计算机网络安全基础第9章.ppt

9.5 网络监听 网络监听工具是一种管理工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。 网络监听工具也是黑客们常用的工具。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式进行攻击。 将网络接口设置在监听模式便可以源源不断地将网上的信息截获。网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。 计算机网络安全基础（第三版） * 9.5 网络监听 1. 监听的原理 在一些传输介质上，信息有被监听的可能性。在网络上，监听效果最好的地方是在网关、路由器和防火墙一类的设备处，通常由网络管理员来操作。 ●Ethernet网是一个广播型的网络。困扰着因特网的大多数包监听事件都是一些运行在一台计算机中的包监听程序的结果。 ●令牌网并不是一个广播型网络，但带有令牌的那些包在传输过程中，平均要经过网络上一半的计算机。高的数据传输率使监听变得困难。 计算机网络安全基础（第三版） * 9.5 网络监听 ●电话线可以被一些电话公司协作人或者一些有机会在物理上访问到线路的人搭线窃听。在微波线路上的信息也会被截获。 ●使用有线电视信道发送IP数据包的系统依靠RF调制解调器。RF使用一个TV通道用于上行和下行。在这些线路上传输的信息没有加密，因此，可以被一些可以从物理上访问到TV电缆的人截获。 ●无线电本来就是一个广播型的传输媒介。任何有一个无线电接收机的人都可以截获那些传输的信息。 计算机网络安全基础（第三版） * 9.5 网络监听 2. 监听的实现 只须安装一个监听软件，然后就可以坐在机器旁浏览监听到的信息了。 以太网协议的工作方式为将要发送的数据包发往连接在一起的所有主机。在包头中包括着应该接收数据包的主机的正确地址。因此，只有与数据包中目标地址一致的那台主机才能接收数据包。但是，当主机工作在监听模式下，无论数据包中的目标物理地址是什么，主机都将接收。 计算机网络安全基础（第三版） * 网络监听原理 数字信号到达一台主机的网络接口时，在正常情况下，网络接口读入数据帧，然后进行检查，如果数据帧中携带的物理地址是自己的，或者物理地址是广播地址，将由数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。 当主机工作在监听模式下，则所有的数据帧都将交给上层协议软件处理。局域网的这种工作方式，一个形象的例子是，大房间就像是一个共享的信道，里面的每个人好像是一台主机。人们所说的话是信息包，在大房间中到处传播。当我们对其中某个人说话时，所有的人都能听到。但只有名字相同的那个人，才会对这些话语做出反应，进行处理。其它的人听到了这些话语，因为名字不是自己，则忽略这些话语。 计算机网络安全基础（第三版） * 9.5 网络监听 当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果主机处于监听模式下，它还能接收到发向与自己不在同一子网（使用了不同的掩码，IP地址和网关）的主机的那些信包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。但不能监听不在同一个网段的计算机传输的信息。一台计算机只能监听经过自己网络接口的那些信息包。 要使主机工作在监听模式下，需要向网络接口发送I/O控制命令，将其设置为监听模式。 计算机网络安全基础（第三版） * 9.5 网络监听 3. 监听的检测 网络监听本来是为了管理网络，监视网络的状态和数据流动情况。但是由于它能有效地截获网上的数据，因此也成了网上黑客使用得最多的方法。监听只能是同一网段的主机，因为不是同一网段的数据包，在网关就被滤掉，传不到该网段来。 网络监听最有用的是获得用户口令。当前，网上的数据绝大多数是以明文的形式传输。而且口令通常很短且容易辨认。当口令被截获后，则可以非常容易地登上另一台主机。 计算机网络安全基础（第三版） * 9.5 网络监听 （1）监听的检测方法 当系统运行网络监听软件时，系统因为负荷过重，因此对外界的响应很慢。 ●对于怀疑运行监听程序的机器，用正确的 IP地址和错误的物理地址去ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处于监听状态的机器能接收。 ●往网上发大量不存在的物理地址的包，由于监听程序将处理这些包，将导致性能下降。通过比较前后该机器性能加以判断。这种方法难度比较大。 计算机网络安全基础（第三版） * 9.5 网络监听 ●一个可行的检查监听程序的方法是搜索所有主机上运行的进程。 ●搜索监听程序。入侵者很可能使用的是一个免费软件，管理员就可以检查目录，找出监听程序。 计算机网络安全基础（第三版） * 9.5 网络监听