基于局域网的网络监听技术及其防范分析

摘要：随着现代社会人们使用网络频次的几何式增长，网络信息安全已经成为一个热点。而作为人们使用网络的主场所，局域网技术的实施也处于一个不断的演进和发展成熟过程。该文针对局域网络监听技术的分析，给出了加强防范局域网网络监听技术的一些方法。为维护网络信息安全和局域网安全运行体系提出了一些建议。

关键词：网络信息安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）05-0990-02

近年来，互联网的迅速推广和普及应用使越来越多的人认识到了网络的优势和价值。网络中大量信息的流通和使用给人们的工作、学习和生活娱乐等都带来了极大的便利。但是随着网络应用的不断丰富和发展，网络信息安全等问题逐渐变得越发突出。身份泄密、信息篡改、不良信息等问题日益严重。许多不法分子从中获取不法利益，对国家和个人造成各种经济损害和生活困扰，严重扰乱了正常的社会秩序。因此，分析网络信息安全隐患，利用网络监听技术实施网络监控，减少网络的负面效果对国家和个人的影响具有非常重要的现实意义。

1 网络监听技术概述

1.1 网络监听的定义

监听一词在百度百科里的解释就是采取比较隐蔽的手段或设备等技术，对相应的声音或事态的发展进行探听的一种行为。众所周知，声音可以监听，无线电可以监听，而计算机网络作为一种数字信号在实体中的传播同样是可以监听的。网络监听也叫嗅探，既将网络上传输的数据捕获并进行分析的行为。目前应用较广的网络监听器又叫嗅探器，英文名是sniffer，既有硬件形式，又有软件形式。它是利用计算机的网络接口捕获目的地向其它计算机传送的数据报文的一种工具。它最初是网络管理员用来监视网络的运行状态、数据流动以及信号传输等的管理工具。但是黑客们也常通过该技术来对网络进行信息窃取和攻击。

1.2 网络监听的原理

我们目前所熟知和广泛使用的Internet互联网其实就是由众多的局域网组成，这种结构我们一般叫做以太网或令牌网。[1]这种网络被称为广播式网络。由于以太网等很多网络是基于总线方式，物理上是广播的，所以同一物理段内的所有主机的网卡都能接收到这些传输信号。当网络接口处于正常状态时，网卡可以接收传输信号，首先接收数据头的目的MAC地址，然后根据预先设置好的接收模式判断是否与自己的MAC地址相同。如果相同则接收，并在完成后向CPU发送中断信号，否则将舍弃。CPU得到中断信号则产生中断。操作系统就是根据网卡驱动程序中设置的中断程序地址调用驱动程序来接收数据，数据接收后放入堆栈由操作系统处理。如果通过修改网卡使其处于一种特殊的工作模式时，网卡将不对目的地址进行判断而直接将它收到的所有信号都传递给操作系统进行处理，这种模式称为混杂模式（Promiscuous模式）。[2]网络监听就是利用将网卡设置成混杂模式，使其对收到的每一个数字报文信号都发出中断信号，让操作系统对其进行处理。由于sniffer位于网络环境的底层，它能收到所有的正在网络上传递的信号并对其进行实时分析和处理，从而获取传递信息。

图1是以太网混合模式网络数据传送示意图。

还有一种通过点到点实现传输的网络方式叫交换式局域网。黑客对交换式局域网的监听与对广播式局域网络的方法完全不同。他们通过向交换机端口发送大量虚假MAC地址信号迫使端口存储的动态映射表数据“溢出”失去保密性、修改本地接收机MAC地址使其“合法化”，以及修改被攻击主机上的ARP表来对信号源主机进行ARP欺骗等方式完成网络监听。值得一提的是修改MAC地址的欺骗与ARP 欺骗有着本质的不同，前者是针对交换机的欺骗，后者是毒害主机的ARP 缓存。[3]

2 网络监听的几种检测方式

明白了网络监听的原理后，我们还应掌握如何检测出一个局域网络中是否存在监听的现象。目前常用的检测方式根据检测位置划分主要有以下两种：

2.1 在本地计算机上进行检测

一般网卡的工作模式有四种：广播模式、组播模式、直接模式和混杂模式。我们已经知道网络监听是要在网卡处于混杂模式下进行，所以可以通过检查网卡是否处于混杂模式来检测。[4]这可以利用一些现成的工具软件来完成，如ARP探测技术、AntiSniffer工具等，也可以通过编写一些运行程序来实现。

另外，还可以用搜索法来发现。通过在本地主机上搜索所有运行的进程就可以知道是否有可疑的人在进行网络监听。但这种方法一般费时费力。

2.2 在其他计算机上进行检测

1） 观察法。通过向网络中发送大量不存在的物理地址的数据包来观察异常。因为网络监听工具需要对每一个捕获的数据包做分析和处理，这必然会占用大量的CPU资源和时间，所以如果没有网络监听，电脑响应时间和运行状况正常，反之如果监听模式下的机器响应时间变化量大则存在网络监听的可能。

2） 用ping命令检测。用正确的IP地址和错误的物理地址去ping测试。这种检测原理基于以太网的数据链路层和TCP/IP网络层的实现，查看是否有数据包通过数据链路层进入网络层。[5]因为正常的机器不会接收错误的物理地址，而处于监听状态的机器则会接收。另外，通过ping命令检查网络通讯的掉包率也能反映出网络监听存在的可能。

3） ARP检测法。除了使用ping命令检测外，还可以运用ARP方式来进行。用ARP数据包代替ICMP数据包往局域网内的主机发送非广播方式的ARP数据包。[5]如果局域网内的某个主机响应了该请求，则可以判断出它有可能是处于网络监听状态的，这也是目前最常用的监测模式。

此外，由于大部分监听软件都会有地址反向解析，我们还可以通过查看DNS系统上有没有明显增多的解析请求去判断网络监听的存在。

3 基于网络监听技术的主要防护手段

由于网络监听软件并不是病毒，所以常用的杀毒软件和扫描软件等很难检测到，用户也很容易因为疏忽大意而导致将自身的一些密码、银行卡号等重要信息泄露出去。所以，我们首先还是要从意识上增强防范，从技术上加强措施。

主要的防护手段运用大致有以下几种：

1） 从物理结构上对网络进行分段处理

网络分段是控制网络广播风暴的一种基本手段，但也是保证网络安全的一项重要措施。其指导思想就是将非法用户与网络资源相互隔离，从而防止用户非法访问的可能。对于TCP/IP网络，可以将其分成若干个IP子网，各子网间通过路由器、交换机、网关和防火墙等设备连接，利用这些中间设备的安全配制去控制访问。这种方法需要添加大量的网间设备，容易造成资源浪费。

2） 以交换式集线器代替共享式集线器

有时即使对局域网进行网络分段，也很难阻止网络监听危险的存在。因为网络终端通常是通过分支集线器而非中心交换机完成接入，当用户与主机通过共享式集线器通信时，两台机器之间的数据包有可能被同一台集线器上的其他用户所监听。所以，用交换式集线器代替共享式集线器使局域网通信变成点对点的方式通信，从而杜绝了第三方监听的可能。这种方式目前较为普及。如图2所示。

3） 使用加密技术

给数据进行加密的目的就是为了保障信息的安全，即使监听者获取了信息，得到的也只是加密以后的乱码。目前网上有很多关于加密技术的介绍和加密软件可供使用。但加密技术也会影响到网络数据的传输速度。几乎所有的加密技术都将导致网络的延迟，且加密技术越强，网络速度就越慢。

4） 划分VLAN虚拟局域网技术

运用安全的拓扑结构和利用交换机划分VLAN技术也可以将以太网通信变成点到点的通信。这样的监听也只能发生在一个虚拟网中，从而最大限度地降低了监听的危害。

4 强化局域网络环境下的安全体系

其实任何一种技术的使用都不能保障一个系统的绝对安全。所以我们在考虑如何运用技术手段防止网络信息通讯安全的同时，更应该考虑怎样构建一个结构合理、可信可靠的安全局域网络体系。

一个布局合理的局域网安全体系应该包括身份认证、授权管理、数据保密和审计监控等方面。其中身份认证是网络安全管理的基础，授权管理是安全管理的保障。一个大型局域网内用户的信息具有数量庞大、环境不安全和变化较频繁等特点，所以只有全面考虑局域网内所有参与实体的身份认证和使用权限等问题，才能使该网络合理有序的运行。数据保密的实质就是要对局域网信息数据流进行生命周期的全程有效管理。构建信息和数据安全处于可控的使用、交换和存储环境内是局域网信息安全的核心。审计监控也是局域网安全不可缺少的有益补充，它能对局域网的安全状态做实时监控，为其提供评估报告，对安全事件的发生进行有益的取证。上述几个方面必须是一个有机的整体，缺少了任何一部分都将难以实现有效的局域网络安全管理体系。

5 结束语

由于网络的存在使人们的各种资源信息在网络中的流通始终存在，网络监听技术的使用也让黑客们非法获取他人的信息资源成为可能。受各种利益和价值的驱使，网络监听技术和网络防护技术的对抗必然将不断深入，也必然将推动着我们的技术水平更加的完善和不断地向前发展。

参考文献：

[1] 陈杰.网络监听技术研究[J].电脑知识与技术，2009（4）.

[2] 李祺.网络监听检测及防范技术研究[J].信息与电脑，2010，11.

[3] 王威伟，郑雪峰.局域网中网络监听与防范技术[J].计算机工程与设计，2005，11（11）.

[4] 王剑.基于远程网络的数据包监听与重组技术[D].大连交通大学，2010，6.

[5] 唐正军，李建华.入侵检测技术[M].北京：清华大学出版社，2004.