何英畏

摘要：现在不少的网络管理工具，通过网络侦听可以截取别人发送的邮件、聊天信息和访问网页的内容等等。可见，恶意的网络侦听会给网络安全施以致命一击。

关键词：网络侦听；接品

我们在电视或者电影中经常会看到这样的情景，在某个家庭的电话线总线上，拉出一根电话分线，就能对这个电话进行窃听。现在这种方式在网络中也逐渐蔓延开来。由于局域网中采用的是广播方式，因此在某个广播域中(往往一个局域网就是一个广播域)，可以侦听到所有的信息包。而恶意侦听者通过对信息包进行分析，就能够非法窃取局域网上传输的一些重要信息。如现在很多黑客在入侵时，都会把局域网扫描与侦听作为他们入侵之前的准备工作。因为凭借这些方式，他们可以轻易获得用户名、密码等重要的信息。现在不少的网络管理工具，通过网络侦听还可以截取别人发送的邮件、聊天信息和访问网页的内容等等。可见，恶意的网络侦听，会给网络安全施以致命一击。

1 网络侦听的工作原理

Ethernet协议的工作方式是将要发送的数据包发往连接在一起的所有主机，在包头中包括有应该接收数据包的主机的正确地址，因为只有与数据包中目标地址一致的那台主机才能接收到信息包，但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么，主机都将可以接收到。许多局域网内有十几台甚至上百台主机是通过一个电缆、一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是所说的数据链路层。网络接口不会识别IP地址的。在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太帧的帧头的信息。在帧头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址，这个48位的地址是与IP地址相对应的，换句话说就是一个IP地址也会对应一个物理地址。对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的帧中继携带的就是网关的物理地址。

Ethernet中填写了物理地址的帧从网络接口中，也就是从网卡中发送出去传送到物理的线路上。如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据帧进行检查，如果数据帧中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据帧交给IP层软件。对于每个到达网络接口的数据帧都要进行这个过程的。但是当主机工作在监听模式下的话，所有的数据帧都将被交给上层协议软件处理。

在这种工作模式下，若把恶意主机设置为侦听模式，则其可以了解在局域网内传送的所有数据。如果这些数据没有经过加密处理的话，那么后果就可想而知了。

2 网络侦听的常见防范措施

2.1 采用加密技术，实现密文传输

从上面的分析中，我们看到，若把主机设置为侦听模式的话，则局域网中传输的任何数据都可以被主机所窃听。但是，若窃听者所拿到的数据是被加密过的，则其即使拿到这个数据包，也没有用处，无法解密。所以，比较常见的防范局域网侦听的方法就是加密。数据经过加密之后，通过侦听仍然可以得到传送的信息，但是，其显示的是乱码。结果是，其即使得到数据，也是一堆乱码，没有多大的用处。

现在针对这种传输的加密手段有很多，最常见的如IPSec协议。Ipsec有三种工作模式，一是必须强制使用，二是接收方要求，三是不采用。当某台主机A向主机B发送数据文件的时候，主机A与主机B是会先进行协商，其中包括是否需要采用IPSec技术对数据包进行加密。一是必须采用，也就是说，无论是主机A还是主机B都必须支持IPSec，否则的话，这个传输将会以失败告终。二是请求使用，如在协商的过程中，主机A会问主机B，是否需要采用IPSec。若主机B回答不需要采用，则就用明文传输，除非主机A的IPSec策略设置的是必须强制使用。若主机B回答的是可以用IPSec加密，则主机A就会先对数据包进行加密，然后再发送。经过IPSec技术加密过的数据，一般很难被破解。而且，重要的是这个加密、解密的工作对于用户来说，是透明的。也就是说，网络管理员只需要配置好IPSec策略，不需要额外的操作。在使用这种加密手段的时候，唯一需要注意的就是如何设置IPSec策略。若使用强制加密的情况下，一定要保证通信的双方都支持IPSec技术，否则的话，就可能会导致通信的不成功。

2.2 利用路由器等网络设备对网络进行物理分段

从上面的网络侦听原理中可以看出，如果人事部门的某位职工通过网络发送一份机密文件给部门科长，其结果是此文件会在整个网络内进行传送。若人事部门跟其他部门之间不是利用共享式集线器或者普通交换机进行连接，而是利用路由器进行连接的话，就可以起到很好的防范网络侦听的问题。例如，当职工A发信息给部门科长B的时候，若不采用路由器进行分割，则这份邮件会分成若干个数据包在整个局域网内部进行传送。相反，若我们利用路由器来连接人事部门跟其他部门的网络，则数据包传送到路由器之后，路由器会检查数据包的目的IP地址，然后根据这个IP地址来进行转发。此时，就只有对应的IP地址网络可以收到这个数据包，而其他不相关的路由器接口就不会收到这个数据包。很明显，利用路由器进行数据包的预处理，就可以有效的减少数据包在网络中传播的范围，让数据包能够在最小的范围内传播。

另外，利用这种方法还可以减轻网络带宽的压力。通过对网络进行物理分段，从而把数据包控制在一个比较小的范围之内，可以节省网络带宽，提高网络的性能。特别在遇到DDOS等类似攻击的时候，可以减少其危害性。

2.3 利用虚拟局域网实现网络分段

利用路由器这种网络硬件来实现网络分段，这需要购买路由器等设备。从经济的角度考虑，我们也可以利用一些交换机实现网络分段的功能。如有些交换机支持虚拟局域网技术，就可以利用它来实现网络分段，减少网络侦听的可能性。虚拟局域网的分段作用跟路由器类似，可以把整个局域网分割成一个个的小段，让数据包在小段内传输，将以太网通信变为点到点的通信，从而可以防止大部分网络侦听的入侵。

不过，这毕竟还是通过网络分段来防止网络侦听，所以，也存在着只能减少网络侦听入侵的几率，而在某个网段内，仍然不能够有效避免网络侦听。

所以，笔者还是推荐采用加密技术来防范网络侦听所带来的危害，特别是防止用户名、密码等关键信息被窃听。