局域網中網絡監聽與防范技術

張輝 郭杜娟 張洪軍

摘要：本文主要針對局域網中常用的網絡監聽等技術的實現方法和防范措施進行了詳細的研究與分析，分析表明不同局域網應用范圍和使用環境下應該采用不同的安全控制策略和相應的技術，提出了一系列的安全控制策略，列舉了一些常見的局域網攻擊方法，并總結了對應的防范措施。

關鍵詞：局域網;網絡監聽;防范措施

前言

計算機局域網的應用在現代社會各行各業中起著舉足輕重作用。目前比較常見的局域網攻擊類型有DoS攻擊、ARP攻擊、網絡監聽等等，為了確保所有組網部件能根據需求提供必要的功能且只有授權者可以訪問網絡，并且應能保證其信息完整、準確地傳播，必須對大多數常見的局域網攻擊的原理以及步驟有所了解，并對應的掌握一定的防范的方法。

1.局域網中網絡監聽與防范技術

網絡監聽技術是利用計算機的網絡接口截獲目的地為其它計算機的數據報文的一種技術。網絡監聽器（sniffer）原來是提供給網絡管理員的一類管理工具，使用這組工具可以監視網絡的狀態、數據流動情況以及網絡上傳出的消息，并利用這些消息來排除網絡故障。

1.1網絡監聽的實現

按傳輸技術計算機網絡可以分為兩種：點到點網絡和廣播式網絡。局域網下目前以廣播式的共享網絡居多，由于局域網下的數據傳輸主要是在數據鏈路層進行的，因此監聽也集中在這一層實現。

1.1.1共享式局域網監聽

共享式局域網采用的是廣播信道，每一臺主機都共享一條網絡總線，這意味著所有的主機都可以接收到總線上的數據包。但我們實際情況是每個主機只接受發給它的數據包，丟棄不屬于自己的數據包，這是通過每臺主機網卡上唯一的MAC?地址實現的。只有當數據包中目的地址與自己的MAC地址相同，主機才接收該數據包，否則不接受該數據包。

1.1.2交換式局域網的監聽

標準的交換式網絡是基于數據鏈路層的點到點信道，在交換式局域網中可以通過以下3種方法達到監聽的目的。

（1）MAC?洪水（MAC?Flooding）：交換機要負責建立兩個節點之間的“虛電路”，就必須維護一張交換機端口與MAC地址的映射表。

（2）MAC?復制（MAC?Duplicating）：由于很多網卡允許修改內部的MAC?地址，所以可以利用這一點修改本地的MAC?地址，使它和被監聽主機的MAC?地址相同，這樣，交換機就會發現，有兩個端口對應相同的MAC?地址，于是到該MAC?地址的數據包將同時從這兩個交換機端口發送出去。

（3）ARP?欺騙（ARP?Spoofing）：ARP?欺騙能夠實現的主要原因是ARP?協議在早期設計上的缺陷造成的。

下面舉例詳細說明ARP?欺騙的過程。假設在局域網中有3臺主機通過交換機相連，正常情況下，主機B?是收不到主機A?與主機C?之間的通信報文的，如果主機B要監聽主機A?與主機C?的通信報文，那么主機B?就要分別向主機A?和主機C?發送假冒的ARP?應答包。對于主機B?發往主機A?的應答包中IP?地址與MAC?地址的對應關系是：主機C?的IP?地址：192.168.100.3對應主機B?的MAC?地址：00-51-24-35-33-02，這樣在主機A?收到應答包后會刷新自己本地的ARP?表。這樣當主機A?要發往主機C?的報文實際上已發給了主機B，因為數據包是根據MAC?地址發送的而不是根據IP?地址發送的。同樣對于主機B?發往主機C?的應答包中IP?地址與MAC?地址的對應關系是：主機A?的IP?地址：192.168.100.1對應主機B?的MAC地址：00-51-24-35-33-02。這樣就可監聽主機A?與主機C?之間的所有報文了，這里，主機B相當于充當了一個中間人的角色，因此這種監聽方法被稱為“Man-In-The-Middle?”方法。

1.2網絡監聽的防范

針對網絡監聽的防范主要有兩方面組成：被動防范與主動檢測。被動防范是指從網絡自身的完整性出發，加強相關的防范措施，將網絡監聽所能利用的漏洞降至最低，不給網絡監聽任何機會。主動檢測是指主動出擊把局域網中的監聽主

機挖掘出來，并對監聽主機進行定位，最大可能的防止信息的泄漏。

1.2.1被動防范

被動防范常用的方法主要有以下幾種：

（1）分割網段：細化網絡會使得局域網中被監聽的可能性減小，這是因為局域網下的各種監聽方法無法跨網段進行，使用交換機、網橋等設備就可以有效地阻止被竊聽。

（2）使用靜態ARP?表：靜態ARP?表采用手工輸入的方法，在連網的過程中不處理ARP?響應包，不對ARP表做任何修改。

（3）數據加密這種方法的初衷就是即使監聽者可以監聽到信息，也無法閱讀信息。有很多加密技術，?PGP（Pretty?Good?Privacy）?and?S/MIME?（Secure?MIME）：是用于E-mail?信息加密的兩種技術。

SSh（Secure?Shell）：目前已經替代Telnet成為遠程登錄Unix系統的標準程序，而且其它很多協議也可以通過SSh?進行隧道傳輸。

VPN（Virtual?Private?Networks）：可以在Internet?上提供一條加密通道，但是如果黑客連接到VPN?網絡的某個終端結點，他仍然可以竊聽到網絡數據。

1.2.2主動檢測

（1）MAC檢測：網卡處于混雜模式時，它會將所有接收到的數據都向內核協議棧提交，而很多操作系統內核的協議棧并不對底層提交的數據幀的目的MAC地址進行檢查，或者只進行簡單的檢查。

（2）DNS?檢測：許多竊聽程序對所聽到IP?地址會自動發一些反向DNS?請求，因此可以通過觀察DNS?相關數據包探測到監聽。你可以對一個根本不存在的IP?地址發Ping?命令，只有監聽程序聽到此數據包后會對該地址發反向的DNS?請求，通過這樣的方法，我們也可以簡單地進行探測。

（3）負載檢測：直接的選擇是使用ICMP?應答請求，然而許多操作系統的TCP/IP?協議棧總是對ICMP?包盡快處理：一接收到ICMP?應答請求包，系統就立即進行應答。

與局域網類似，廣域網下同樣存在著諸如IP?欺騙、DNS?欺騙、路由欺騙等網絡監聽的手段，也應加強對這一方面防范措施的研究工作，使攻擊者無機可乘。

參考文獻：

[1]周明全、呂林濤、李軍懷網絡信息安全技術，西安電子科技大學出版社，2008年

[2]周良洪，信息網絡安全概論，群眾出版社，2005年3月

[3]荊繼武，信息安全技術教程，中國人民公安大學出版社，2007年

[4]龐南，信息安全管理教程，中國人民公安大學出版社，2007年