局域网中网络监听技术研究

【 摘 要 】 本文对网络监听技术的概念、原理及危害进行了详细分析，并在局域网中进行了简单的实现，研究了局域网网络监听的检测和防范方法。

【 关键词 】 局域网；网络监听；检测；防范

1 引言

随着因特网的不断普及和广泛应用，因特网给我们的生活带来很多便利的同时，网络安全问题给我们带来了许多的麻烦，甚至会给个人、企业甚至国家带来巨大的损失。在局域网诸多网络安全问题中，最常遇到的安全问题就是网络监听。局域网采用广播方式，入侵者利用监听系统可以通过局域网中的接口捕获其他计算机的数据包，这样像用户名、密码、邮件内容、QQ聊天内容等一些很隐私的重要数据都可以轻易被窃取。因此，如何防止网络监听已成为局域网网络安全急需解决的问题。

本文首先介绍了网络监听的工作原理并利用常用的网络监听软件做了一个监听实验，然后提出了相应的防范措施。

2 网络监听技术概述

2.1 网络监听技术的概念

网络监听技术主要就是为了获取网络上传输的信息，网络监听技术是一种比较成熟的技术，它原本是为网络管理人员有效管理网络的工具，可以协助网络管理人员监控网络运行情况，了解网络中数据流的动向以及监控网络中传输信息的内容等，一直备受网络管理人员的喜爱。但是网络监听技术在帮助网络管理人员有效管理网络的同时，也给网络安全带来了极大地安全隐患。当我们将网络端口设置成为监听模式，就可以捕获在局域网中以明文形式传输的任何信息。所以当入侵者在局域网中的一台主机上取得超级用户权限并登录以后便可使用网络监听技术捕获到网络上传输的数据。但是，这一入侵方法只能应用于同一个网段上。

2.2 网络监听技术原理

在局域网中普遍使用的网络协议是基于广播机制的IEEE802.3协议，即以太网协议。以太网协议的主要特点是以广播的方式发送文件，在局域网中的主机很多是通过电缆或集线器连接在一起的。当一台主机需要与另一台主机通信时，源主机会将包含目的主机地址的数据包直接发送给目的主机。此时该数据包不是在IP层直接发送，而是通过数据链路层传送到网络接口，而网络接口不能识别IP地址，因此必须在该数据包上加上以太帧头的信息。在帧头中有源主机和目的主机的物理地址两个域，这是一个与IP地址对应的48位地址，只有网络接口才能识别。当数据传送时，包含物理地址的帧从网络接口发送到物理线路上，如果该局域网是由一条电缆连接而成，则信号通过电缆进行传输，便能够到达该电缆上的每一台主机。而如果该局域网是使用集线器连接时，便由集线器再发送到连接在该集线器上的每条线路，信号便能到达连接在该集线器上的每一台主机。当数据到达一台主机的网络接口时，网络接口便对其进行检查，如果物理地址与自己的地址相符，则将该数帧据包交给上层协议软件，否则就将其丢弃。而如果当主机处在监听模式下，所有的数据帧无论地址是否与自己相符，都会交给上层协议软件处理。此时，该主机可以接收到在同一条物理信道上传输的所有数据。

例如：主机A要给主机B发送一个数据包，它并不是只发送给主机B，而是发送给局域网内的所有主机，因为只有主机B的地址与之相匹配，所有一般情况下只有主机B收到，其他主机发现目的地址与自己的地址不匹配，就会自动丢弃这个数据包，但是如果这时主机C正处于监听模式，即便是数据包的目的地址不与之相匹配，也能收到这个数据包，这就是局域网监听的基本原理。

2.3 网络监听的危害

（1）捕获口令。现在流行的网络传输协议如FTP、Telnet等，都是以明文的形式进行数据传输的，而传输的数据如果是未加密的明文，那么嗅探器就便可以很容易地截取到数据包中的口令信息，包含用户名及密码等重要信息。

（2）捕获机密信息。为了方便客户的需求，大部分银行都在网上开通了网上银行，提供用户查询、转账、缴费等业务，在给用户提供方便的同时，也带来了一定的安全隐患，当用户在网上银行上使用自己的银行卡号登陆时，嗅探器便可以截取到银行卡号、用户名、密码等重要信息。

（3）获取更高级别的用户访问权限。访问权限的提高，让入侵者在计算机系统里更加肆意妄为，给计算机系统带来不可估量的损害。

（4）捕获底层协议信息。通过嗅探器入侵者可以获取到计算机系统底层协议的内容，比如IP路由信息、两台主机间网络接口的地址、TCP连接的序列号、远程网络接口的IP地址等。当入侵者获取了这些关键信息后将会对计算机网络系统的安全构成更大的危害，如果入侵者捕获到了TCP连接的序列号便可以进行IP欺骗。

3 局域网网络监听技术的实现

3.1 常见的监听工具

如果你在百度中搜索“网络监听软件”，你可以找到5，230，000个结果，各式各样的监听软件在不断地被开发出来，现在我们介绍一下常用的一些监听软件，在Unix系统下，常用的网络监听工具有Sniffit、Snoop、Dsniff等，而且这些软件都是免费的源代码，方便我们进行研究。在Windows系统下，最常用的网络监听工具是Sniffer pro，大多数入侵者都是用它在Windows系统下捕获数据包来进行分析。

3.2 网络监听实验

3.2.1实验目的：运用Sniffer pro软件抓ping传送的数据包和自己的邮箱及密码。

3.2.2实验过程

（1）启动Sniffer pro软件

（2）抓包的条件设置

在默认条件下，sniffer pro可以抓到本网段内的所有数据包，但是这样信息量太大，为了便于分析，我们可以在抓包之前进行条件设置，这样就可以只抓取我们想要的数据包。

（3）抓ping命令传递的数据包

第一步：在抓包过滤器的窗口中，可以选择Address选项卡。

第二步：在窗口中进行两处设置：在Address的下拉列表中，选择抓包的类型为IP，在Station1下输入本机的IP地址：172.18.25.110；在Station2下面输入目标机的IP地址：172.18.25.109。

第三步：点击该Advanced选项卡，拖动滚动条找到IP项，将IP和ICMP选中。

第四步：完成了Sniffer的抓包过滤器就设置后，选择菜单栏Capture下拉菜单Start，启动抓包以后，就可以在主机的DOS窗口中Ping目标机了。

第五步：等待Ping命令执行完毕，按下工具栏中的停止并分析按钮。

第六步：在新出现的窗口中选择Decode选项卡，就可以看到数据包在两台主机之间的传输过程了，如图2所示。

（4）抓取邮箱账号密码

第一步：在窗口中capture中选择define filter菜单项：在Address中选择IP；在station 1中填上本机IP地址，在station 2中填any。

第二步：点击该Advanced选项卡，选择ip---tcp---http。

第三步：抓包。按抓包键开始抓包。

第四步：访问访问网站，输入你的邮箱名和密码。

第五步：查看结果。当望远镜图标变红时，表示已捕获到数据，点击该图标，选择Decode选项即可看到捕捉到的所有数据包。在Summary中寻找含有POST关键字的包，便可以看到用户名为yxa222，密码为111111。

4 局域网网络监听的检测与防范

4.1 局域网网络监听的检测

在局域网中由于监听的主机只是被动接受局域网中传输的信息，不修改这些信息，也不主动向其他主机传送信息，所以在局域网中的监听行为一般很难被发现。介绍几种检测局域网是否被监听的方法。

（1）通常情况下我们可以通过ps-aux或ps-ef进行检测，但大多数的入侵者都会用几个shell把监听程序的名称过滤掉，用这样的简单方法修改ps的命令来防止被ps-ef的，这样就很难被发现了。

（2）如果怀疑某一台主机运行了监听程序，我们可以分别用正确的IP地址和一个错误的物理地址执行Ping命令。使监听程序对之做出反应，因为一般情况下正常运行的主机不会接收错误物理地址的Ping命令，只有正在监听的主机可以接收，但是这种方法依赖于系统的IP stack，不能适用于所有系统。

（3）可以向局域网发送大量错误物理地址的数据包，由于监听程序的特性，实施监听的主机都会一一处理这些数据包，使该主机机器性能下降，便可以利用icmp echo delay来进行判断和比较。

（4）搜索监听程序，一般情况下的监听都是使用监听软件进行的，要检测出系统是否被监听，可以在目录中搜索是否有监听程序正在运行，不过这样的工作量极大，管理员可以在反监听软件的帮助下完成以上的各步操作。

4.2 局域网网络监听的防范

（1）数据加密。在数据传送前，先将数据进行加密，即便是该数据包被捕获，但是由于没有密钥，入侵者也不能真正获取数据包内容，这是最简单易行的保护数据的方法。

如今最常用的局域网加密方法是IPSec协议，IPSec 协议不是一个单独的协议，它是应用于IP层上保证网络数据安全性的一整套体系，包括了网络认证协议（AH）、密钥管理协议（IKE）、封装安全载荷协议（ESP）和一些加密算法等，以保证数据认证、数据完整性和加密性。

（2）利用路由进行网络分段。在局域网中改共享式集线器或普通交换机为路由器，利用路由器来进行网络物理分段，把局域网分成一个个小段，使数据包在每个小段中进行通信，可以使单播包（Unicast Packet）点对点传输。当路由器接受到一个数据包以后，会检查该数据包的目的地址，再根据这个目的地址将数据包准确的转发到对应的主机，这样就只有与目的地址相匹配的主机才可以接受该数据包，所以利用在局域网中利用路由器可以有效地防止网中的监听。

（3）利用VLAN技术进行网络分段。利用虚拟局域网（VLAN）技术可以使实现局域网中点到点的通信，这种方法不需要购置路由器等硬件，大大地节约了成本，但是同时也可以有效地防止局域网中的监听行为。

（4）使用检测软件。如在单机上可以使用的检测软件：TripWare，它是一款MD5校验工具，可以有效地在单机上搜索到嗅探器。但是想要在网络中寻找嗅探器就不是一件容易的事情了，有一些检测软件可以帮助管理人员在网络上寻找嗅探器，如promisc、Anti.Snif-fer、cmp等，其中Anti.Sniffer版本较多，但对管理员的水平要求较高，需要结合自己知识分析网络中的异常情况，从而判断网络中是否存在嗅探器。

（5）使用网络管理工具。网络监听是影响网络安全一个很重要的因素，因此很多网络管理软件都少不了监听这一块工作。有效地使用网络管理工具，也可以有效地防范网络监听行为。

参考文献

[1] 邓亚平.计算机网络安全.北京：人民邮电出版社，2007.7.

[2] 崔晶，刘广忠.计算机网络基础.北京：清华大学出版社，2010.1.

[3] 徐其兴.计算机网络技术及应用[M] .北京：高等教育出版社，2008：277.

[4] 吴功宜，吴英.计算机网络教程[M].北京：电子工业出版社，2009.

[5] 任伟.物联网安全架构与技术路线研究.？信息网络安全，2012.（5）.

[6] 朱鹏飞，于华章，陆舟.物联网信息完整性保护方案.信息网络安全，2012.（8）.

作者简介：

兰诗梅（1982-），女，汉族，重庆人，硕士，贵阳学院数学与信息科学学院，讲师。