淺談網(wǎng)絡(luò)偵聽及其常見防范措施

摘 要：網(wǎng)絡(luò)偵聽是采用網(wǎng)絡(luò)搭線等信號拾獲方法，使用網(wǎng)絡(luò)探針采集網(wǎng)絡(luò)線路上的所有數(shù)據(jù)包并進行過濾的一種行為。本文介紹了網(wǎng)絡(luò)偵聽潛在的安全隱患，闡述了偵聽和偵聽存在檢測技術(shù)的基本原理，并結(jié)合某企業(yè)局域網(wǎng)的具體結(jié)構(gòu)，探討了具體的常見防范措施。

關(guān)鍵詞：網(wǎng)絡(luò)偵聽；偵聽檢測；數(shù)據(jù)包；網(wǎng)絡(luò)安全

中圖分類號：TP393.08

如今，網(wǎng)絡(luò)上經(jīng)常出現(xiàn)用戶信息被竊取的現(xiàn)象，預(yù)防個人信息被盜已經(jīng)成了網(wǎng)民十分關(guān)注的問題。當(dāng)然，但凡是互聯(lián)網(wǎng)，就有存在網(wǎng)絡(luò)安全問題的隱患，這其中就包括信息安全的防范。當(dāng)前，竊取網(wǎng)絡(luò)信息的主要工具與方法就是網(wǎng)絡(luò)信息監(jiān)聽技術(shù)，該技術(shù)同時可以有效預(yù)防信息竊取。筆者首先簡要介紹了網(wǎng)絡(luò)偵聽的涵義與危害，接著分析了網(wǎng)絡(luò)偵聽的工作原理，最后提出了幾點預(yù)防網(wǎng)絡(luò)偵聽的對策。

1 網(wǎng)絡(luò)偵聽的涵義和危害性

網(wǎng)絡(luò)偵聽是指獲取網(wǎng)絡(luò)電纜上傳輸?shù)乃芯W(wǎng)絡(luò)報文的技術(shù)。一是網(wǎng)絡(luò)偵聽技術(shù)能用在網(wǎng)絡(luò)測試或網(wǎng)絡(luò)管理內(nèi)；二是網(wǎng)絡(luò)偵聽在很大程度上損害了局域網(wǎng)的安全。其主要因為現(xiàn)在的局域網(wǎng)差不多都使用以廣播技術(shù)為基礎(chǔ)的以太網(wǎng)，無論兩個節(jié)點之間的通信數(shù)據(jù)包，不但為這兩個節(jié)點的網(wǎng)卡所獲取也同樣為處在同一沖突域上的任意一個節(jié)點的網(wǎng)卡所獲取。所以，黑客只要接入以太網(wǎng)上的任一節(jié)點進行監(jiān)聽，就可以捕獲發(fā)生在這個沖突域上的全部數(shù)據(jù)包，對其進行解包分析，從而竊取關(guān)鍵信息。

監(jiān)聽可能導(dǎo)致的危害主要有以下幾個方面：（1）能夠捕獲密碼；（2）能夠獲得機密的或者特殊的信息；（3）損害鄰居網(wǎng)絡(luò)的安全，或是被人用來獲得更高級別的訪問權(quán)限。

2 網(wǎng)絡(luò)偵聽的工作原理

事實上，以太網(wǎng)協(xié)議是通過發(fā)送數(shù)據(jù)包連接所有的主機的。其中，應(yīng)該接收數(shù)據(jù)包的主機的正確地址都包括在數(shù)據(jù)包中。這樣是為了讓與數(shù)據(jù)包中目標(biāo)地址一致的那臺主機接受數(shù)據(jù)包。如果主機的運行處在被偵聽的狀態(tài)下，那么數(shù)據(jù)包中的目標(biāo)地址一般就能被其它主機接收到。在龐大的局域網(wǎng)中，大部分主機都是由中心、電纜接通的。如果兩臺主機能夠在一樣的網(wǎng)絡(luò)中進行通信，那么源主機會將帶有目的地主機地址的數(shù)據(jù)包接到目的地主機。在網(wǎng)絡(luò)主機中，如果一臺主機和外部發(fā)生連接時，那么源主機也會把主機的IP地址的相關(guān)數(shù)據(jù)包發(fā)送到網(wǎng)關(guān)。不過這種數(shù)據(jù)包是從TCP/IP網(wǎng)絡(luò)接口層發(fā)送的，而非由協(xié)議棧的高層傳送的，這樣的發(fā)送也就是數(shù)據(jù)鏈路層。IP地址對于網(wǎng)絡(luò)接口來講，是不能夠被識別的。其IP地址的IP層包添加幀包括在以太網(wǎng)信息中。這其中，只有源主機和網(wǎng)絡(luò)接口主機物理地址的48位的地址能夠被其中的兩個領(lǐng)域識認(rèn)。也就是說，一個物理地址有且只有一個對應(yīng)的IP地址。除此之外，因為網(wǎng)關(guān)主機是連接到一個網(wǎng)絡(luò)上的，所以它還將在每個網(wǎng)絡(luò)有很多的IP地址，它有一個物理地址和發(fā)送到網(wǎng)絡(luò)幀中繼端是網(wǎng)關(guān)。

以太網(wǎng)填充了一個物理地址，也就是網(wǎng)絡(luò)接口的幀的一個物理地址，它是由網(wǎng)卡發(fā)送出去，并傳送到物理線路上的。因此，如果一個局域網(wǎng)是通過一根細網(wǎng)或者是粗網(wǎng)連接的，那么電纜傳輸信號的數(shù)字信號就可以達到對線的每個主機。然后使用集線器時，傳送的信號就是從一個集線器進入到另一個集線器的，在此基礎(chǔ)之上，再對各線連接到集線器上。從物理線路上發(fā)送的數(shù)字信號能夠連接到集線器上的每一個主機。如果主機接到了網(wǎng)絡(luò)接口的數(shù)字信號，那么在正常狀態(tài)下的網(wǎng)絡(luò)接口進行讀取的數(shù)據(jù)幀，如果在物理地址的數(shù)據(jù)幀進行他們獨自的物理地址就是廣播地址的話，那么就會把數(shù)據(jù)幀到IP層軟件。事實上，任何一個到達網(wǎng)絡(luò)接口的數(shù)據(jù)幀都要經(jīng)歷這樣一個過程。然而，如果主機處在被監(jiān)聽的狀態(tài)下，那么全部的數(shù)據(jù)幀就會被移送至上層協(xié)議軟件，該軟件會對相關(guān)信息進行處理。如果遇到這種狀況，也就是有目的地將主機設(shè)成為監(jiān)聽模式，那么在局域網(wǎng)內(nèi)傳送的全部數(shù)據(jù)都將被掌握。假如這些數(shù)據(jù)沒有經(jīng)過加密處理，那么將會被出現(xiàn)泄密的狀況。

3 預(yù)防網(wǎng)絡(luò)監(jiān)聽的幾點對策

3.1 引進加密技術(shù)，使傳輸文件處于加密狀態(tài)

上文已經(jīng)闡述了，如果主機設(shè)置為監(jiān)聽模式，那么局網(wǎng)中任何數(shù)據(jù)的傳輸主機都將偷竊。然而，如果偷竊者獲得的數(shù)據(jù)都是加密的，它即便收到這個數(shù)據(jù)包，也無用，因為密碼無法解。因此，加密通常是局網(wǎng)預(yù)防監(jiān)聽的有效方法之一。如果數(shù)據(jù)加了密，那么雖然依靠監(jiān)聽可以獲得發(fā)送的數(shù)據(jù)信息，不過，其信息是亂碼的。因此，即使得到了數(shù)據(jù)，也是一堆垃圾，起不到任何作用。

現(xiàn)在關(guān)于傳輸加密的方法非常多，IPSec協(xié)議是最常用的。IPSec具有三種操作方法，一種是接受者條件，一種是強迫使用，最后一種是不用。舉個例子來說，如果一臺主機向另一臺主機傳送數(shù)據(jù)資料，那么這兩臺機就會進行一定的協(xié)商，其中就有是否要使用IPSec技術(shù)加密數(shù)據(jù)。第一種是接受者條件，也就是說在協(xié)商過程里，第一臺主機與第二臺主機討論是否使用IPSec技術(shù)對數(shù)據(jù)進行加密。倘若第二臺主機不同意使用，那么就要運用明文傳輸。反過來，要是第二臺主機同意使用IPSec加密，那么第一臺主機就會對數(shù)據(jù)進行加密，然后再進行傳送。經(jīng)過這種加密技術(shù)的加密，通常情況下是不會被解密的。除此之外最為重要的是，不管是加密還是解密，對于用戶來講，其都處在透明狀態(tài)。也就是說，如果網(wǎng)絡(luò)管理者使用了IPSec技術(shù)，那么就不必添加多余的東西了。在運用加密方法時，需要注意一些問題，譬如說要學(xué)會如何配置IPSec策略。第二種是必須使用，也就是說，無論是第一臺主機，還是第二臺主機，都需要支持IPSec技術(shù)，否則，傳輸就會以失敗告終。另外一種情況是，要強迫加密的話，那么雙方務(wù)必都要獲得IPSec技術(shù)的支持，若不然，那么也有可能使得通信以失敗收場。

3.2 采用多種方式對網(wǎng)絡(luò)物理進行分段

從上文的原理分析能夠明白，如果某部門的某一員工能夠使用網(wǎng)絡(luò)向該部門的主管傳送一份密函，那么此文件將被傳輸?shù)骄W(wǎng)絡(luò)。如果該部門以及其它部門是用路由器代替交換機或者共享集線器進行連接的，那么這種連接方式就能夠很好地預(yù)防網(wǎng)絡(luò)監(jiān)聽的發(fā)生。舉個例子來說，某個員工要向某個領(lǐng)導(dǎo)傳送一份資料，如果不使用路由器分割，那么這個消息將被劃分為多個數(shù)據(jù)包，在內(nèi)部局域網(wǎng)傳輸。反之，倘若我們在連接某部門與其它部門的網(wǎng)絡(luò)時使用路由器，那么在傳輸過程中，路由器就會先檢查數(shù)據(jù)包的IP地址，然后再進行傳送。這種情況下，只有相對的IP地址的網(wǎng)絡(luò)能接收該數(shù)據(jù)包，此數(shù)據(jù)包也不會被別的不是路由器的接口收到。很明顯，采用路由器這樣的設(shè)備進行數(shù)據(jù)包處理，則能夠有效減少網(wǎng)絡(luò)中的數(shù)據(jù)包的通信范圍，讓數(shù)據(jù)包可以在最小的區(qū)域內(nèi)傳播。除此之外，這種方法還能夠有效減輕網(wǎng)絡(luò)寬帶所承受的壓力。簡言之，通過對網(wǎng)絡(luò)進行物理分段，可以將數(shù)據(jù)包存放在一個比較狹小的空間里，減輕了寬帶的壓力，從而有效提高了網(wǎng)絡(luò)的性能。如果遭遇了DDoS這樣的破壞，還可以有效避免傷害。

3.3 網(wǎng)絡(luò)工具防御

現(xiàn)在科技發(fā)達，有許多工具可以讓我們發(fā)現(xiàn)系統(tǒng)中的漏洞，如SATAN等。SATAN是可以分析網(wǎng)絡(luò)的管理、測試和報告許多信息，識別一些與網(wǎng)絡(luò)相關(guān)的安全問題。安裝防火墻，防火墻型安全保障技術(shù)是基于被保護網(wǎng)絡(luò)具有明確定義的邊界和服務(wù)、并且只有來自外部的網(wǎng)絡(luò)才能威脅到網(wǎng)絡(luò)的安全。

不過，這也只是通過網(wǎng)絡(luò)分段的方法進行網(wǎng)絡(luò)監(jiān)聽的預(yù)防，因此，還是存在只能降低入侵網(wǎng)絡(luò)概率，而在網(wǎng)段中，仍舊無法有效制止網(wǎng)絡(luò)監(jiān)聽。

參考文獻：

[1]蔡皖東.網(wǎng)絡(luò)與信息安全[M].西安：西北工業(yè)大學(xué)出版社，2011.

[2]程先海.計算機網(wǎng)絡(luò)技術(shù)基礎(chǔ)及應(yīng)用[M].北京：機械工業(yè)出版社，2012.

作者簡介：李洪洋，男，工程師，本科，主要從事計算機業(yè)務(wù)應(yīng)用及網(wǎng)絡(luò)管理。

作者單位：山東消防總隊，濟南 250102