欢迎来到学术参考网

网络监听检测及防范技术研究

发布时间:2015-10-21 09:35

摘 要:网络监听技术的应用本是为了管理网络,监视网络的状态、数据流动情况及其传输的信息的。然而,由于其可以有效地截获网上的数据,网络监听也就自然而然的成了黑客最长使用的方法。网络监听的检测与防范技术也就成为了人们关注的话题。本文首先研究了网络监听技术的基本概念及基本理论,然后着重于对网络监听的检测及防范技术的研究。

关键词:网络监听;检测;防范
1.绪论
  随着计算机网络的日益成熟,网络监听已成为人们生活中不可或缺的工具。网络监听在给人们带来方便的同时也带来了极大的危害,企业在用它管理工作的同时,黑客们也在用它获得以下他们想知道的信息,那么此时网络监听检测与防范技术的研究就变得越发重要了。
2.网络监听的基本概念
  网络监听是目前黑客们常用的一种方法。当黑客成功地登录进网络上的一台主机,同时取得这台主机的超级用户权限之后,通常会扩大战果,他们会尝试登录或者获取这断网络中其他主机的控制权。网络监听就是一种简单而且有效的方法,它常常可以轻易地获得其他方法难以获得的信息。在网络上,监听效果比较理想的是网关、路由器、防火墙等一类的设备,而这些设备通常由网络管理员来操作。.
3.网络监听的基本原理
  现在网络中最常用的协议是“以太网协议”。而这个协议有一个特点,当某个主机A要发送一个主数据包给主机B,但这里不是一对一的发送,而是把数据包发送给局域网内的包括主机B的所有主机,其实这里接受的是数据包中的物理地址。正常情况下,只有主机B才会接收这个数据包。而其他主机在收到数据包的时候,看到这个数据包中的目的地址与自己不匹配,就会把数据包丢弃掉。
但是,如果此时局域网内有台主机C,其处于监听模式。则这台主机不管数据包中的目的地址是否与自己匹配,就会接收这个数据包,同时把数据内容传递给上层进行下面的处理。这就是网络监听的基本原理。
在以太网内传输数据时,包含主机唯一标识符的物理地址(MAC地址)的帧是从网卡发送到物理的线路上的,如网线或者光纤。这时,发送一个某台特定主机的数据包会到达这线路上的所有主机。当数据包发送到达某台主机后,那么这台主机的网卡会先接收这个数据包从而进行检查。假若这个数据包中的目的地址与自己的地址不匹配的话,主机就会丢弃这个包。假若这个数据包中的目的地址与自己的地址匹配或者是一个广播地址的话,主机就会把数据包交给上层进行下面的处理。在这种情况下,如果把主机设置为监听模式,主机就可以了解在局域网内正在传送的所有数据。假若这些数据是没有经过加密处理过的话,那么后果就可想而知了。
4.网络监听的检测       
  下面是几个常用的检测监听的方法,虽然原理非常简单,但事实上并不容易做到。   
  (1)对于怀疑运行监听软件的机器,用正确的IP地址和错误的物理地址去ping,运行监听软件的机器就会有响应。这是因为正常的机器不会接收错误的物理地址,而处于监听状态的机器则会接收,如果该机器的IP stack不再次反向检查的话,就会响应。这种方法依赖于系统的IP stack,对部分系统可能行不通。   
  (2)往怀疑有网络监听行为的网络发送大量不存在的物理地址的包,由于监听程序需要分析和处理这些数据包,会占用大量的CPU资源,这将导致机器性能下降。而正常系统的反应时间不会有什么变化。 通过比较该机器前后的性能(icmp echo delay等方法)来加以判断。但这种方法难度比较大。
  (3)大部分的网络监听软件都会进行地址反向解析,如果怀疑有网络监听,则可以在DNS系统上看到有没有明显增多的解析请求。
  (4)往局域网内的主机发送非广播方式的ARP数据包,如果局域网内的某个主机响应了这个ARP请求,那么就可以判断它可能就是处于网络监听模式,这是目前最常用的监测模式。    
  (5)利用一些工具软件来发现网络监听,如AntiSniffer等软件。
5.网络监听的防范措施
  (1)从逻辑或物理上对网络分段
  网络分段是控制网络广播风暴的一种基本手段,但也是保证网络安全击败网络监听的一项措施。其方式是将非法用户与敏感的网络资源相互分离,防止可能的非法监听。
  (2)以交换式集线器代替共享式集线器
  即使对局域网的中心交换机进行网络分段,网络监听的危险仍然存在。因为网络最终用户的接入通常是通过分支集线器而非中心交换机,而目前使用最广泛的分支集线器是共享式集线器。这样,当用户与主机通信时,两台机器之间的数据包(称为单播包Unicast?Packet)将会被同一台集线器上的其他用户所监听。
  所以,应该以交换式集线器取代共享式集线器,使单播包仅在两个节点之间传送,防止非法监听。
  (3)使用加密技术?
  数据经过加密后,虽然通过监听仍然可以得到传送的信息,但这时显示的却是乱码。但加密技术的会影响数据传输速度以及一个弱加密术仍比较容易被攻破。。
  (4)划分VLAN
  VLAN(虚拟局域网)技术的运用可以将以太网通信变为点到点通信,从而防止大部分基于网络监听的入侵。
6.结束语
  本文在简单介绍了网络监听的基本概念及原理之后,着重探讨了关于网络监听的检测方法以及一些网络监听的防范措施。相信,只要我们很好的运用这些知识,就可以极大地保护我们的信息。
参考文献
[1]邓亚平.计算机网络安全.北京:人民邮电出版社,2007.7
[2]崔晶,刘广忠.计算机网络基础.北京:清华大学出版社,20107.1

上一篇:浅析网络安全防御系统的实现策略

下一篇:网卡节能模式引起的故障