檢測和防范局域網(wǎng)監(jiān)聽方法的討論研究

摘要：本文通過對局域網(wǎng)監(jiān)聽技術(shù)基本工作原理的研究，分析了在局域網(wǎng)特別是以太網(wǎng)中檢測網(wǎng)絡(luò)監(jiān)聽的方法，并結(jié)合實(shí)際工作情況總結(jié)了一些檢測監(jiān)聽的方法和防范監(jiān)聽的措施，詳細(xì)設(shè)計(jì)了幾種常見的防范局域網(wǎng)監(jiān)聽方法：Ping、交換式集線器、劃分VLAN、訪問控制、靜態(tài)ARP、加密技術(shù)、防御軟件、安全意識(shí)等。

關(guān)鍵詞：網(wǎng)絡(luò)安全；監(jiān)聽檢測；監(jiān)聽防范；方法

中文圖書分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044(2008)15-20ppp-0c

LAN Monitoring Detection and Prevention Methods Discussed

LIU Ru

(The Xiangfan Power of Wuhan Railway Bureau，Xiangfan 441003，China)

Abstract:Based on the LAN Sniffer Technology basic tenets of research，analysis in a particular Ethernet LAN Network Sniffer detection method，combined with the actual work of summing up some of the methods and monitoring measures to prevent eavesdropping the detailed design Several common methods to prevent eavesdropping LAN: Pingwitching hubs，of VLAN，access control，static ARP，encryption technology，defense software，security awareness.

Key words:Network Security;Detection Monitoring;Prevent Eavesdropping;Method

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)在辦公中扮演的角色越來越重要，數(shù)據(jù)的傳輸、資源的共享簡化了辦公流程，加快了辦事的效率，但由于網(wǎng)絡(luò)連接的自由性和信息的可復(fù)制性，也使網(wǎng)絡(luò)安全逐漸成為人們關(guān)注的一個(gè)熱點(diǎn)，信息泄露現(xiàn)象越來越普遍。一旦諸如口令、賬號(hào)等被截獲，則可以非常容易地實(shí)現(xiàn)對整個(gè)局域網(wǎng)的控制。

在表1中，以太網(wǎng)和環(huán)網(wǎng)是不需要搭線或通過主機(jī)設(shè)備就可進(jìn)行監(jiān)聽，目前多數(shù)局域網(wǎng)以以太網(wǎng)為主，當(dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時(shí)，便可以使用網(wǎng)絡(luò)監(jiān)聽的方式來進(jìn)行攻擊。因而檢測和防范此類網(wǎng)絡(luò)監(jiān)聽就顯得尤其重要。

2 局域網(wǎng)監(jiān)聽技術(shù)的定義及原理

局域網(wǎng)技術(shù)是把分散在較小地理范圍中的計(jì)算機(jī)、終端、外圍設(shè)備、網(wǎng)絡(luò)設(shè)備等各種數(shù)據(jù)通信設(shè)備相互連接起來，以很高的速度進(jìn)行通信的技術(shù)。在局域網(wǎng)線路上傳輸?shù)臄?shù)據(jù)是以數(shù)據(jù)包為單位的，主機(jī)的局域網(wǎng)卡負(fù)責(zé)發(fā)送和接收數(shù)據(jù)包。局域網(wǎng)系統(tǒng)有一條共享信道，各主機(jī)平等地、隨機(jī)地競爭在信道上傳輸數(shù)據(jù)包的機(jī)會(huì)。某一主機(jī)發(fā)送數(shù)據(jù)包，數(shù)據(jù)包會(huì)在共享信道上廣播到每一個(gè)主機(jī)，主機(jī)局域網(wǎng)卡根據(jù)地址選取發(fā)給本機(jī)的數(shù)據(jù)包，過濾掉發(fā)給其他主機(jī)的數(shù)據(jù)包。如果網(wǎng)絡(luò)中某個(gè)網(wǎng)卡的物理地址不確定，那么該網(wǎng)卡將接收所有在局域網(wǎng)中傳輸?shù)臄?shù)據(jù)包，無論該數(shù)據(jù)數(shù)據(jù)包中攜帶的目標(biāo)地址是廣播地址還是某一指定的地址，這就形成了局域網(wǎng)的監(jiān)聽。如果局域網(wǎng)中的某一臺(tái)主機(jī)被設(shè)置成監(jiān)聽模式，它就成了一個(gè)網(wǎng)絡(luò)嗅探器，英文稱為Sniffer。在局域網(wǎng)中，Sniffer收集局域網(wǎng)上傳送的數(shù)據(jù)包中的數(shù)據(jù)，這些數(shù)據(jù)可以是用戶的賬號(hào)和密碼，也可以是一些機(jī)密文件和重要數(shù)據(jù)等等。Sniffer通常運(yùn)行在路由器或有路由器功能的主機(jī)上，這樣能對大量的數(shù)據(jù)進(jìn)行監(jiān)控。使用Sniffer進(jìn)行監(jiān)聽的網(wǎng)絡(luò)可以是運(yùn)行在各種協(xié)議之下的，也可以是其中幾種協(xié)議的聯(lián)合。由此可見，Sniffer幾乎能監(jiān)聽和捕獲到任何局域網(wǎng)上傳送的數(shù)據(jù)包。

3 檢測局域網(wǎng)監(jiān)聽的方法

3.1 Ping方法

這種檢測原理基于以太網(wǎng)的數(shù)據(jù)鏈路層和TCP/IP網(wǎng)絡(luò)層的實(shí)現(xiàn)，是一種非常有效的測試方法。

Ping法的原理：如果一個(gè)以太網(wǎng)的數(shù)據(jù)包的目的MAC地址不屬于本機(jī)，該包會(huì)在以太網(wǎng)的數(shù)據(jù)鏈路層上被拋棄，無法進(jìn)入TCP/IP網(wǎng)絡(luò)層；進(jìn)入TCP/IP網(wǎng)絡(luò)層的數(shù)據(jù)包，如果解析該包后，發(fā)現(xiàn)這是一個(gè)包含本機(jī)ICMP回應(yīng)請示的TCP包（Ping則網(wǎng)絡(luò)層向該包的發(fā)送主機(jī)發(fā)送ICMP回應(yīng)。

我們可以構(gòu)造一個(gè)Ping含正確的IP地址和錯(cuò)誤的MAC地址，其中IP地址是可疑主機(jī)的IP地址，MAC地址是偽造的，這樣如果可疑主機(jī)的網(wǎng)卡工作在正常模式，則該包將在可疑主機(jī)的以太網(wǎng)的數(shù)據(jù)鏈路層上被丟棄，TCP/IP網(wǎng)絡(luò)層接收不到數(shù)據(jù)因而也不會(huì)有什么反應(yīng)。如果可疑主機(jī)的網(wǎng)卡工作在混雜模式，它就能接收錯(cuò)誤的MAC地址，該非法包會(huì)被數(shù)據(jù)鏈路層接收而進(jìn)入上層的TCP/IP網(wǎng)絡(luò)層，TCP/IP網(wǎng)絡(luò)層將對這個(gè)非法的Ping回應(yīng)，從而暴露工作模式。

使用Ping步驟如下：

a.假設(shè)可疑主機(jī)的IP地址為192.168.10.11，MAC地址是00-E0-4C-3A-4B-A4，檢測者和可疑主機(jī)位于同一網(wǎng)段。

b.稍微修改可疑主機(jī)的MAC地址，假設(shè)改成00-E0-4C-3A-4B-A4。

c.向可疑主機(jī)發(fā)送一個(gè)Ping含它的IP和改動(dòng)后的MAC地址。

d.沒有被監(jiān)聽的主機(jī)不能夠看到發(fā)送的數(shù)據(jù)包，因?yàn)檎５闹鳈C(jī)檢查這個(gè)數(shù)據(jù)包，比較數(shù)據(jù)包的MAC地址與自己的MAC地址不相符，則丟棄這個(gè)數(shù)據(jù)包，不產(chǎn)生回應(yīng)。

e.如果看到回應(yīng)，說明數(shù)據(jù)包沒有被丟棄，也就是說，可疑主機(jī)被監(jiān)聽了．

3.2 通過一些現(xiàn)象檢測

a.網(wǎng)絡(luò)通信掉包率反常的高：

通過一些網(wǎng)絡(luò)軟件，可以看到信息包傳送情況。如果網(wǎng)絡(luò)中有人在監(jiān)聽，那么信息包傳送將無法每次都順暢地傳到目的地，這是由于Sniffer攔截每個(gè)包導(dǎo)致。

b.絡(luò)帶寬出現(xiàn)反常：

通過防火墻的帶寬控制器可以實(shí)時(shí)看到當(dāng)前網(wǎng)絡(luò)帶寬的分布情況，如果某臺(tái)計(jì)算機(jī)長時(shí)間占用了較大的帶寬，對外界的響應(yīng)很慢，這臺(tái)計(jì)算機(jī)就有可能被監(jiān)聽。

c.查看Sniffer警告信息：

在一個(gè)大型網(wǎng)絡(luò)中，被安裝Sniffer的計(jì)算機(jī)會(huì)明顯加重負(fù)荷，Sniffer的日志文件會(huì)很快增大并填滿文件空間。這些警告信息能夠幫助管理員發(fā)現(xiàn)Sniffer。

d.檢測混雜模式的網(wǎng)絡(luò)接口：

一個(gè)主機(jī)上的Sniffer會(huì)將網(wǎng)絡(luò)接口置為混雜模式以接收所有數(shù)據(jù)包，因而，可通過監(jiān)測混雜模式網(wǎng)絡(luò)接口的方法來判斷是否被監(jiān)聽。雖然可以在非混雜模式下運(yùn)行Sniffer，但這樣只能捕獲本機(jī)會(huì)話，只有混雜模式下才能捕獲局域網(wǎng)中的所有會(huì)話。

3.3 ARP方法

這種模式是Ping一種變體。通過向網(wǎng)絡(luò)內(nèi)的主機(jī)發(fā)送廣播方式的ARP包，如果網(wǎng)絡(luò)內(nèi)的某臺(tái)主機(jī)響應(yīng)了這個(gè)ARP請求，那么我們就可以判斷它很有可能處于網(wǎng)絡(luò)監(jiān)聽模式。

4 局域網(wǎng)監(jiān)聽的防范方法

4.1 網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)監(jiān)聽的一種基本手段，其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法監(jiān)聽。網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。通常在保密級(jí)別相對較高的地點(diǎn)會(huì)采用物理分段的方式，而保密的級(jí)別相對較低的地點(diǎn)采用邏輯分段。物理分段是以硬件設(shè)備將網(wǎng)絡(luò)劃分成不同的網(wǎng)絡(luò)地址段。目前，絕大多數(shù)交換機(jī)都有一定的訪問控制能力，可實(shí)現(xiàn)對網(wǎng)絡(luò)的物理分段。在出現(xiàn)問題進(jìn)可以通過物理手段來斷開網(wǎng)絡(luò)以避免更大的損失。邏輯分段則通過網(wǎng)段的劃分和IP地址策略制定達(dá)到網(wǎng)絡(luò)分段的目的。對TCP/IP網(wǎng)絡(luò)，可把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)間必須通過路由器、交換機(jī)、網(wǎng)關(guān)、防火墻等設(shè)備進(jìn)行連接，利用這些中間設(shè)備的安全機(jī)制來控制各子網(wǎng)間的訪問。在實(shí)際應(yīng)用過程中，通常采取物理分段與邏輯分段相結(jié)合的方法來實(shí)現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的安全性控制。

我段根據(jù)實(shí)際情況采用網(wǎng)絡(luò)分段技術(shù)，建立安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，把網(wǎng)絡(luò)分成三個(gè)小的網(wǎng)絡(luò)，在網(wǎng)段之間通過路由器、交換機(jī)相連，實(shí)現(xiàn)相互隔離。在用戶模式下根本感覺不到網(wǎng)絡(luò)段落的存在，但是確實(shí)很好地防范了網(wǎng)絡(luò)監(jiān)聽。即使某個(gè)網(wǎng)段被監(jiān)聽了，網(wǎng)絡(luò)中的其他網(wǎng)段還是安全的。

4.2 訪問控制

訪問控制就是要對訪問的申請、批準(zhǔn)和撤銷的全過程進(jìn)行有效的控制，確保只有合法用戶的合法訪問才能被批準(zhǔn)，而且被批準(zhǔn)的訪問要進(jìn)行授權(quán)，對于每次訪問還應(yīng)該有審計(jì)跟蹤。訪問控制是局域網(wǎng)內(nèi)防止信息泄漏的重要策略，其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，常見的訪問控制策略有：

a.對計(jì)算機(jī)的使用控制：

對用戶的身份進(jìn)行鑒別，保證使用計(jì)算機(jī)的用戶合法性，禁止非法用戶操作計(jì)算機(jī)，從物理上做好訪問控制。

b.用戶權(quán)限控制：

用戶被賦予一定的權(quán)限，根據(jù)權(quán)限控制用戶可以訪問哪些資源，對這些資源可以進(jìn)行哪些操作。根據(jù)訪問權(quán)限不同，將用戶分為系統(tǒng)管理員用戶、受限用戶。并根據(jù)對資源操作的不同，訪問權(quán)限分為系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、文件查找權(quán)限等。網(wǎng)絡(luò)系統(tǒng)管理員可以為用戶指定適當(dāng)?shù)脑L問權(quán)限，同時(shí)又能有效地控制用戶對服務(wù)器資源的訪問，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。

c.網(wǎng)絡(luò)監(jiān)測和鎖定控制：

網(wǎng)絡(luò)管理員應(yīng)對網(wǎng)絡(luò)實(shí)施監(jiān)控，服務(wù)器記錄用戶對網(wǎng)絡(luò)資源的訪問。對非法的網(wǎng)絡(luò)訪問，服務(wù)器應(yīng)以文字的方式在日志中予以記錄，從而引起管理員的注意。如果非法訪問的次數(shù)達(dá)到設(shè)定數(shù)值，那么該賬戶將被自動(dòng)鎖定。

4.3 以交換式集線器代替共享式集線器

對局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，局域網(wǎng)監(jiān)聽的危險(xiǎn)仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī)。而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí)，兩臺(tái)機(jī)器之間的數(shù)據(jù)包還是會(huì)被同一臺(tái)集線器上的其他用戶監(jiān)聽。因此，以交換機(jī)式集線器代替共享式集線器，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法監(jiān)聽。

4.4 劃分VLAN

運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，可以防止大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵。VLAN內(nèi)部之間的連接采用交換來實(shí)現(xiàn)，而VLAN與VLAN間的連接則采用路由來實(shí)現(xiàn)，將其通信改為點(diǎn)對點(diǎn)的通信，能有效地防止基于廣播原理的局域網(wǎng)監(jiān)聽。在集中式網(wǎng)絡(luò)環(huán)境中，一般將中心所有主機(jī)集中到一個(gè)VLAN中，在這個(gè)VLAN中不允許有任何其它節(jié)點(diǎn)，從而較好地保護(hù)了敏感主機(jī)。

5 結(jié)束語

本文通過對局域網(wǎng)監(jiān)聽技術(shù)基本工作原理的研究，分析了在局域網(wǎng)特別是以太網(wǎng)中檢測網(wǎng)絡(luò)監(jiān)聽的方法，并結(jié)合實(shí)際工作情況總結(jié)了一些檢測監(jiān)聽的方法和防范監(jiān)聽的措施。鑒于目前的局域網(wǎng)絡(luò)安全現(xiàn)狀，我們會(huì)根據(jù)實(shí)際工作情況進(jìn)一步挖掘檢測局域網(wǎng)監(jiān)聽和防范的技術(shù)細(xì)節(jié)，從技術(shù)實(shí)現(xiàn)上掌握先機(jī)，消除給網(wǎng)絡(luò)安全還來的所有隱患。

參考文獻(xiàn)：

[1]王石，局域網(wǎng)安全與攻防[M].北京:電子工業(yè)出版社，2006:347.

[2]方欣，劉仰華.計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成[M].北京:中國水利水電出版社，2005.

[3]徐健.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).計(jì)算機(jī)系統(tǒng)應(yīng)用，2006.10.

[4](美)W.Richard Stevens.TCP/IP詳解（卷1：協(xié)議）[M].北京:機(jī)械T-業(yè)出版社，2002.

收稿日期：2008-2-10

作者簡介：劉茹（1978-），女，湖北當(dāng)陽人，武漢鐵路局襄樊供電段段長辦公室助理工程師，助理工程師，學(xué)士學(xué)位，主要從事TMIS、辦公自動(dòng)化等研究。