网络监听技术及其防范措施研究.docVIP

网络监听技术及其防范措施研究 　　摘要：随着科学技术的不断发展，计算机网络已经深入到人们生活的各个方面，它在给人们的生活、工作带来便捷的同时，也衍生出很多问题，如网络安全、用户信息的隐私性等。其中对用户隐私危害最大的就是网络监听，用户通过网络发送或接受的信息都会传送给监听者，对用户的网络安全造成极大威胁。介绍了网络监听技术及基本原理，重点研究了网络监听技术及其防范措施，以保障网络的安全运行。 　　关键词关键词：计算机网络；网络监听；网络安全 　　中图分类号：TP309 　　文献标识码：A 文章编号文章编号2014）004014202 　　作者简介作者简介：单广翠（1983-），女，硕士，平凉医学高等专科学校讲师，研究方向为计算机教学。 　　0 引言 　　计算机网络为人类的生活带来了无限便捷，让我们可以随时随地与他人进行信息交换，打破了交流的空间界限。然而，计算机网络在为人们带来便捷的同时，其网络安全问题也越来越受到人们的重视。在网络世界中自由翱翔的同时如何保障自身安全已经成为我们必须面对的课题[1]。 　　网络安全中，网络监听对网络信息的威胁最大，它可以对计算机进行监控，从计算机发送或接收的信息中获取情报[2]。网络管理者应了解网络监听的工作原理，学会分析网络的安全状态，保障网络、计算机的安全运行。 　　1 网络监听概念 　　最初网络监听技术是网络安全管理人员的管理工具，用来监测局域网内的网络状态、数据流量、用户发送或接受的信息等，以实现对局域网的监控，从而合理调配网络资源，防止用户违法违规行为的发生。如今网络监听技术已经比较成熟，为网络管理人员的工作带来了便捷，同时也为网络入侵者入侵网络、监控计算机、获取网络上传输的信息提供了可能性[3]。 　　网络监听可以在网络中的任意位置上实现，如计算机、网关、路由器等。网络监听最理想的地方是网关、路由器等设备，但这些地方的使用者是网络管理人员，攻破的难度较大。局域网内计算机用户的网络安全知识相对薄弱，使得计算机成为入侵者最容易攻破的地方。 　　2 网络监听基本原理 　　局域网内信息的传送是以广播的方式向局域网内的所有主机发送数据包，数据包中携带目的主机的MAC地址，只有MAC地址与数据包中携带的MAC地址相同的主机才会接收数据包并作出回应，其它主机将忽略此数据包。当主机被入侵者操纵处于监听模式下时，无论数据包中目的主机的MAC地址是否与自己的相匹配，都将接收数据包，即接收网络上传输的所有数据包，以此获取网络中的数据，为情报分析提供数据资源[4]。 　　3 网络监听检测 　　3.1 在本机上检测 　　可以利用一些工具软件检查本机网卡是否处于混杂模式，以此来进行网络监听的检测。打开任务管理器，查看本机正在运行的进程，与其它计算机比较，如有不熟悉或不常见的进程出现，本机可能处于网络监听模式下。 　　3.2 在其它计算机上检测 　　（1）观察法。计算机不在监听模式下时，信息的传输及电脑对信息的反应等均处于正常速度。而当计算机处于监听模式下时，电脑就会出现异常反应，通过比较观察来判断是否处于监听模式。 　　当计算机处于监听模式下时，计算机所发送的信息包会被拦截，导致丢包率升高。同时，计算机占用了更多的带宽但对网络的反应速度却降低了。计算机的发包量增加，工作强度增大，导致计算机性能降低。 　　（2）PING 法。当计算机处于正常工作模式时，接收网络上传输的数据包并解析查看数据包中目的地的MAC地址，如果MAC地址与本机的MAC地址相同，说明此数据包是发送给本机的，接受数据包并给发送数据包的计算机回应，如果MAC地址与本机的MAC地址不同，说明此数据包不是发送给本机的，则丢掉数据包。 　　当计算机处于网络监听模式时，不论数据包中的MAC地址是否与本机的MAC地址相同都会接受数据包。 　　因此，可以向可疑主机发送一个PING 包，里面包含了可疑主机的IP地址和错误的MAC 地址。如果可疑主机处于正常工作模式，因为MAC地址不正确，所以不会对此PING 包作出反应。如果可疑主机处于网络监听模式，则会接受此PING 包并作出回应，以此来判断可疑主机是否处于网络监听模式。 　　（3）ARP 法。此方法与PING法相似，只是将PING 包用ARP包代替。 　　（4）响应时间测试法。这是最直观有效的方法，当计算机处于正常工作模式时，计算机的响应速度很快。而当计算机处于正常网络监听模式时，由于计算机的性能降低，计算机的响应速度变慢，响应时间则会变长。 　　4 网络监听防范措施 　　4.1 预防措施 　　当局域网内的一台主机处于网络监听模式时，该主机会收集局域网内传输的所有数据，实施网络监听行为。因此必须保护主机不被攻破，以预防网络监听行为