网络监听的基础概念

　　在很多的电影里，我们经常会看到一些监听的片段，主角或配角们通过监听可以实现他们的某些目的。而在网络环境中，也有网络监听有这一说，至于网络监听的概念是什么，它的原理又是什么，在这里，我们就来学习一下吧!

      网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具，它可以将网络界面设定成监听模式，并且可以截获网络上所传输的信息。

　　网络监听作为一种发展比较成熟的技术，在协助网络管理员监测网络传输数据，排除网络故障等方面具有不可替代的作用。然而，在另一方面网络监听也给以太网安全带来了极大的隐患，许多的网络入侵往往都伴随着以太网内网络监昕行为，从而造成口令失窃，敏感数据被截获等等连锁性安全事件。网络监昕的目的是截获递信的内容，监昕的手段是对协议进行分析。

　　网络监听的工作原理

　　在共享式以太网中，所有的通讯都是广播的，也就是说通常在同一网段的所有网络接口都可以访问在物理媒体上传输的所有数据，使用ARP和RARP协议进行相互转换。在正常的情况下，一个网络接口应该只响应两种数据帧：与自己硬件地址相匹配的数据帧和发向所有机器的广播数据帧。在一个实际的系统中，数据的收发由网卡来完成。

      一台连接在以太网内的计算机为了能跟其他主机进行通信，需要有网卡支持。网卡有几种接收数据帧的状态，如unicast ， broadcast, multicast, promiscuous 等。。以太网逻辑上是总线拓扑结构，采用广播的通信方式。数据的传输是依靠帧中的MAC 地址来寻找目的主机。只有与数据帧中目标地址一致的那台主机才能接收数据(广播帧除外，它永远都是发送到所有的主机)。但是，当网卡工作在混杂模式下时，无论帧中的目标物理地址是什么，主机都将接收。如果在这台主机上安装监听软件，就可以达到监听的目的，如下图所示。

图1 以太网网卡工作模式

　　还有一种窃听方式是利用ARP欺骗达到的。ARP欺骗又被称为ARP重定向技术，ARP地址解析协议虽然是一个高效的数据链路层协议，但是作为一个局域网的协议，它是建立在各主机之间互相信任基础之上的，因此存在一定的安全问题：

　　(1)主机地址映射表是基于高速缓存动态更新的，这是ARP协议的特色，也是安全问题之一。由于正常的主机间MAC地址刷新都是有时限的，这样假冒者如果在下次更新之前成功的修改了被攻击机器上的地址缓存，就可以进行假冒。

　　(2)ARP请求以广播方式进行。这个问题是不可避免的，因为正是由于主机不知道通信方的MAC地址，才需要进行ARP广播请求。这样攻击老就可以伪装ARP应答，与广播者真正要通信的机器进行竞争。还可以确定子网内机器什么时候会刷新MAC地址缓存，以确定最大时间限度的进行假冒。

　　(3)可以随意发送ARP应答包。由于ARP协议是无状态的，任何主机即使在没有请求的时候也可以做出应答，只要应答有效，接收到应答包的主机就无条件的根据应答包的内容更新本机高速缓存。

　　(4)ARP应答无需认证。由于ARP协议是一个局域网协议，设计之初，出于传输效率的考虑，在数据链路层就没有作安全上的防范。在使用ARP协议交换MAC地址时无需认证，只要收到来自局城网内的ARP应答包，就将其中的MAC/IP对刷新到本主机的高速缓存中。

　　对网络监听的防范措施

　　(1)从逻辑或物理上对网络分段

　　网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。

　　(2)以交换式集线器代替共享式集线器

　　对局域网的中心交换机进行网络分段后，局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所监听。

　　因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法监听。当然，交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。但广播包和多播包内的关键信息，要远远少于单播包。

　　(3)使用加密技术

　　数据经过加密后，通过监听仍然可以得到传送的信息,但显示的是乱码。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在网络速度和安全性上进行折中。

　　(4)划分VLAN

　　运用VLAN(虚拟局域网)技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵。

　　检测网络监听的手段

　　在网络情况下要检测出哪台主机正在监听是非常困难的，因为Sniffer是一种被动攻击软件，它并不对任何主机发送数据包，而只是静静地运行着，等待要捕获的数据包经过。但目前网上已经有了一些解决这个问题的思路和产品：

　　①反应时间:向怀疑有网络监听行为的网络发送大量垃圾数据包，根据各个主机E应的情况进行判断，正常的系统回应的时间应该没有太明显的变化，而处于混杂模式的系统由于对大量的垃圾信息照单全收，所以很有可能回应时间会发生较大的变化。

　　② DNS测试:许多的网络监听软件都会尝试进行地址反向解析，在怀疑有网络监听发生时可以在DNS系统上观测有没有明显增多的解析请求。

　　③利用ping进行监测:对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处理监听状态的机器能接收，但如果他的IPstack不再次反向检查的话，就会响应。

　　④利用ARP数据包进行监测:除了使用ping进行监测外，目前比较成熟的有利用ARP方式进行监测的。这种模式是上述ping方式的一种变体，它使用ARP数据包替代了上述的ICMP数据包。向局域网内的主机发送非广播方式的ARP包，如果局域网内的某个主机响应了这个ARP请求，那么就可以判断它很可能就是处于网络监昕模式了，这是目前相对而言比较好的监测模式。

　　网络监听如今已经是一种较为成熟的技术，它的应用也广泛起来了，但也有一些人利用网络监听来进行不法行为，因此，我们认识了解网络监听的同时也要制定防范措施来应付它，以免因为它而遭受到损失。本篇文章就讲到这里了，谢谢大家。