浅论网络侦听和常见防范措施.docVIP

浅论网络侦听和常见防范措施 　　摘要：现在不少的网络管理工具，通过网络侦听可以截取别人发送的邮件、聊天信息和访问网页的内容等等。可见，恶意的网络侦听会给网络安全施以致命一击。 　　关键词：网络侦听；接品 　　 　　我们在电视或者电影中经常会看到这样的情景，在某个家庭的电话线总线上，拉出一根电话分线，就能对这个电话进行窃听。现在这种方式在网络中也逐渐蔓延开来。由于局域网中采用的是广播方式，因此在某个广播域中(往往一个局域网就是一个广播域)，可以侦听到所有的信息包。而恶意侦听者通过对信息包进行分析，就能够非法窃取局域网上传输的一些重要信息。如现在很多黑客在入侵时，都会把局域网扫描与侦听作为他们入侵之前的准备工作。因为凭借这些方式，他们可以轻易获得用户名、密码等重要的信息。现在不少的网络管理工具，通过网络侦听还可以截取别人发送的邮件、聊天信息和访问网页的内容等等。可见，恶意的网络侦听，会给网络安全施以致命一击。 　　 　　1 网络侦听的工作原理 　　 　　Ethernet协议的工作方式是将要发送的数据包发往连接在一起的所有主机，在包头中包括有应该接收数据包的主机的正确地址，因为只有与数据包中目标地址一致的那台主机才能接收到信息包，但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么，主机都将可以接收到。许多局域网内有十几台甚至上百台主机是通过一个电缆、一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是所说的数据链路层。网络接口不会识别IP地址的。在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太帧的帧头的信息。在帧头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址，这个48位的地址是与IP地址相对应的，换句话说就是一个IP地址也会对应一个物理地址。对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的帧中继携带的就是网关的物理地址。 　　Ethernet中填写了物理地址的帧从网络接口中，也就是从网卡中发送出去传送到物理的线路上。如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据帧进行检查，如果数据帧中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据帧交给IP层软件。对于每个到达网络接口的数据帧都要进行这个过程的。但是当主机工作在监听模式下的话，所有的数据帧都将被交给上层协议软件处理。 　　在这种工作模式下，若把恶意主机设置为侦听模式，则其可以了解在局域网内传送的所有数据。如果这些数据没有经过加密处理的话，那么后果就可想而知了。 　　 　　2 网络侦听的常见防范措施 　　 　　2.1 采用加密技术，实现密文传输 　　从上面的分析中，我们看到，若把主机设置为侦听模式的话，则局域网中传输的任何数据都可以被主机所窃听。但是，若窃听者所拿到的数据是被加密过的，则其即使拿到这个数据包，也没有用处，无法解密。所以，比较常见的防范局域网侦听的方法就是加密。数据经过加密之后，通过侦听仍然可以得到传送的信息，但是，其显示的是乱码。结果是，其即使得到数据，也是一堆乱码，没有多大的用处。 　　现在针对这种传输的加密手段有很多，最常见的如IPSec协议。Ipsec有三种工作模式，一是必须强制使用，二是接收方要求，三是不采用。当某台主机A向主机B发送数据文件的时候，主机A与主机B是会先进行协商，其中包括是否需要采用IPSec技术对数据包进行加密。一是必须采用，也就是说，无论是主机A还是主机B都必须支持IPSec，否则的话，这个传输将会以失败告终。二是请求使用，如在协商的过程中，主机A会问主机B，是否需要采用IPSec。若主机B回答不需要采用，则就用明文传输，除非主机A的IPSec策略设置的是必须强制使用。若主机B回答的是可以用IPSec加密，则主机A就会先对数据包进行加密，然后再发送。经过IPSec技术加密过的数据，一般很难被破解。而且，重要的是这个加密、解密的工作对于用户来说，是透明的。也就是说，网络管理员只需要配置好IPSec策略，不需要额外的操作。在使