浅谈网络侦听及其常见防范措施.docVIP

浅谈网络侦听及其常见防范措施 摘 要：网络侦听是采用网络搭线等信号拾获方法，使用网络探针采集网络线路上的所有数据包并进行过滤的一种行为。本文介绍了网络侦听潜在的安全隐患，阐述了侦听和侦听存在检测技术的基本原理，并结合某企业局域网的具体结构，探讨了具体的常见防范措施。 关键词：网络侦听；侦听检测；数据包；网络安全 中图分类号：TP393.08 如今，网络上经常出现用户信息被窃取的现象，预防个人信息被盗已经成了网民十分关注的问题。当然，但凡是互联网，就有存在网络安全问题的隐患，这其中就包括信息安全的防范。当前，窃取网络信息的主要工具与方法就是网络信息监听技术，该技术同时可以有效预防信息窃取。笔者首先简要介绍了网络侦听的涵义与危害，接着分析了网络侦听的工作原理，最后提出了几点预防网络侦听的对策。 1 网络侦听的涵义和危害性 网络侦听是指获取网络电缆上传输的所有网络报文的技术。一是网络侦听技术能用在网络测试或网络管理内；二是网络侦听在很大程度上损害了局域网的安全。其主要因为现在的局域网差不多都使用以广播技术为基础的以太网，无论两个节点之间的通信数据包，不但为这两个节点的网卡所获取也同样为处在同一冲突域上的任意一个节点的网卡所获取。所以，黑客只要接入以太网上的任一节点进行监听，就可以捕获发生在这个冲突域上的全部数据包，对其进行解包分析，从而窃取关键信息。 监听可能导致的危害主要有以下几个方面：（1）能够捕获密码；（2）能够获得机密的或者特殊的信息；（3）损害邻居网络的安全，或是被人用来获得更高级别的访问权限。 2 网络侦听的工作原理 事实上，以太网协议是通过发送数据包连接所有的主机的。其中，应该接收数据包的主机的正确地址都包括在数据包中。这样是为了让与数据包中目标地址一致的那台主机接受数据包。如果主机的运行处在被侦听的状态下，那么数据包中的目标地址一般就能被其它主机接收到。在庞大的局域网中，大部分主机都是由中心、电缆接通的。如果两台主机能够在一样的网络中进行通信，那么源主机会将带有目的地主机地址的数据包接到目的地主机。在网络主机中，如果一台主机和外部发生连接时，那么源主机也会把主机的IP地址的相关数据包发送到网关。不过这种数据包是从TCP/IP网络接口层发送的，而非由协议栈的高层传送的，这样的发送也就是数据链路层。IP地址对于网络接口来讲，是不能够被识别的。其IP地址的IP层包添加帧包括在以太网信息中。这其中，只有源主机和网络接口主机物理地址的48位的地址能够被其中的两个领域识认。也就是说，一个物理地址有且只有一个对应的IP地址。除此之外，因为网关主机是连接到一个网络上的，所以它还将在每个网络有很多的IP地址，它有一个物理地址和发送到网络帧中继端是网关。 以太网填充了一个物理地址，也就是网络接口的帧的一个物理地址，它是由网卡发送出去，并传送到物理线路上的。因此，如果一个局域网是通过一根细网或者是粗网连接的，那么电缆传输信号的数字信号就可以达到对线的每个主机。然后使用集线器时，传送的信号就是从一个集线器进入到另一个集线器的，在此基础之上，再对各线连接到集线器上。从物理线路上发送的数字信号能够连接到集线器上的每一个主机。如果主机接到了网络接口的数字信号，那么在正常状态下的网络接口进行读取的数据帧，如果在物理地址的数据帧进行他们独自的物理地址就是广播地址的话，那么就会把数据帧到IP层软件。事实上，任何一个到达网络接口的数据帧都要经历这样一个过程。然而，如果主机处在被监听的状态下，那么全部的数据帧就会被移送至上层协议软件，该软件会对相关信息进行处理。如果遇到这种状况，也就是有目的地将主机设成为监听模式，那么在局域网内传送的全部数据都将被掌握。假如这些数据没有经过加密处理，那么将会被出现泄密的状况。 3 预防网络监听的几点对策 3.1 引进加密技术，使传输文件处于加密状态 上文已经阐述了，如果主机设置为监听模式，那么局网中任何数据的传输主机都将偷窃。然而，如果偷窃者获得的数据都是加密的，它即便收到这个数据包，也无用，因为密码无法解。因此，加密通常是局网预防监听的有效方法之一。如果数据加了密，那么虽然依靠监听可以获得发送的数据信息，不过，其信息是乱码的。因此，即使得到了数据，也是一堆垃圾，起不到任何作用。 现在关于传输加密的方法非常多，IPSec协议是最常用的。IPSec具有三种操作方法，一种是接受者条件，一种是强迫使用，最后一种是不用。举个例子来说，如果一台主机向另一台主机传送数据资料，那么这两台机就会进行一定的协商，其中就有是否要使用IPSec技术加密数据。第一种是接受者条件，也就是说在协商过程里，第一台主机与第二台主机讨论是否使用IPSec技术对数据进行加密。倘若第二台主机不同意使用，那么就要运用明文传输。反过来，要是第二台主机同意使用IPS