网络窃密、监听和防泄密技术第9章 网络监听实施.pptVIP

9.1 子 网 监 听　　网络经典教材中的“子网”是指“以路由器为界，包括其内的计算机和网络设备”。但由于目前大型的企业/机构内网通常采用“1/2台路由器+n台三层交换机”的架构，为避免与下节内容重复，因此本节的“子网”概念，主要指“以三层交换机为界，包括交换机本身及其内的计算机设备”。 　　因此，对子网监听的主要需求为：　　(1) 对一台三层交换机功能范围内的单台主机、多台主机或整个子网的通信进行监听；　　(2) 截获的网络流量通常不会很大；　　(3) 除协议分析系统外，单个子网内通常不会部署IDS等设备，不需要考虑“单一监听信息源需要分配给多个监听数据分享者”的情况。 9.1.1 基于软件代理的单点单目标监听　　基于软件代理的单点单目标监听是所有监听实施中最简单的，一般用于网络维护人员/用户针对本机的网络通信流量进行监听。实施方法为：在本机(台式机、服务器、便携PC或笔记本电脑)中安装监听软件即可，通常监听数据也储存在本地。　　采用的监听软件主要包括Sniffer Portable、Wireshark、科来网络分析系统等。根据设定，从本地系统底层截获本地各网络通信端口的数据包，采集所需的监听数据。 9.1.2 基于链路层欺骗的单点全子网监听 　　1．ARP欺骗　　ARP欺骗攻击的根本原理是因为计算机中维护着一个ARP高速缓存，并且这个ARP高