目錄
引言
局域網(wǎng)監(jiān)聽(tīng)的基本原理
局域網(wǎng)監(jiān)聽(tīng)的簡(jiǎn)單實(shí)現(xiàn)
如何檢測(cè)并防范網(wǎng)絡(luò)監(jiān)聽(tīng)
結(jié)束語(yǔ)
一、引言
隨著計(jì)算機(jī)技術(shù)的發(fā)展,網(wǎng)絡(luò)已日益成為生活中不可或缺的工具,但伴之而來(lái)的非法入侵也一直威脅著計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。由于局域網(wǎng)中采用廣播方式,因此,在某個(gè)廣播域中可以監(jiān)聽(tīng)到所有的信息包。而黑客通過(guò)對(duì)信息包進(jìn)行分析,就能獲取局域網(wǎng)上傳輸?shù)囊恍┲匾畔?。事?shí)上,很多黑客入侵時(shí)都把局域網(wǎng)掃描和偵聽(tīng)作為其最基本的步驟和手段,原因是想用這種方法獲取其想要的密碼等信息。但另一方面,我們對(duì)黑客入侵活動(dòng)和其它網(wǎng)絡(luò)犯罪進(jìn)行偵查、取證時(shí),也可以使用網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)來(lái)獲取必要的信息。因此,了解以太網(wǎng)監(jiān)聽(tīng)技術(shù)的原理、實(shí)現(xiàn)方法和防范措施就顯得尤為重要。
二、局域網(wǎng)監(jiān)聽(tīng)的基本原理
根據(jù)IEEE的描述,局域網(wǎng)技術(shù)是"把分散在一個(gè)建筑物或相鄰幾個(gè)建筑物中的計(jì)算機(jī)、終端、大容量存儲(chǔ)器的外圍設(shè)備、控制器、顯示器、以及為連接其它網(wǎng)絡(luò)而使用的網(wǎng)絡(luò)連接器等相互連接起來(lái),以很高的速度進(jìn)行通訊的手段"。
局域網(wǎng)具有設(shè)備共享、信息共享、可進(jìn)行高速數(shù)據(jù)通訊和多媒體信息通信、分布式處理、具有較高的兼容性和安全性等基本功能和特點(diǎn)。目前局域網(wǎng)主要用于辦公室自動(dòng)化和校園教學(xué)及管理,一般可根據(jù)具體情況采用總線形、環(huán)形、樹(shù)形及星形的拓?fù)浣Y(jié)構(gòu)。
1. 網(wǎng)絡(luò)監(jiān)聽(tīng)
網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)本來(lái)是提供給網(wǎng)絡(luò)安全管理人員進(jìn)行管理的工具,可以用來(lái)監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌取.?dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時(shí),使用監(jiān)聽(tīng)技術(shù)進(jìn)行攻擊并不是一件難事,只要將網(wǎng)絡(luò)接口設(shè)置成監(jiān)聽(tīng)模式,便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@。網(wǎng)絡(luò)監(jiān)聽(tīng)可以在網(wǎng)上的任何一個(gè)位置實(shí)施,如局域網(wǎng)中的一臺(tái)主機(jī)、網(wǎng)關(guān)上或遠(yuǎn)程網(wǎng)的調(diào)制解調(diào)器之間等。
2. 在局域網(wǎng)實(shí)現(xiàn)監(jiān)聽(tīng)的基本原理
對(duì)于目前很流行的以太網(wǎng)協(xié)議,其工作方式是:將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機(jī),包中包含著應(yīng)該接收數(shù)據(jù)包主機(jī)的正確地址,只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才能接收。但是,當(dāng)主機(jī)工作監(jiān)聽(tīng)模式下,無(wú)論數(shù)據(jù)包中的目標(biāo)地址是什么,主機(jī)都將接收(當(dāng)然只能監(jiān)聽(tīng)經(jīng)過(guò)自己網(wǎng)絡(luò)接口的那些包)。
在因特網(wǎng)上有很多使用以太網(wǎng)協(xié)議的局域網(wǎng),許多主機(jī)通過(guò)電纜、集線器連在一起。當(dāng)同一網(wǎng)絡(luò)中的兩臺(tái)主機(jī)通信的時(shí)候,源主機(jī)將寫有目的的主機(jī)地址的數(shù)據(jù)包直接發(fā)向目的主機(jī)。但這種數(shù)據(jù)包不能在IP層直接發(fā)送,必須從TCP/IP協(xié)議的IP層交給網(wǎng)絡(luò)接口,也就是數(shù)據(jù)鏈路層,而網(wǎng)絡(luò)接口是不會(huì)識(shí)別IP地址的,因此在網(wǎng)絡(luò)接口數(shù)據(jù)包又增加了一部分以太幀頭的信息。在幀頭中有兩個(gè)域,分別為只有網(wǎng)絡(luò)接口才能識(shí)別的源主機(jī)和目的主機(jī)的物理地址,這是一個(gè)與IP地址相對(duì)應(yīng)的48位的地址。
傳輸數(shù)據(jù)時(shí),包含物理地址的幀從網(wǎng)絡(luò)接口(網(wǎng)卡)發(fā)送到物理的線路上,如果局域網(wǎng)是由一條粗纜或細(xì)纜連接而成,則數(shù)字信號(hào)在電纜上傳輸,能夠到達(dá)線路上的每一臺(tái)主機(jī)。當(dāng)使用集線器時(shí),由集線器再發(fā)向連接在集線器上的每一條線路,數(shù)字信號(hào)也能到達(dá)連接在集線器上的每一臺(tái)主機(jī)。當(dāng)數(shù)字信號(hào)到達(dá)一臺(tái)主機(jī)的網(wǎng)絡(luò)接口時(shí),正常情況下,網(wǎng)絡(luò)接口讀入數(shù)據(jù)幀,進(jìn)行檢查,如果數(shù)據(jù)幀中攜帶的物理地址是自己的或者是廣播地址,則將數(shù)據(jù)幀交給上層協(xié)議軟件,也就是IP層軟件,否則就將這個(gè)幀丟棄。對(duì)于每一個(gè)到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)幀,都要進(jìn)行這個(gè)過(guò)程。
然而,當(dāng)主機(jī)工作在監(jiān)聽(tīng)模式下,所有的數(shù)據(jù)幀都將被交給上層協(xié)議軟件處理。而且,當(dāng)連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個(gè)子網(wǎng)時(shí),如果一臺(tái)主機(jī)處于監(jiān)聽(tīng)模式下,它還能接收到發(fā)向與自己不在同一子網(wǎng)(使用了不同的掩碼、IP地址和網(wǎng)關(guān))的主機(jī)的數(shù)據(jù)包。也就是說(shuō),在同一條物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏?。另外,現(xiàn)在網(wǎng)絡(luò)中使用的大部分協(xié)議都是很早設(shè)計(jì)的,許多協(xié)議的實(shí)現(xiàn)都是基于一種非常友好的、通信的雙方充分信任的基礎(chǔ)之上,許多信息以明文發(fā)送。因此,如果用戶的賬戶名和口令等信息也以明文的方式在網(wǎng)上傳輸,而此時(shí)一個(gè)黑客或網(wǎng)絡(luò)攻擊者正在進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng),只要具有初步的網(wǎng)絡(luò)和TCP/IP協(xié)議知識(shí),便能輕易地從監(jiān)聽(tīng)到的信息中提取出感興趣的部分。同理,正確的使用網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)也可以發(fā)現(xiàn)入侵并對(duì)入侵者進(jìn)行追蹤定位,在對(duì)網(wǎng)絡(luò)犯罪進(jìn)行偵查取證時(shí)獲取有關(guān)犯罪行為的重要信息,成為打擊網(wǎng)絡(luò)犯罪的有力手段。
三、局域網(wǎng)監(jiān)聽(tīng)的簡(jiǎn)單實(shí)現(xiàn)
要使主機(jī)工作在監(jiān)聽(tīng)模式下,需要向網(wǎng)絡(luò)接口發(fā)出I/O控制命令,將其設(shè)置為監(jiān)聽(tīng)模式。在Unix系統(tǒng)中,發(fā)送這些命令需要超級(jí)用戶的權(quán)限。在Windows系列操作系統(tǒng)中,則沒(méi)有這個(gè)限制。要實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)聽(tīng),可以自己用相關(guān)的計(jì)算機(jī)語(yǔ)言和函數(shù)編寫出功能強(qiáng)大的網(wǎng)絡(luò)監(jiān)聽(tīng)程序,也可以使用一些現(xiàn)成的監(jiān)聽(tīng)軟件,在很多黑客網(wǎng)站或從事網(wǎng)絡(luò)安全管理的網(wǎng)站都有。
四、如何檢測(cè)并防范網(wǎng)絡(luò)監(jiān)聽(tīng)
網(wǎng)絡(luò)監(jiān)聽(tīng)是很難被發(fā)現(xiàn)的,因?yàn)檫\(yùn)行網(wǎng)絡(luò)監(jiān)聽(tīng)的主機(jī)只是被動(dòng)地接收在局域局上傳輸?shù)男畔?,不主?dòng)的與其他主機(jī)交換信息,也沒(méi)有修改在網(wǎng)上傳輸?shù)臄?shù)據(jù)包。
1. 對(duì)可能存在的網(wǎng)絡(luò)監(jiān)聽(tīng)的檢測(cè)
(1)對(duì)于懷疑運(yùn)行監(jiān)聽(tīng)程序的機(jī)器,用正確的IP地址和錯(cuò)誤的物理地址ping,運(yùn)行監(jiān)聽(tīng)程序的機(jī)器會(huì)有響應(yīng)。這是因?yàn)檎5臋C(jī)器不接收錯(cuò)誤的物理地址,處理監(jiān)聽(tīng)狀態(tài)的機(jī)器能接收,但如果他的IPstack不再次反向檢查的話,就會(huì)響應(yīng)。
(2)向網(wǎng)上發(fā)大量不存在的物理地址的包,由于監(jiān)聽(tīng)程序要分析和處理大量的數(shù)據(jù)包會(huì)占用很多的CPU資源,這將導(dǎo)致性能下降。通過(guò)比較前后該機(jī)器性能加以判斷。這種方法難度比較大。
(3)使用反監(jiān)聽(tīng)工具如antisniffer等進(jìn)行檢測(cè)
2. 對(duì)網(wǎng)絡(luò)監(jiān)聽(tīng)的防范措施
(1)從邏輯或物理上對(duì)網(wǎng)絡(luò)分段
網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段,但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)措施。其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離,從而防止可能的非法監(jiān)聽(tīng)。
(2)以交換式集線器代替共享式集線器
對(duì)局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后,局域網(wǎng)監(jiān)聽(tīng)的危險(xiǎn)仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過(guò)分支集線器而不是中心交換機(jī),而使用最廣泛的分支集線器通常是共享式集線器。這樣,當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí),兩臺(tái)機(jī)器之間的數(shù)據(jù)包(稱為單播包Unicast Packet)還是會(huì)被同一臺(tái)集線器上的其他用戶所監(jiān)聽(tīng)。
因此,應(yīng)該以交換式集線器代替共享式集線器,使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送,從而防止非法監(jiān)聽(tīng)。當(dāng)然,交換式集線器只能控制單播包而無(wú)法控制廣播包(Broadcast Packet)和多播包(Multicast Packet)。但廣播包和多播包內(nèi)的關(guān)鍵信息,要遠(yuǎn)遠(yuǎn)少于單播包。
(3)使用加密技術(shù)
數(shù)據(jù)經(jīng)過(guò)加密后,通過(guò)監(jiān)聽(tīng)仍然可以得到傳送的信息,但顯示的是亂碼。使用加密技術(shù)的缺點(diǎn)是影響數(shù)據(jù)傳輸速度以及使用一個(gè)弱加密術(shù)比較容易被攻破。系統(tǒng)管理員和用戶需要在網(wǎng)絡(luò)速度和安全性上進(jìn)行折中。
(4)劃分VLAN
運(yùn)用VLAN(虛擬局域網(wǎng))技術(shù),將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信,可以防止大部分基于網(wǎng)絡(luò)監(jiān)聽(tīng)的入侵。
五、結(jié)束語(yǔ)
網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)作為一種工具,總是扮演著正反兩方面的角色。對(duì)于入侵者來(lái)說(shuō),最喜歡的莫過(guò)于用戶的口令,通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)可以很容易地獲得這些關(guān)鍵信息。而對(duì)于入侵檢測(cè)和追蹤者來(lái)說(shuō),網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)又能夠在與入侵者的斗爭(zhēng)中發(fā)揮重要的作用。鑒于目前的網(wǎng)絡(luò)安全現(xiàn)狀,我們應(yīng)該進(jìn)一步挖掘網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)的細(xì)節(jié),從技術(shù)基礎(chǔ)上掌握先機(jī),才能在與入侵者的斗爭(zhēng)中取得勝利。
