防止网络监听

发布时间：2011-02-22 12:53:09作者：知识屋

防止网络监听

网络监听是黑客们经常用的一种方法，很多黑客入侵时都把网络监听作为其最基本的步骤和手段，原因是想用这种方法获取其想要的密码等信息。另外，当成功的登陆到网络上的一台计算机主机，并取得了超级用户的权限之后，往往要使用各种方法来进行进一步的入侵，控制网络中的其他计算机。在这些方法中，最简单和最有效的方法就是网络监听，通过网络监听可以获得其他方法难以得到的信息。

有时候使用了好的口令也是不够的。因为当口令在网络上传输的时候，尤其当它穿过一个并不安全的网络的时候，就面临着被监听的危险（我们下一节要介绍的内容）。即使当前的网络使用了网络协议和其他的措施。因为网络的协议是通用的，别人只要监听到了你传送的数据包，就可以使用对应的协议和工具将里面的口令和用户名挑选出来。这时候，你就得考虑使用口令加密的办法。当无法实现加密的时候，就必须保证在网上传输的口令是一次性口令。因为一次性的口令即使被人监听了也没有关系。

1. 网络监听的概念

网络监听技术本来是提供给网络安全管理人员进行管理的工具，可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时，使用监听技术进行攻击并不是一件难事，只要将网络接口设置成监听模式，便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。监听效果最好的地方是在网关、路由器、防火墙等一类的设备处，但这些地方通常由计算机主机网络管理员来管理与操作，黑客取得权限并进行监听的难度很大。所以，黑客喜欢找局域网中的计算机，在这些地方实现监听就容易多了。

2.局域网监听的基本原理

由于局域网中采用广播方式，因此，在某个广播域中可以监听到所有的信息包。而黑客通过对信息包进行分析，就能获取局域网上传输的一些重要信息。但另一方面，我们对黑客入侵活动和其他网络犯罪进行侦

查、取证时，也可以使用网络监听技术来获取必要的信息。因此，了解局域网监听技术的原理、实现方法和

防范措施就显得尤为重要。

对于目前很流行的以太网协议，其工作方式是：将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。但是在主机工作监听模式下，无论数据包中的目标地址是什么，主机都将接收（当然只能监听经过自己网络接口的那些包）。

在因特网上有很多使用以太网协议的局域网，许多主机通过电缆、集线器连在一起。当同一网络中的两台主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送，必须从TCP/IP协议的IP层交给网络接口，也就是数据链路层，而网络接口是不会识别IP地址的，因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域，分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个与IP地址相对应的48位的地址。

传输数据时，包含物理地址的帧从网络接口（网卡）发送到物理的线路上，如果局域网是由一条粗缆或细缆连接而成，则数字信号在电缆上传输，能够到达线路上的每一台主机。当使用集线器时，由集线器再发向连接在集线器上的每一条线路，数字信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主机的网络接口时，正常情况下，网络接口读入数据检查，如果数据帧中携带的物理地址是自己的或者是广播地址，则将数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。

然而，当主机工作在监听模式下，所有的数据帧都将被交给上层协议软件处理。而且，当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监听模式下，它还能接收到发向与自己不在同一子网（使用了不同的掩码、IP地址和网关）的主机的数据包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。另外，现在网络中使用的大部分协议都是很早设计的，许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之信息以明文发送。因此，如果用户的账户名和口令等信息也以明文的方式在网上传输，而此时一个黑客或网络攻击者正在进行网络监听，只要具有初步的网络和 TCP/IP 协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分。同理，正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位，在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，

成为打击网络犯罪的有务手段。

3. 局域网监听的简单实现

要使主机工作在监听模式下，需要向网络接口发出I/O控制命令，将其设置为监听模式。在UNIX系统中，发送这些命令需要超级用户的权限。在Windows系列操作系统中，则没有这个限制。要实现网络监听，可用相关的计算机语言和函数编写出功能强大的网络监听程序，也可以使用一些现成的监听软件，在很多黑客网站或从事网络安全管理的网站都可以下载，具体的各个监听软件的使用方法将在本书第4章详细介绍，此处只以sniffer pro实现的监听结果来说明防范网络监听的重要性。

（1）一个使用sniffer pro进行监听并解析IPv4协议头部的例子

1） IP头部概述（如图3.4.1所示）

对于图3.4.1中各个字段的含

以及IPv4和IPv6报头的区别，RFC文档和一些计算机网络基础的书籍中都有详细的说明，在此不再赘述。

2）实例解析

图3.4.2是用sniffer pro进行监听时捕获的IPv4协议报头。[!--empirenews.page--]分页标题[/!--empirenews.page--]

在图3.4.2中，第一部分显示的是关于IP的版本信息，它的当前版本号为4；然后是头部的长度，其单位是的字，本例中值为20 bytes。

第二部分是有关服务类型的信息；

第三部分为头部长度字段，本例中IP报头长为56字节；

第四部分是关于分段的内容；

第五部分是生存时间字段，一般为64或128，本例为128seconds/hops；

第六部分是协议部分，说明了上层使用的服务类型，本例中为UDP；

第七部分以下各字段分别为校验和、源地址、目的地址等；

（2）一个使用sniffer pro进行

通过对用监听工具捕获的数据帧进行分析，可以很容易的发现敏感信息和重要信息。例如，在使用snifferpro 对局域网进行一段时间的监听后，分析所得的数据，就能直接看到一些在监听期间该网用户名和口令，如图3.4.3所示。

图3.4.3中的gao-jian2001为邮箱用户名，12345为邮箱密码，都以明码显示，由此也可以看到局域网监听技术如果用于不正当的目的会有多大的危害。通过这个例子想说明的是通过网络监听可以获得网络上实时传输的数据中的一些非常重要的信息，这些信息对于网络入侵或入侵检测与追踪都是很关键的。

（3）通常黑客使用Sniffer时所关心的内容

1）口令：笔者认为这是绝大多数非法使用 Sniffer 的理由，Sniffer 可以记录到明文传送的 userid 和passwd。就算你在网络传送过程中使用了加密的数据，Sniffer记录的数据一样有可能使入侵者在家里边吃肉串边想办法算出你的算法；

2）金融帐号：许多用户很放心地在网上使用自己的信用卡或现金帐号，然而 Sniffer 可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin；

3）偷窥机密或敏感的信息数据：通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的E-mail会话过程；

4）窥探低级的协议信息：这是很可怕的事，通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口IP地址、IP路由信息和TCP连接的字节顺序号码等。这些信息由非法入侵的人的数据中的一些非常重要的信息，而这些信息对于网络入侵或入侵检测与追踪都是很关键的。

4. 如何检测并防范网络监听

网络监听是很难被发现的，因为运行网络监听的主机只是初动地接收在局域局上传输的信息，不主动的与其他主机交换信息，也没有修改在网上传输的数据包。

（1）对可能存在的网络监听的检测

1）对于怀疑运行监听程序的计算机，用正确的IP地址和错误的物理地址ping，运行监听程序的计算机会有响应。这是因为正常的计算机不接收错误的物理地址，处理监听状态的计算机能接收，但如果他的IP stack不再次反向检查的话，就会响应；

2）向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的 CPU，这将导致性能下降。通过比较前后该计算机性能加以判断。这种方法难度比较大；

3）使用反监听工具如antisniffer等进行检测。

（2）对网络监听的防范措施

1）从逻辑或物理上对网络分段

网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。

2）以交换式集线器代替共享式集线器

对局域网的中心交换机进行网络分段后，局域网监听的危险仍然存在通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台计算机之间的数据包（称为单播包Unicast Packet）还是会被同一台集线器上的其他用户所监听。

因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法监听。当然，交换式集线器只能控制单播包而无法控制广播包（Broadcast Packet）和多播包（Multicast Packet）。但广播包和多播包内的关键信息，要远远少于单播包。

3）使用加密技术

数据经过加密后，通过监听仍然可以得以传送的信息，但显示的是乱码（关于数据加密的内容见本书第7章内容）。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在网络速度和安全性上进行折中。

4）划分VLAN

运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵。

&nnbsp; 网络监听技术作为一种工具，总是扮演着正反两方面的角色。对于入侵者来说，最喜欢的莫过于用户的，通过网络监听可以很容易地获得这些关键信息。而对于入侵检测和追踪者来说，网络监听技术又能够在与入侵者的斗争中发挥重要的作用。鉴于目前的网络安全现状，我们应该进一步挖掘网络监听技术的细节，从技术基础上掌握先机，才能在与入侵者的斗争中取得胜利。[!--empirenews.page--]分页标题[/!--empirenews.page--]

（免责声明：文章内容如涉及作品内容、版权和其它问题，请及时与我们联系，我们将在第一时间删除内容，文章内容仅供参考）