絡(luò)信息戰(zhàn)中對入侵者方網(wǎng)絡(luò)發(fā)動襲擊，從而為社會各行各業(yè)提供更好的網(wǎng)絡(luò)信息服務(wù)。

六、網(wǎng)絡(luò)監(jiān)聽的實(shí)現(xiàn)方式

實(shí)施網(wǎng)絡(luò)監(jiān)聽是有限制的，如果在網(wǎng)絡(luò)內(nèi)部的一臺主機(jī)上裝上監(jiān)聽軟件，就能看到網(wǎng)絡(luò)的全部運(yùn)行狀況，是不現(xiàn)實(shí)的。網(wǎng)絡(luò)監(jiān)聽實(shí)現(xiàn)情況分兩種，一種是利用以太網(wǎng)絡(luò)的廣播特性實(shí)現(xiàn)，另一種是通過設(shè)置路由器的監(jiān)聽端口實(shí)現(xiàn)，這兩種方式分別適用于不同的工作情況。

1.針對集線器的監(jiān)聽

首先局域網(wǎng)內(nèi)發(fā)送的數(shù)據(jù)包過程，從TCP/IP模型的視覺來看：應(yīng)用層中數(shù)據(jù)的傳遞模式是從上向下的，IP數(shù)據(jù)包在網(wǎng)絡(luò)層形成，IP數(shù)據(jù)包被數(shù)據(jù)鏈路層接收，IP數(shù)據(jù)包在數(shù)據(jù)鏈路層中被分成數(shù)據(jù)幀大小的單位，以太網(wǎng)包頭加在數(shù)據(jù)幀中，向下層進(jìn)一步傳輸。本機(jī)目標(biāo)設(shè)備的物理地址，存在于在傳輸?shù)囊蕴W(wǎng)的包頭中，數(shù)據(jù)鏈路層的數(shù)據(jù)幀發(fā)送時(shí)，數(shù)據(jù)包從TCP/IP協(xié)議的IP層傳輸給網(wǎng)絡(luò)接口。由于IP地址不能被網(wǎng)絡(luò)接口所識別，有IP地址的數(shù)據(jù)包中包含太幀的幀頭，幀頭包含兩部分地址域，一個是48位的源主機(jī)的物理地址，另一個是目的主機(jī)的物理地址，這個地址與IP地址是一對一關(guān)系，因此一個物理地址關(guān)聯(lián)一個IP地址。對于網(wǎng)關(guān)中的主機(jī)，如果有若干個網(wǎng)絡(luò)，那么就具有若干個IP地址。由于HUB將局域網(wǎng)內(nèi)的各個主機(jī)連接起來，因此它充當(dāng)一個共享的廣播媒體，HUB接受局域網(wǎng)將要發(fā)送的數(shù)據(jù)，然后向它自己的各個端口轉(zhuǎn)發(fā)。將主機(jī)的網(wǎng)卡調(diào)成為混雜模式，那么該局域網(wǎng)內(nèi)各個主機(jī)的數(shù)據(jù)就可以互相傳輸。

2.針對交換機(jī)的監(jiān)聽

數(shù)據(jù)鏈路層是交換機(jī)是工作場所，交換機(jī)內(nèi)部存儲一個ARP的數(shù)據(jù)庫表，表中有交換機(jī)每個端口所固定的物理地址，交換機(jī)接收到數(shù)據(jù)報(bào)時(shí)，數(shù)據(jù)庫表內(nèi)的端口和數(shù)據(jù)報(bào)的目的地址進(jìn)行在交換機(jī)會進(jìn)行比對，如果交換機(jī)的數(shù)據(jù)庫表中與數(shù)據(jù)報(bào)文的目的物理地址不一致，此時(shí)報(bào)文向所有端口轉(zhuǎn)發(fā)，然后將數(shù)據(jù)報(bào)發(fā)送到“相應(yīng)的”端口上，如果是一一對應(yīng)的，則廣播此報(bào)文。所謂的廣播媒體不是建立在以交換機(jī)為基礎(chǔ)的以太網(wǎng)局域，被動監(jiān)聽工具所能捕獲的的數(shù)據(jù)受到了交換機(jī)的限制了。想使監(jiān)聽發(fā)揮真正的作用的，要采用MAC flooding和ARP欺騙等方法。

七、網(wǎng)絡(luò)監(jiān)聽的防范對策分析

目前這對網(wǎng)絡(luò)監(jiān)聽有多種防護(hù)手段，主要有三類：一是預(yù)防策略。首先要保證以太網(wǎng)的整體數(shù)據(jù)的安全性，經(jīng)常查看網(wǎng)絡(luò)內(nèi)部是否有漏洞的主機(jī)，監(jiān)聽的前提條件是主機(jī)被攻克了，從而使敏感數(shù)據(jù)被截獲。二是被動防御措施，對數(shù)據(jù)信息采取加密技術(shù)。三是主動防御策略，限制網(wǎng)絡(luò)監(jiān)聽的有效措施是：以網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為基礎(chǔ)，利用交換機(jī)劃分VLAN，讓網(wǎng)絡(luò)內(nèi)部所有的監(jiān)聽行為發(fā)生在一個虛擬網(wǎng)中，使網(wǎng)絡(luò)監(jiān)聽的危害程度降到最小。

[1]呂驥,文靜華.校園網(wǎng)內(nèi)ARP欺騙攻擊及防范[J].福建電腦,2007,05.

[2]鄧清華,陳松喬.ARP欺騙攻擊及其防范[J].微機(jī)發(fā)展,2004,08.

[3]喻飛,安吉堯,朱淼良.以太網(wǎng)中網(wǎng)絡(luò)監(jiān)聽的檢測[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2004,01.