营口市中等专业学校 吕艳娟

一、网络监听的研究现状

在计算网络技术日渐发展的今天，威胁计算机网络系统安全的非法入侵也伴随而来。一方面，网络管理员管理网络要捕获对方的通信报文或通信内容。然而黑客们也常用网络监听工具来窃取信息，以达到非法获得他人的信息的目的。当今的时代，网络上传输的信息大部分是以文明的形式传输的，因此，人们可以使用网络监听的方式来捕获用户的口令、账号、敏感的信息数据以及网络底层的协议信息等重要内容。这样就涉及用户的信息尤其是私密数据泄露，给用户带来一定的烦恼，甚至会带来经济损失。想要有效管理网络，监视网络数据流动情况，确保数据在传输过程中的安全，就必须知道网络监听工具软件原理及其操作方法，网络监听的工作原理，这样才能对阻拦黑客的进攻而采取相应的防护措施。

二、网络监听原理

网络监听是指以计算机互联的网络接口为拦取目的地，从而来截取别的计算机的数据报文及信息。所谓的广播就是，在互联的局域网中，当主机与其他相连接的其他计算机进行数据交换的时候，发送的数据包会发送到互联的所有主机。正确的目标机地址包含在数据报的包头，当主机与所有含有数据报中目标地址一致就要接收该数据报，而丢弃其余的数据报。而网络监听工作模式却与其相反，主机都会将接受所有的数据报。而不管接收到的数据报含有什么样的目标地址，接下来分析数据报，从而得到局域网中通信的数据。同一网段所有的数据报可以被一台主机所监听，但是该主机对于不同网段的计算传输信息不能监听。

三、网络监听的组成

网络中的任一地方可以实施网络监听，例如路由器、主机、调制解调器、网关、。监听的主要部分是监听器，一个监听器包含下面几个部分：

1.路由器、集线器、网卡等部分组成网络硬件设备。

2.监听驱动程序的主要作用是截获数据流，缓冲区中存放被过滤好的截获的数据。

3.捕获驱动程序是监听器的重要组成，网络硬件经过它的控制通过信道捕获数据，然后将其存进缓冲器。

4.缓冲器是存放捕获的数据的场所。毕竟缓冲器容量不大，监听器在使用缓冲器时，一般有两种方式：一是当缓冲器填满时候，即会中止捕获；二是不管缓冲器是否已满，仍会捕获数据，原来的数据会被捕获来的新数据而覆盖。

5.实时分析程序主要是对存在于数据帧的数据，进行实时分析，侧重于发现网络故障，网络中出现的性能问题。

6.解码程序主要是解密接收到的被加密数据，组成独立的加密数据包，加密后的数据包会被传送到网络中。

7.数据包分析器进行模式匹配和分析已经截取到的数据包，从原始数据包中剥离出来有用的信息。

四、网络监听的用途

在当今的网络安全领域中，网络监听起着非凡的作用。一般来说Sniffer程序有两种形式：

其中一种是商业Sniffer，而另一种是黑客所使用的sniffer。

用于维护网络主要用的是商业Sniffer，网络管理者在维护和监控本地网络状况时候，可以利用其进行网络监听，监测黑客入侵系统的重要方式是网络监听。具体地说：

1.网络监听用可读的方式转化网络中的数据流。

2.网路监听对监听的数据分析性能来发现网络瓶颈。

3.网络监听能够对监听的数据进行入侵检测，从而发现是否是外来入侵者。

4.网络监听能对网络的日常活动生成活动日志，同会还能够对网络进行安全审计。

5.网络监听可以根据监听的数据对网络运行进行故障分析，从而找到网络中可能出现的问题。

五、网络监听的意义

在现实生活中研究网络监听技术具有很大的意义，特别是在现代网络信息战中，发挥着不可替代的作用。在现实的网络安全中，Sniffer有“双刀剑”的作用：一是网络管理员可以通过网络监听软件监视网络运行状态，同时也可以监视网络上正在传输的信息，网络数据传输情况，同时可以实时观测分析数据包，从而迅速找到网络运行故障，然而，网络监听对以太网造成很大的威胁，太网内的网络监听和非法的网络入侵事件往往同时发生，因此会发生很多恶性的安全事件，例如入侵者盗用用户密码，截获用户私密数据等。针对Sniffer正反两方面的作用，对Sniffer的研究也有两方面的意义：一方面，我们要不断探索网络监听方法，找出存在于网络中的破绽，防微杜渐；另一方面，不但研究出更加有效的监听方式，在将来的的网络信息战中对入侵者方网络发动袭击，从而为社会各行各业提供更好的网络信息服务。

六、网络监听的实现方式

实施网络监听是有限制的，如果在网络内部的一台主机上装上监听软件，就能看到网络的全部运行状况，是不现实的。网络监听实现情况分两种，一种是利用以太网络的广播特性实现，另一种是通过设置路由器的监听端口实现，这两种方式分别适用于不同的工作情况。

1.针对集线器的监听

首先局域网内发送的数据包过程，从TCP/IP模型的视觉来看：应用层中数据的传递模式是从上向下的，IP数据包在网络层形成，IP数据包被数据链路层接收，IP数据包在数据链路层中被分成数据帧大小的单位，以太网包头加在数据帧中，向下层进一步传输。本机目标设备的物理地址，存在于在传输的以太网的包头中，数据链路层的数据帧发送时，数据包从TCP/IP协议的IP层传输给网络接口。由于IP地址不能被网络接口所识别，有IP地址的数据包中包含太帧的帧头，帧头包含两部分地址域，一个是48位的源主机的物理地址，另一个是目的主机的物理地址，这个地址与IP地址是一对一关系，因此一个物理地址关联一个IP地址。对于网关中的主机，如果有若干个网络，那么就具有若干个IP地址。由于HUB将局域网内的各个主机连接起来，因此它充当一个共享的广播媒体，HUB接受局域网将要发送的数据，然后向它自己的各个端口转发。将主机的网卡调成为混杂模式，那么该局域网内各个主机的数据就可以互相传输。

2.针对交换机的监听

数据链路层是交换机是工作场所，交换机内部存储一个ARP的数据库表，表中有交换机每个端口所固定的物理地址，交换机接收到数据报时，数据库表内的端口和数据报的目的地址进行在交换机会进行比对，如果交换机的数据库表中与数据报文的目的物理地址不一致，此时报文向所有端口转发，然后将数据报发送到“相应的”端口上，如果是一一对应的，则广播此报文。所谓的广播媒体不是建立在以交换机为基础的以太网局域，被动监听工具所能捕获的的数据受到了交换机的限制了。想使监听发挥真正的作用的，要采用MAC flooding和ARP欺骗等方法。

七、网络监听的防范对策分析

目前这对网络监听有多种防护手段，主要有三类：一是预防策略。首先要保证以太网的整体数据的安全性，经常查看网络内部是否有漏洞的主机，监听的前提条件是主机被攻克了，从而使敏感数据被截获。二是被动防御措施，对数据信息采取加密技术。三是主动防御策略，限制网络监听的有效措施是：以网络拓扑结构为基础，利用交换机划分VLAN，让网络内部所有的监听行为发生在一个虚拟网中，使网络监听的危害程度降到最小。

[1]吕骥,文静华.校园网内ARP欺骗攻击及防范[J].福建电脑,2007,05.

[2]邓清华,陈松乔.ARP欺骗攻击及其防范[J].微机发展,2004,08.

[3]喻飞,安吉尧,朱淼良.以太网中网络监听的检测[J].网络安全技术与应用,2004,01.