基于局域网网络监听技术及其防范分析.docVIP

基于局域网网络监听技术及其防范分析 　　摘要：随着现代社会人们使用网络频次的几何式增长，网络信息安全已经成为一个热点。而作为人们使用网络的主场所，局域网技术的实施也处于一个不断的演进和发展成熟过程。该文针对局域网络监听技术的分析，给出了加强防范局域网网络监听技术的一些方法。为维护网络信息安全和局域网安全运行体系提出了一些建议。 　　关键词：网络信息安全 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）05-0990-02 　　近年来，互联网的迅速推广和普及应用使越来越多的人认识到了网络的优势和价值。网络中大量信息的流通和使用给人们的工作、学习和生活娱乐等都带来了极大的便利。但是随着网络应用的不断丰富和发展，网络信息安全等问题逐渐变得越发突出。身份泄密、信息篡改、不良信息发布等问题日益严重。许多不法分子从中获取不法利益，对国家和???人造成各种经济损害和生活困扰，严重扰乱了正常的社会秩序。因此，分析网络信息安全隐患，利用网络监听技术实施网络监控，减少网络的负面效果对国家和个人的影响具有非常重要的现实意义。 　　1 网络监听技术概述 　　1.1 网络监听的定义 　　监听一词在百度百科里的解释就是采取比较隐蔽的手段或设备等技术，对相应的声音或事态的发展进行探听的一种行为。众所周知，声音可以监听，无线电可以监听，而计算机网络作为一种数字信号在实体中的传播同样是可以监听的。网络监听也叫嗅探，既将网络上传输的数据捕获并进行分析的行为。目前应用较广的网络监听器又叫嗅探器，英文名是sniffer，既有硬件形式，又有软件形式。它是利用计算机的网络接口捕获目的地向其它计算机传送的数据报文的一种工具。它最初是网络管理员用来监视网络的运行状态、数据流动以及信号传输等的管理工具。但是黑客们也常通过该技术来对网络进行信息窃取和攻击。 　　1.2 网络监听的原理 　　我们目前所熟知和广泛使用的Internet互联网其实就是由众多的局域网组成，这种结构我们一般叫做以太网或令牌网。[1]这种网络被称为广播式网络。由于以太网等很多网络是基于总线方式，物理上是广播的，所以同一物理段内的所有主机的网卡都能接收到这些传输信号。当网络接口处于正常状态时，网卡可以接收传输信号，首先接收数据头的目的MAC地址，然后根据预先设置好的接收模式判断是否与自己的MAC地址相同。如果相同则接收，并在完成后向CPU发送中断信号，否则将舍弃。CPU得到中断信号则产生中断。操作系统就是根据网卡驱动程序中设置的中断程序地址调用驱动程序来接收数据，数据接收后放入堆栈由操作系统处理。如果通过修改网卡使其处于一种特殊的工作模式时，网卡将不对目的地址进行判断而直接将它收到的所有信号都传递给操作系统进行处理，这种模式称为混杂模式（Promiscuous模式）。[2]网络监听就是利用将网卡设置成混杂模式，使其对收到的每一个数字报文信号都发出中断信号，让操作系统对其进行处理。由于sniffer位于网络环境的底层，它能收到所有的正在网络上传递的信号并对其进行实时分析和处理，从而获取传递信息。 　　图1是以太网混合模式网络数据传送示意图。 　　还有一种通过点到点实现传输的网络方式叫交换式局域网。黑客对交换式局域网的监听与对广播式局域网络的方法完全不同。他们通过向交换机端口发送大量虚假MAC地址信号迫使端口存储的动态映射表数据“溢出”失去保密性、修改本地接收机MAC地址使其“合法化”，以及修改被攻击主机上的ARP表来对信号源主机进行ARP欺骗等方式完成网络监听。值得一提的是修改MAC地址的欺骗与ARP 欺骗有着本质的不同，前者是针对交换机的欺骗，后者是毒害主机的ARP 缓存。[3] 　　2 网络监听的几种检测方式 　　明白了网络监听的原理后，我们还应掌握如何检测出一个局域网络中是否存在监听的现象。目前常用的检测方式根据检测位置划分主要有以下两种： 　　2.1 在本地计算机上进行检测 　　一般网卡的工作模式有四种：广播模式、组播模式、直接模式和混杂模式。我们已经知道网络监听是要在网卡处于混杂模式下进行，所以可以通过检查网卡是否处于混杂模式来检测。[4]这可以利用一些现成的工具软件来完成，如ARP探测技术、AntiSniffer工具等，也可以通过编写一些运行程序来实现。 　　另外，还可以用搜索法来发现。通过在本地主机上搜索所有运行的进程就可以知道是否有可疑的人在进行网络监听。但这种方法一般费时费力。 　　2.2 在其他计算机上进行检测 　　1） 观察法。通过向网络中发送大量不存在的物理地址的数据包来观察异常。因为网络监听工具需要对每一个捕获的数据包做分析和处理，这必然会占用大量的CPU资源和时间，所以如果没有网络监听，电脑响应时间和运行状况正