網(wǎng)絡(luò)監(jiān)聽技術(shù)簡析

摘要：本文主要對網(wǎng)絡(luò)管理中的網(wǎng)絡(luò)監(jiān)聽技術(shù)進行了探討。介紹了網(wǎng)絡(luò)監(jiān)聽的雙面性。網(wǎng)絡(luò)監(jiān)聽的定義和基本原理，對網(wǎng)絡(luò)監(jiān)聽的用途和當前的一些網(wǎng)絡(luò)監(jiān)聽工具進行了分析。

關(guān)鍵詞：網(wǎng)絡(luò)監(jiān)聽 入侵檢測

在網(wǎng)絡(luò)安全上，網(wǎng)絡(luò)監(jiān)聽一直被認為是一個比較敏感的話題，作為一個已經(jīng)發(fā)展相對成熟的技術(shù)，網(wǎng)絡(luò)監(jiān)聽在協(xié)助管理員進行網(wǎng)絡(luò)數(shù)據(jù)檢測、網(wǎng)絡(luò)故障排除等方面都具有不可替代的作用，從而深受廣大網(wǎng)絡(luò)管理員的青睞。但是，從另外一個方面來講，網(wǎng)絡(luò)監(jiān)聽也給網(wǎng)絡(luò)安全帶來了巨大的隱患，在網(wǎng)絡(luò)監(jiān)聽行為的同時往往會伴隨著大量的網(wǎng)絡(luò)若親，從而導(dǎo)致了一系列的敏感數(shù)據(jù)被盜等安全事件的發(fā)生。

1、網(wǎng)絡(luò)監(jiān)聽的定義

網(wǎng)絡(luò)監(jiān)聽，亦稱為網(wǎng)絡(luò)嗅探，是利用計算機的網(wǎng)絡(luò)接口監(jiān)視并查看網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包的一種技術(shù)。它工作在網(wǎng)絡(luò)的底層，能夠把網(wǎng)絡(luò)中傳輸?shù)娜繑?shù)據(jù)記錄下來。監(jiān)聽器(sniffer)不僅可以幫助網(wǎng)絡(luò)管理員查找網(wǎng)絡(luò)漏洞和檢測網(wǎng)絡(luò)性能，還可以分析網(wǎng)絡(luò)的流量，以便找出網(wǎng)絡(luò)中存在的潛在問題。不同傳輸介質(zhì)的網(wǎng)絡(luò)，其可監(jiān)聽性是不同的。我們一般認為網(wǎng)絡(luò)監(jiān)聽是指在運行以太網(wǎng)協(xié)議、TCP/IP協(xié)議、IPX協(xié)議或者其他協(xié)議的網(wǎng)絡(luò)上，可以攫取網(wǎng)絡(luò)信息流的軟件或硬件。網(wǎng)絡(luò)監(jiān)聽早期主要是分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。網(wǎng)絡(luò)監(jiān)聽的存在對網(wǎng)絡(luò)系統(tǒng)管理員是至關(guān)重要的，網(wǎng)絡(luò)系統(tǒng)管理員通過網(wǎng)絡(luò)監(jiān)聽可以診斷出大量的不可見模糊問題（如網(wǎng)絡(luò)瓶頸、錯誤配置等），監(jiān)視網(wǎng)絡(luò)活動，完善網(wǎng)絡(luò)安全策略，進行行之有效的網(wǎng)絡(luò)管理。

2、網(wǎng)絡(luò)監(jiān)聽的工作原理

在以太網(wǎng)中，所有的通訊都是“廣播”式的，也就是說通常同一個網(wǎng)段的所有網(wǎng)絡(luò)接口都可以訪問在信道上傳輸?shù)乃袛?shù)據(jù)。在一個實際系統(tǒng)中，數(shù)據(jù)的收發(fā)是由網(wǎng)卡來完成，每個網(wǎng)卡都有一個唯一的MAC地址。網(wǎng)卡接收到傳輸來的數(shù)據(jù)以后，網(wǎng)卡內(nèi)的單片程序檢查數(shù)據(jù)幀的目的MAC地址，根據(jù)計算機上的網(wǎng)卡驅(qū)動程序設(shè)置的接收模式來判斷該不該接收該幀。若認為應(yīng)該接收，則接收后產(chǎn)生中斷信號通知CPU，若認為不該接收則丟棄不管。正常情況下，網(wǎng)卡應(yīng)該只是接收發(fā)往自身的數(shù)據(jù)包，或者廣播和組播報文，對不屬于自己的報文則不予響應(yīng)。可如果網(wǎng)卡處于混雜模式，那么它就能接收一切流經(jīng)它的數(shù)據(jù)，而不管該數(shù)據(jù)幀的目的地址是否是該網(wǎng)卡。因此，只要將網(wǎng)卡設(shè)置成混雜模式(promiscuous)，那么它就可以捕獲網(wǎng)絡(luò)上所有的報文和幀，這樣也就達到了網(wǎng)絡(luò)監(jiān)聽的目的。由此可見，網(wǎng)絡(luò)監(jiān)聽必須要滿足兩個條件:①網(wǎng)絡(luò)上的通訊是廣播型的;②網(wǎng)卡應(yīng)設(shè)置為混雜模式。

3、網(wǎng)絡(luò)監(jiān)聽的用途

在網(wǎng)絡(luò)安全領(lǐng)域中，網(wǎng)絡(luò)監(jiān)聽占有極其重要的作用。網(wǎng)絡(luò)監(jiān)聽程序通常有兩種形式：一是商業(yè)網(wǎng)絡(luò)監(jiān)聽，二是黑客所使用的。商業(yè)網(wǎng)絡(luò)監(jiān)聽用于維護網(wǎng)絡(luò)，對于網(wǎng)絡(luò)管理者，監(jiān)聽也是監(jiān)控本地網(wǎng)絡(luò)狀況的直接手段，監(jiān)聽還是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的必要基礎(chǔ)。具體來說就是：1.把網(wǎng)絡(luò)中的數(shù)據(jù)流轉(zhuǎn)化成可讀格式。2.進行性能分析以發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸。 3.入侵檢測以發(fā)現(xiàn)外界入侵者。4.生成網(wǎng)絡(luò)活動日志和安全審計。 5.進行故障分析以發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的問題。

4、常用的網(wǎng)絡(luò)監(jiān)聽工具

Network General：Network General開發(fā)了多種產(chǎn)品。最重要的是Expert Sniffer，它不僅僅可以sniffing，還能夠通過高性能的專門系統(tǒng)發(fā)送/接收數(shù)據(jù)包。還有一個增強產(chǎn)品Distributed Snuffer System，可以將UNIX工作站作為Sniffer控制臺，而將Sniffer Agents分布到遠程主機上。

Microsoft’s Net Monitor：對于某些商業(yè)站點，可能同時需要運行多種協(xié)議如NetBEUI、IPX/SPX、TCP/IP、802.3和SNA等。這時很難找到一種Sniffer幫助解決網(wǎng)絡(luò)問題，因為許多Sniffer往往將某些正確的協(xié)議數(shù)據(jù)包當成了錯誤數(shù)據(jù)包。Microsoft的Net Monitor可以解決這個難題。它能夠正確區(qū)分諸如Netware控制數(shù)據(jù)包、NetBios名字服務(wù)廣播等獨特的數(shù)據(jù)包。這個工具運行在MS Windows平臺上。它甚至能夠按MAC地址（或主機名）進行網(wǎng)絡(luò)統(tǒng)計和會話信息監(jiān)視。只需簡單地單擊某個會話即可獲得tcpdump標準的輸出。過濾器設(shè)置也是最為簡單的，只要在一個對話框中單擊需要監(jiān)視的主機即可。

WinDump：最經(jīng)典的Unix平臺上的tepdump的Windows移植版，和tepdump幾乎完全兼容，采用命令行方式運行。

Tcpdump：最經(jīng)典的網(wǎng)絡(luò)監(jiān)聽工具，被大量的Unix系統(tǒng)采用。

Dsniff：作者設(shè)計的出發(fā)點是用這個東西進行網(wǎng)絡(luò)滲透測試，包括一套小巧好用的小工具，主要目標放在口令、用戶訪問資源等敏感資料上。

參考文獻：

[1]毛碧波，孫玉芳，“角色訪問控制”[J].計算機科學(xué)， 2003·1， 121～123·

[2]宋志敏等.“數(shù)據(jù)庫安全的研究與進展”[J].計算機工程與應(yīng)用，2001·1， 85～87·

[3]魏洪濤等.“基于Web的管理信息系統(tǒng)的安全模型設(shè)計”[J].計算機應(yīng)用， 2003·5， 77～80·

[4]喻卓彥.局域網(wǎng)網(wǎng)絡(luò)監(jiān)聽技術(shù)概述[J].信息通信，2011，4

[5]郭偉.網(wǎng)絡(luò)監(jiān)聽技術(shù)的應(yīng)用[J].十堰職業(yè)技術(shù)學(xué)院學(xué)報，2010，8