一、引言
隨著計算機技術的發展,網路已日益成為生活中不可或缺的工具,但隨之而來的非法入侵也一直威脅著計算機網路系統的安全。由於區域網中採用廣播方式,因此,在某個廣播域中可以監聽到所有的資訊包。而黑客通過對資訊包進行分析,就能獲取區域網上傳輸的一些重要資訊。事實上,很多黑客入侵時都把區域網掃瞄和監聽作為其最基本的步驟和手段,原因是想用這種方法獲取想要的密碼等資訊。但另一方面,我們對黑客入侵活動和其它網路犯罪進行偵查、取證時,也可以使用網路監聽技術來獲取必要的資訊。因此,了解乙太網監聽技術的原理、實現方法和防範措施就顯得尤為重要。
二、區域網監聽的基本原理
1. 網路監聽
網路監聽技術本來是提供給網路安全管理人員進行管理的工具,可以用來監視網路的狀態、資料流動情況以及網路上傳輸的資訊等。當資訊以明文的形式在網路上傳輸時,使用監聽技術進行攻擊並不是一件難事,只要將網路介面設定成監聽模式,便可以源源不斷地將網上傳輸的資訊截獲。網路監聽可以在網上的任何乙個位置實施,如區域網中的一台主機、閘道器上或遠端網的數據機之間等。
2. 在區域網實現監聽的基本原理
對於目前很流行的乙太網協議,其工作方式是:將要傳送的資料報發往連線在一起的所有主機,包中包含著應該接收資料報主機的正確位址,只有與資料報中目標位址一致的那台主機才能接收。但是,當主機工作監聽模式下,無論資料報中的目標位址是什麼,主機都將接收(當然只能監聽經過自己網路介面的那些包)。
在網際網路上有很多使用乙太網協議的區域網,許多主機通過電纜、集線器連在一起。當同一網路中的兩台主機通訊的時候,源主機將寫有目的的主機位址的資料報直接發向目的主機。但這種資料報不能在ip層直接傳送,必須從tcp/ip協議的ip層交給網路介面,也就是資料鏈路層,而網路介面是不會識別ip位址的,因此在網路介面資料報又增加了一部分以太幀頭的資訊。在幀頭中有兩個域,分別為只有網路介面才能識別的源主機和目的主機的實體地址,這是乙個與ip位址相對應的48位的位址。
傳輸資料時,包含實體地址的幀從網路介面(網絡卡)傳送到物理的線路上,如果區域網是由一條粗纜或細纜連線而成,則數碼訊號在電纜上傳輸,能夠到達線路上的每一台主機。當使用集線器時,由集線器再發向連線在集線器上的每一條線路,數碼訊號也能到達連線在集線器上的每一台主機。當數碼訊號到達一台主機的網路介面時,正常情況下,網路介面讀入資料幀,進行檢查,如果資料幀中攜帶的實體地址是自己的或者是廣播位址,則將資料幀交給上層協議軟體,也就是ip層軟體,否則就將這個幀丟棄。對於每乙個到達網路介面的資料幀,都要進行這個過程。
然而,當主機工作在監聽模式下,所有的資料幀都將被交給上層協議軟體處理。而且,當連線在同一條電纜或集線器上的主機被邏輯地分為幾個子網時,如果一台主機處於監聽模式下,它還能接收到發向與自己不在同一子網(使用了不同的掩碼、ip位址和閘道器)的主機的資料報。也就是說,在同一條物理通道上傳輸的所有資訊都可以被接收到。另外,現在網路中使用的大部分協議都是很早設計的,許多協議的實現都是基於一種非常友好的、通訊的雙方充分信任的基礎之上,許多資訊以明文傳送。因此,如果使用者的賬戶名和口令等資訊也以明文的方式在網上傳輸,而此時乙個黑客或網路攻擊者正在進行網路監聽,只要具有初步的網路和tcp/ip協議知識,便能輕易地從監聽到的資訊中提取出感興趣的部分。同理,正確的使用網路監聽技術也可以發現入侵並對入侵者進行追蹤定位,在對網路犯罪進行偵查取證時獲取有關犯罪行為的重要資訊,成為打擊網路犯罪的有力手段。
三、區域網監聽的簡單實現
要使主機工作在監聽模式下,需要向網路介面發出i/o控制命令,將其設定為監聽模式。在unix系統中,傳送這些命令需要超級使用者的許可權。在windows系列作業系統中,則沒有這個限制。要實現網路監聽,可以自己用相關的計算機語言和函式編寫出功能強大的網路監聽程式,也可以使用一些現成的監聽軟體,在很多黑客**或從事網路安全管理的**都有。
四、如何檢測並防範網路監聽
網路監聽是很難被發現的,因為執行網路監聽的主機只是被動地接收在局域局上傳輸的資訊,不主動的與其他主機交換資訊,也沒有修改在網上傳輸的資料報。
1. 對可能存在的網路監聽的檢測
(1)對於懷疑執行監聽程式的機器,用正確的ip位址和錯誤的實體地址ping,執行監聽程式的機器會有響應。這是因為正常的機器不接收錯誤的實體地址,處理監聽狀態的機器能接收,但如果他的ipstack不再次反向檢查的話,就會響應。
(2)向網上發大量不存在的實體地址的包,由於監聽程式要分析和處理大量的資料報會占用很多的cpu資源,這將導致效能下降。通過比較前後該機器效能加以判斷。這種方法難度比較大。
(3)使用反監聽工具如antisniffer等進行檢測
2. 對網路監聽的防範措施
(1)從邏輯或物理上對網路分段
網路分段通常被認為是控制網路廣播風暴的一種基本手段,但其實也是保證網路安全的一項措施。其目的是將非法使用者與敏感的網路資源相互隔離,從而防止可能的非法監聽。
(2)以交換式集線器代替共享式集線器
對區域網的中心交換機進行網路分段後,區域網監聽的危險仍然存在。這是因為網路終端使用者的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共享式集線器。這樣,當使用者與主機進行資料通訊時,兩台機器之間的資料報(稱為單播包unicast packet)還是會被同一臺集線器上的其他使用者所監聽。
因此,應該以交換式集線器代替共享式集線器,使單播包僅在兩個節點之間傳送,從而防止非法監聽。當然,交換式集線器只能控制單播包而無法控制廣播包(broadcast packet)和多播包(multicast packet)。但廣播包和多播包內的關鍵資訊,要遠遠少於單播包。
(3)使用加密技術
資料經過加密後,通過監聽仍然可以得到傳送的資訊,但顯示的是亂碼。使用加密技術的缺點是影響資料傳輸速度以及使用乙個弱加密術比較容易被攻破。系統管理員和使用者需要在網路速度和安全性上進行折中。
(4)劃分vlan
運用vlan(虛擬區域網)技術,將乙太網通訊變為點到點通訊,可以防止大部分基於網路監聽的入侵。
五、結束語
乙太網監聽的原理與防範
隨著計算機網路應用的普及,網路已日益成為生活中不可或缺的工具,但伴之而來的非法入侵也一直威脅著計算機網路系統的安全。由於乙太網中採用廣播方式,因此,在某個廣播域中可以監聽到所有的資訊包。網路監聽是黑客們常用的一種方法。當成功地登入進一台網路上的主機,並取得了這台主機的超級使用者的許可權之後,往往要擴...
區域網中ARP攻擊的查詢與防範(Linux環境)
arp是什麼?address resolution protocol是指當知道乙個宿主的網路層位址 ip 去尋找對應的鏈路層位址 hardware address 的乙個方法。這個協議在rfc826中有明確的規定。arp協議已經被實現在各種各樣的網路上,它不僅僅是一種ip專用或者區域網專用的協議,它...
區域網與網橋
區域網 local area network,lan 是指在某一區域內由多台計算機互聯成的計算機組。一般是方圓幾千公尺以內。區域網可以實現檔案管理 應用軟體共享 印表機共享 工作組內的日程安排 電子郵件和傳真通訊服務等功能。區域網是封閉型的,可以由辦公室內的兩台計算機組成,也可以由乙個公司內的上千臺...