淺論網絡偵聽與常見防范措施

何英畏

摘要：現在不少的網絡管理工具，通過網絡偵聽可以截取別人發送的郵件、聊天信息和訪問網頁的內容等等。可見，惡意的網絡偵聽會給網絡安全施以致命一擊。

關鍵詞：網絡偵聽；接品

我們在電視或者電影中經常會看到這樣的情景，在某個家庭的電話線總線上，拉出一根電話分線，就能對這個電話進行竊聽?，F在這種方式在網絡中也逐漸蔓延開來。由于局域網中采用的是廣播方式，因此在某個廣播域中(往往一個局域網就是一個廣播域)，可以偵聽到所有的信息包。而惡意偵聽者通過對信息包進行分析，就能夠非法竊取局域網上傳輸的一些重要信息。如現在很多黑客在入侵時，都會把局域網掃描與偵聽作為他們入侵之前的準備工作。因為憑借這些方式，他們可以輕易獲得用戶名、密碼等重要的信息?，F在不少的網絡管理工具，通過網絡偵聽還可以截取別人發送的郵件、聊天信息和訪問網頁的內容等等?？梢姡瑦阂獾木W絡偵聽，會給網絡安全施以致命一擊。

1 網絡偵聽的工作原理

Ethernet協議的工作方式是將要發送的數據包發往連接在一起的所有主機，在包頭中包括有應該接收數據包的主機的正確地址，因為只有與數據包中目標地址一致的那臺主機才能接收到信息包，但是當主機工作在監聽模式下的話不管數據包中的目標物理地址是什么，主機都將可以接收到。許多局域網內有十幾臺甚至上百臺主機是通過一個電纜、一個集線器連接在一起的，在協議的高層或者用戶來看，當同一網絡中的兩臺主機通信的時候，源主機將寫有目的的主機地址的數據包直接發向目的主機，或者當網絡中的一臺主機同外界的主機通信時，源主機將寫有目的的主機IP地址的數據包發向網關。但這種數據包并不能在協議棧的高層直接發送出去，要發送的數據包必須從TCP/IP協議的IP層交給網絡接口，也就是所說的數據鏈路層。網絡接口不會識別IP地址的。在網絡接口由IP層來的帶有IP地址的數據包又增加了一部分以太幀的幀頭的信息。在幀頭中，有兩個域分別為只有網絡接口才能識別的源主機和目的主機的物理地址這是一個48位的地址，這個48位的地址是與IP地址相對應的，換句話說就是一個IP地址也會對應一個物理地址。對于作為網關的主機，由于它連接了多個網絡，它也就同時具備有很多個IP地址，在每個網絡中它都有一個。而發向網絡外的幀中繼攜帶的就是網關的物理地址。

Ethernet中填寫了物理地址的幀從網絡接口中，也就是從網卡中發送出去傳送到物理的線路上。如果局域網是由一條粗網或細網連接成的，那么數字信號在電纜上傳輸信號就能夠到達線路上的每一臺主機。再當使用集線器的時候，發送出去的信號到達集線器，由集線器再發向連接在集線器上的每一條線路。這樣在物理線路上傳輸的數字信號也就能到達連接在集線器上的每個主機了。當數字信號到達一臺主機的網絡接口時，正常狀態下網絡接口對讀入數據幀進行檢查，如果數據幀中攜帶的物理地址是自己的或者物理地址是廣播地址，那么就會將數據幀交給IP層軟件。對于每個到達網絡接口的數據幀都要進行這個過程的。但是當主機工作在監聽模式下的話，所有的數據幀都將被交給上層協議軟件處理。

在這種工作模式下，若把惡意主機設置為偵聽模式，則其可以了解在局域網內傳送的所有數據。如果這些數據沒有經過加密處理的話，那么后果就可想而知了。

2 網絡偵聽的常見防范措施

2.1 采用加密技術，實現密文傳輸

從上面的分析中，我們看到，若把主機設置為偵聽模式的話，則局域網中傳輸的任何數據都可以被主機所竊聽。但是，若竊聽者所拿到的數據是被加密過的，則其即使拿到這個數據包，也沒有用處，無法解密。所以，比較常見的防范局域網偵聽的方法就是加密。數據經過加密之后，通過偵聽仍然可以得到傳送的信息，但是，其顯示的是亂碼。結果是，其即使得到數據，也是一堆亂碼，沒有多大的用處。

現在針對這種傳輸的加密手段有很多，最常見的如IPSec協議。Ipsec有三種工作模式，一是必須強制使用，二是接收方要求，三是不采用。當某臺主機A向主機B發送數據文件的時候，主機A與主機B是會先進行協商，其中包括是否需要采用IPSec技術對數據包進行加密。一是必須采用，也就是說，無論是主機A還是主機B都必須支持IPSec，否則的話，這個傳輸將會以失敗告終。二是請求使用，如在協商的過程中，主機A會問主機B，是否需要采用IPSec。若主機B回答不需要采用，則就用明文傳輸，除非主機A的IPSec策略設置的是必須強制使用。若主機B回答的是可以用IPSec加密，則主機A就會先對數據包進行加密，然后再發送。經過IPSec技術加密過的數據，一般很難被破解。而且，重要的是這個加密、解密的工作對于用戶來說，是透明的。也就是說，網絡管理員只需要配置好IPSec策略，不需要額外的操作。在使用這種加密手段的時候，唯一需要注意的就是如何設置IPSec策略。若使用強制加密的情況下，一定要保證通信的雙方都支持IPSec技術，否則的話，就可能會導致通信的不成功。

2.2 利用路由器等網絡設備對網絡進行物理分段

從上面的網絡偵聽原理中可以看出，如果人事部門的某位職工通過網絡發送一份機密文件給部門科長，其結果是此文件會在整個網絡內進行傳送。若人事部門跟其他部門之間不是利用共享式集線器或者普通交換機進行連接，而是利用路由器進行連接的話，就可以起到很好的防范網絡偵聽的問題。例如，當職工A發信息給部門科長B的時候，若不采用路由器進行分割，則這份郵件會分成若干個數據包在整個局域網內部進行傳送。相反，若我們利用路由器來連接人事部門跟其他部門的網絡，則數據包傳送到路由器之后，路由器會檢查數據包的目的IP地址，然后根據這個IP地址來進行轉發。此時，就只有對應的IP地址網絡可以收到這個數據包，而其他不相關的路由器接口就不會收到這個數據包。很明顯，利用路由器進行數據包的預處理，就可以有效的減少數據包在網絡中傳播的范圍，讓數據包能夠在最小的范圍內傳播。

另外，利用這種方法還可以減輕網絡帶寬的壓力。通過對網絡進行物理分段，從而把數據包控制在一個比較小的范圍之內，可以節省網絡帶寬，提高網絡的性能。特別在遇到DDOS等類似攻擊的時候，可以減少其危害性。

2.3 利用虛擬局域網實現網絡分段

利用路由器這種網絡硬件來實現網絡分段，這需要購買路由器等設備。從經濟的角度考慮，我們也可以利用一些交換機實現網絡分段的功能。如有些交換機支持虛擬局域網技術，就可以利用它來實現網絡分段，減少網絡偵聽的可能性。虛擬局域網的分段作用跟路由器類似，可以把整個局域網分割成一個個的小段，讓數據包在小段內傳輸，將以太網通信變為點到點的通信，從而可以防止大部分網絡偵聽的入侵。

不過，這畢竟還是通過網絡分段來防止網絡偵聽，所以，也存在著只能減少網絡偵聽入侵的幾率，而在某個網段內，仍然不能夠有效避免網絡偵聽。

所以，筆者還是推薦采用加密技術來防范網絡偵聽所帶來的危害，特別是防止用戶名、密碼等關鍵信息被竊聽。