网络管理中的网络监听技术探讨.docVIP

网络管理中的网络监听技术探讨 　　摘要：本文主要对网络管理中的网络监听技术进行了探讨。首先介绍了网络监听的双面性；其次，介绍了网络监听的定义和基本原理；再次，对网络监听的用途进行了分析；最后，对当前的一些网络监听工具进行了分析 　　关键词：网络监听；入侵检测 　　中图分类号：TP393.07 文献标识码：A文章编号：1007-9599 (2011) 13-0000-01 　　Network Monitoring Techniques Study in Network Management 　　Xu Linlin,Mei Tongtong 　　(Civil Aviation of China Air Traffic Management Station of Dalian,Dalian116033,China) 　　Abstract:This paper on network management network monitoring techniques are discussed.First introduced the two-sided nature of network monitoring;Second,the definition describes the network monitoring and basic principles;again,the network monitor the use of the analysis;Finally,some of the current analysis of network monitoring tools. 　　Keywords:Network monitoring;Intrusion Detection 　　在网络安全上，网络监听一直被认为是一个比较敏感的话题，作为一个已经发展相对成熟的技术，网络监听在协助管理员进行网络数据检测、网络故障排除等方面都具有不可替代的作用，从而深受广大网络管理员的青睐。但是，从另外一个方面来讲，网络监听也给网络安全带来了巨大的隐患，在网络监听行为的同时往往会伴随着大量的网络若亲，从而导致了一系列的敏感数据被盗等安全事件的发生。 　　一、网络监听的定义 　　网络监听（英文名称Sniffer）是通过利用计算机的网络接口将网络上的传输数据进行截获的一种工具。我们一般认为网络监听是指在运行以太网协议、TCP/IP协议、IPX协议或者其他协议的网络上，可以攫取网络信息流的软件或硬件。网络监听早期主要是分析网络的流量，以便找出所关心的网络中潜在的问题。网络监听的存在对网络系统管理员是至关重要的，网络系统管理员通过网络监听可以诊断出大量的不可见模糊问题（如网络瓶颈、错误配置等），监视网络活动，完善网络安全策略，进行行之有效的网络管理。 　　二、网络监听的工作原理 　　Internet是由众多的局域网所组成，这些局域网一般是以太网、令牌网的结构。数据在这些网络上是以很小的称为帧（Frame）的单位传输的，帧通过特定的网络驱动程序进行成型，然后通过网卡发送到网线上。由于以太网等很多网络（常见共享HUB连接的内部网）是基于总线方式，物理上是广播的，同一物理网段的所有主机的网卡都能接收到这些以太网帧。当网络接口处于正常状态时，网卡收到传输来的数据帧，网卡内的芯片程序先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，如果认为是目的地址为本机地址的数据帧或是广播帧，则接收并在接收后产生中断信号通知CUP，否则就丢弃不管，CUP得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。通过修改网卡存在一种特殊的工作模式，在这种工作模式下，网卡不对目的地址进行判断，而直接将它收到的所有报文都传递给操作系统进行处理。这种特殊的工作模式，称之为混杂模式。网络监听就是通过将网卡设置为混杂模式，它对遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。网络监听工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。 　　三、网络监听的用途 　　在网络安全领域中，网络监听占有极其重要的作用。网络监听程序通常有两种形式：一是商业网络监听，二是黑客所使用的。商业网络监听用于维护网络，对于网络管理者，监听也是监控本地网络状况的直接手段，监听还是基于网络的入侵检测系统的必要基础。具体来说就是： 　　1.把网络中的数据流转化成可读格式。2.进行性能分析以发现网络瓶颈。 　　3.入侵检测以发现外界入侵者。4.生