网络监听技术研究
局域网中网络监听技术研究.doc
局域网中网络监听技术研究作者:兰诗梅李松来源:《信息安全与技术》2013年第05期【摘要】本文对网络监听技术的概念、原理及危害进行了详细分析,并在局域网中进行了简单的实现,研究了局域网网络监听的检测和防范方法。
【关键词】局域网;网络监听;检测;防范1 引言随着因特网的不断普及和广泛应用,因特网给我们的生活带来很多便利的同时,网络安全问题给我们带来了许多的麻烦,甚至会给个人、企业甚至国家带来巨大的损失。
在局域网诸多网络安全问题中,最常遇到的安全问题就是网络监听。
局域网采用广播方式,入侵者利用监听系统可以通过局域网中的接口捕获其他计算机的数据包,这样像用户名、密码、邮件内容、QQ聊天内容等一些很隐私的重要数据都可以轻易被窃取。
因此,如何防止网络监听已成为局域网网络安全急需解决的问题。
本文首先介绍了网络监听的工作原理并利用常用的网络监听软件做了一个监听实验,然后提出了相应的防范措施。
2 网络监听技术概述2.1 网络监听技术的概念网络监听技术主要就是为了获取网络上传输的信息,网络监听技术是一种比较成熟的技术,它原本是为网络管理人员有效管理网络的工具,可以协助网络管理人员监控网络运行情况,了解网络中数据流的动向以及监控网络中传输信息的内容等,一直备受网络管理人员的喜爱。
但是网络监听技术在帮助网络管理人员有效管理网络的同时,也给网络安全带来了极大地安全隐患。
当我们将网络端口设置成为监听模式,就可以捕获在局域网中以明文形式传输的任何信息。
所以当入侵者在局域网中的一台主机上取得超级用户权限并登录以后便可使用网络监听技术捕获到网络上传输的数据。
但是,这一入侵方法只能应用于同一个网段上。
2.2 网络监听技术原理在局域网中普遍使用的网络协议是基于广播机制的IEEE802.3协议,即以太网协议。
以太网协议的主要特点是以广播的方式发送文件,在局域网中的主机很多是通过电缆或集线器连接在一起的。
当一台主机需要与另一台主机通信时,源主机会将包含目的主机地址的数据包直接发送给目的主机。
共享以太网反监听新技术的研究与实现
摘
要 :网络监 听极 大地威胁着 网络 的安全 , 如何 检测发 现监 听行为 至关重要 。根据共 享 以太 网的监 听原
理, 克服已有 检测方法 的缺 陷 , 提出并 实现了基于“ 毒害 AR P缓存 ” 攻击的检测技术 。这种新 的检测方法对高
级监听器依然适用 。
关键词 : 网络安全 ; 反监听 ; 混杂模式 ; 害 A P缓存 毒 R
有方法的缺陷 , 更有效地完成监听检测 。
() 2 用伪造的条 目更新一个原有条 目, 所要
做 的仅 是 向被 攻 击 主机 发 送 一 个 带 有 伪 造 的 源
I P和 M C地 址 的 A P应答 包 。这样 , A R 即使 被 攻
1 共 享 以太 网监 听原 理
网络监 听也 叫 嗅探 , 即将 网络 上传 输 的数 据 进 行捕 获并 进 行 分 析 的行 为 。共 享 式 网 络 中
V 12 o 6 o. 9 N .
J n 0 7 u e2 0
文 章 编 号 :07— 4 X(0 7 0 0 5 o 10 14 2 0 )6— 0 0一 3
共 享 以太 网反 监 听 新技 术 的研 究 与 实现
李 婧, 魏 军 , 斌 曾
( 海军工程大学 管理工程系 , 湖北 武汉 ,30 3 403 )
维普资讯
第2 卷 第6 9 期
20 年 6 07 月
武 汉 理 工 大 学 学 报 ・ 息 与 管 理 工 程 版 信
JU N LO T IF R A IN&M N G M N N IE RN ) O R A FWU (N O M TO A A E E TE GN E IG
监 听工具 ( Po Sa 、 MD、 O h ninf 主 如 rmicn P L pt t i) A S
光纤通信网络窃听方法与防御对策研究
光纤通信网络窃听方法与防御对策研究随着信息技术的不断发展和网络的广泛应用,光纤通信网络已成为现代通信的主要方式之一,其信息传输速度和带宽都具有极高的优势。
然而,光纤通信网络也存在着一些安全风险,其中最重要的就是窃听攻击。
本文从光纤通信网络的窃听方式和相应的防御措施两个方面来进行深入研究。
一、光纤通信网络窃听方式1.光纤割接攻击光纤割接攻击是利用钢钻、激光或割切工具等手段将光纤缆线割断,然后将一定长度的光纤连接到窃听器上进行窃听攻击的一种方式。
光纤割接攻击手段简单,效果明显,但需要在网络覆盖区域附近进行操作,较容易被发现。
2.光纤束监听攻击光纤束监听攻击利用被动式光纤束分离器,在无需打开光缆表面开关的情况下直接实现对光信号的监听和窃取。
该攻击手段无需在现场直接操作,可以在远距离实施。
随着技术的不断进步,可以把一个分光器放到本地分光器,可以在退出企业后再行截取分光器进行监听,这就是一种非常难以发现的“内鬼”攻击方式。
3.光学电缆信号克隆攻击光学电缆信号克隆攻击利用我们在通信过程中使用的光纤光源,根据源地址和目的地址的不同,将光信号克隆一份重定向给攻击者进行监听,对于此种攻击方式,半对称密码技术可以很好的保护人们的安全,并不容易泄露,不过如果攻击者有足够的技术,完全可以通过进行光纤插入攻击来窃取信息。
4.直接光遥测攻击直接光遥测攻击也称之为反向误码分析攻击,根据反向误码分析原理实现信息窃听。
攻击者可以在光路上加入小型的光学分析仪,对信号进行捕获、解析和摆放,然后对服务端端口进行欺骗性伪装,将用户目的端口的传输数据转到攻击者的伪装端口上,从而达到窃取目的。
二、光纤通信网络防御措施为了有效防御光纤通信网络的窃听攻击,需要采取以下措施:1.光缆线路保护光缆线路应在安装时或者经检查后进行施工,确保光缆的完整性和连接情况。
应该采用防水工艺,以减小噪声和误码率,同时还应使用防护管等保护设备加强保护。
2.物理实施可以在通信线路中采用双层物理安全措施,定期对通信线路进行巡视检查,如发现线路上有痕迹等不正常情况及时报警,并进行维护。
以太网监听技术的研究与实现
这种情况下 B A在不 同的 网络段 , 与 显然 用上面的办法 的话 , 即使欺骗成功 , 由主机 那么 B 和主机 A之 间也无法建立 tnt e e会话, l 因为路
由器会发现地址 在 12 6 .这个 网段之内 , 9. 8 . 1 0 而
不会把 主机 A发 给主机 B的包向外转发 。如果 要实 现把这 样 的数据 包转 发 出来就 必须 使用 IM 重定 向技术 , A P 骗和IMP CP 把 R欺 C 重定向 结合在 一起 就可 以基 本实 现跨 网段欺 骗 的 目
连, 交换 机将对 每个 端 口收到数据帧进行源和 目的 M C A 地址检测 ,然后 与内部动态 的 MA C 端 口映射表进行 比较 , 若数据帧 的源 M C地址 A 不在映射表 中, 则将该 M C地址和对应接收端 A 口加入 映射 表 中 ,同时 根据 映射 表 中与 目的 M C A 地址对应 的端 口号 , 交换机把数 据帧仅从 该端 口发送出去。因此交换 机的每个端 口可平 行、 安全 、 同时地互 相传输 信息 , 它端 口的主 其 机即使将 网卡设 置为混杂模式 , 只能监 听到 也 连结在 同一端 口上主机间的数 据传输 。 2共享介质 以太网监听
CC: CCCC CC: :
器 c当掉 的 同时 ,将 机 器 B的 I 址 改 为 P地 12 6 .3 这样就可以成功的通过 2 端 口 t — 9. 8 . 1 0, 3 e l nt e到机器 A上面 ,而成 功的绕过 防火墙的 限 制。 不在同一子网慢 用了不同的掩码 、 I P地址和网 但 是如果 主机 A和主 机 C之 间的信 任关 关) 的主机 的那些信包 。 也就是说 , 同一条物理 系是建立在硬件地址的基础上 的,上面的方法 在 信道上传输的所有信 息 都可以被接 收到。 就失效 了。 这个时候还需要用 A P R 欺骗 的手段 交换式 以太网是通过交换机将网内主机相 让 主 机 A 把 自 己 的 A P缓 存 中 的 关 于 R
主动监听技术原理及防范策略研究
计算机 时代 2 0 年 第 8 06 期
・2 2・
主动监 听技术原理及 防范策略研 究
陈 春 。张 代远
( 南京邮电大学计算机学院,江苏 南京 200) 10 3
摘 要 :目前 , 局域 网 已从 共享式以太 网过渡到 了交换式 以太网 , 传统 的嗅探 器 因无法正确地嗅探到信 息 包而逐渐退 出 历 史舞 台, 随之产生 了针对二层交换网络及  ̄t 但 e 的主动监 听方法 。文章分析 了基 于二层 交换 网络及 htme 的主动 mm l t e
或 I_ 仂议 , sl s 以满足按照可用链路带宽来计算路径的要求 。
323 故 障排 查技 术 ..
故障 排查技术包 括使用 “ o ”命令来 跟踪穿过 网络 的 sw h L P标记交换路径 )这类似于跟 踪虚 电路 的概念 。 P S网络 S( , M L 使无连接的 I P网络变得具有面 向连接的特 点。
将网卡置为混杂模式的主机外,只有当某台主机的 M C地址 A
C帧 的 目的 MA C地址相 同时 , 主机才 该 后与内部动态的 MA C端口映射表进行比较 ,若数据帧的源 和链 路中传输的 MA 会 接收这个 MA C帧并拆 封为 I 数据包交给 上层模 块处理 , P 因 MA C地址不在 映射 表 中 , 则将 该 MA C地址和对应 接收端 口 每一 加入映射表 中, 同时根据映射 表中与 目的 MA C地址 对应的端 此 , 台主机在发送 链路层数据帧前都需要知道 同一链路上
4 结 束语
电子政 务网络上部署的 MP S L 的应用主要有两种( P V N和
流量工程 ) 。MP S V N可以通过 一个统一 的网络基础承载多 L P
网络监听系统的设计与实现
网络监听系统的设计与实现简介:随着计算机网络技术的迅速发展,网络的安全问题也显得越发重要。
网络监听技术是系统安全领域内一个非常敏感的话题,也是一项重要的技术,具有很强的现实应用背景。
网络监听是网络监测、负载分析等管理活动常用的方法,同时也是黑客非法窃取信息的手段。
网络监听工具通过网络传输介质的共享特性实现抓包,获得当前网络的使用状况,为网络管理员对网络中的信息进行实时的监测、分析提供一个合适的工具;同时也让黑客截获本网段的一些敏感信息,威胁网络安全。
目录论文总页数:30页1引言 (1)1.1课题背景 (1)1.2研究现状 (2)2网络监听技术综述 (3)2.1网络监听概念 (3)2.2以太网监听的原理 (3)2.3WinPcap的原理 (4)2.4综述 (7)3相关网络协议的分析 (7)3.1网络的原理体系结构 (7)3.2网络协议的分析与实现 (8)3.2.1链路层 (8)3.2.2网络层 (9)3.2.3传输层 (12)3.3小结 (16)4局域网监听系统的设计及实现 (16)4.1局域网监听系统的设计 (17)4.1.1功能设计 (17)4.1.2模块设计 (17)4.2局域网监听系统程序的实现 (19)4.2.1数据包的捕获 (19)4.2.2数据包的分析 (21)4.2.3数据流量的统计 (23)4.2.4实现过程中的难点和解决 (24)4.3系统程序运行 (25)结论 (27)参考文献 (27)致谢 (29)声明 (30)1引言随着Internet的迅猛发展和信息社会的到来,网络已经影响到社会的政治、经济、文化、军事和社会生活的各个方面。
以网络方式获取信息和交流信息已成为现代信息社会的一个重要特征。
同时,随着人们对网络信息系统依赖的日益增强,网络正在逐渐改变人们的工作方式和生活方式,成为当今社会发展的一个主题。
但必须看到,紧随信息化发展而来的网络安全问题日渐凸出,如果不很好地解决这个问题,必将阻碍信息化发展的进程。
网络监听技术及其防范措施研究
2 网络 监 听基 本 原 理
局 域 网 内信 息 的传 送 是 以 广 播 的 方 式 向局 域 网 内 的
所 有 主机 发 送 数 据 包 , 数 据 包 中携 带 目的 主 机 的 MAC地 址, 只有 MAC地址 与 数 据 包 中 携 带 的 M AC地 址 相 同 的
重 点研 究 了 网络 监 听技 术 及 其 防 范 措施 , 以保 障 网络 的安 全 运 行 。
关键词 : 计算机 网络; 网络监 听; 网络 安全 中图分类号 : TP 3 0 9 文献标识码 : A 文章 编 号 : 1 6 7 2 — 7 8 0 0 ( 2 0 1 4 ) 0 0 4 — 0 1 4 2 O 2
主机 才 会 接 收 数 据 包 并 作 出回 应 , 其 它 主机 将 忽 略 此 数 据
包 。 当主 机 被 人 侵 者 操 纵 处 于 监 听模 式 下 时 , 无 论 数 据 包
中 目的 主机 的 MAC地址 是 否 与 自 己 的相 匹 配 , 都 将 接 收
网络安全中 , 网 络 监 听 对 网 络 信 息 的威 胁 最 大 , 它 可 以对 计算 机 进行 监控 , 从计 算 机发 送 或 接 收 的信 息 中获 取
的 信 息 提 供 了 可 能性 】 。
( 1 ) 观 察 法 。计 算 机 不 在 监 听 模 式 下 时 , 信 息 的 传 输 及 电脑 对 信 息 的反 应 等 均 处 于 正 常 速 度 。而 当 计 算 机 处
于 监 听模 式 下 时 , 电脑 就 会 现 异 常 反 应 , 通 过 比较 观 察
或 不常 见 的进 程 出现 , 本 机 可 能 处 于 网 络 监 听模 式 下 。
基于ARP欺骗的网络监听检测技术研究
Ke r s Ne o k w r tp;Di o e i tp;New r a e ; y wo d : t r i a w e s v rw r a c e t o k s t ARP f y
的安全性得不到保障, 造成重要信息被窃取。而利用 A P欺骗达到检测网络监听的 目的, R 就可以将复杂 的事 情变 的 简单 化 。
t s o to ,a o y t e s c n rl n n mi y,e c t .Newo k wiea o e i h le g o n t r aey.Aln t h n r a — t r r tp p s s a b g c a ln e t ewo k s f t o g wi t e i c e s h
S i e s d o i g ARP e t r s nf r Ba e n Usn Ch ai Viu ng
Z HANG Ha ,Y o ANG Jn ig
( o g n nvr t,o g n 4 0 0,hn ) T nl gU i s yT n ig 10 C ia i ei 2
Absr c : re t ta t Cu r n l y,c mp trn t r sbe n a p id e t n i ey i v r s e t fl e o u e e wo k ha e p le xe sv l n e e y a p cs o f .Th aey o o i e s ft fc m—
安 徽 科 技 学 院学 报 ,0 12 ( )3 2 1 ,5 3 :4—3 8
局域网中网络监听技术研究
2 . 2 网络 监听 技术 原理
在 局 域 网 中普 遍 使 用 的 网 络 协 议 是 基 于 广 播 机 制
的I E E E 8 0 2 . 3协 议 , 即 以 太 网 协 议 。 以 太 网 协 议 的 主 要
特 点 是 以 厂‘ 播 的方式 发送 文件 , 在 局 域 网 中 的 主 机 很 多
据 包 直 接 发 送 给 目的 主 机 。 此 时 该 数 据 包 不 是 在 I P层
直接 发 送 , 而是 通过 数 据 链路 层 传送 到 网络接 口 , 而 网
络 接 口不 能 识 别 I P地 址 , 此 必 须 在 该 数 据 包 上加 上
以 太帧头 的信息 。 在 帧头 中有 源主机 和 目的主机 的物理 地 址 两 个 域 ,这 是 一 个 与 I P地 址 对 应 的 4 8位 地 址 , 只
I n f o r m a t i oቤተ መጻሕፍቲ ባይዱn S e c u r i t y・信 息安 全 ・网络控制
局 域 网 中网络监 听技 术研 究
兰诗 梅 李 松 ( 贵 阳 学 院 贵 州 贵 阳 5 5 0 0 0 5 )
【 摘
要 】 本 文对 网络监 听技术 的概念 、 原理及 危害进 行 了详 细分析 , 并在局 域 网 中进行 了简 单 的实 现 , 研 究 了局域
理 网 络 的 同 时 , 也 给 网 络 安 全 带 来 了 极 大 地 安 全 隐 患 当我们 将 网络端 E l 设 置成 为监 听模 式 . 就 可 以 捕 获 存 局
的生活带 米很多便 利 的同时 ,网络 安全 问题给我 们带来
r许 多 的 麻 烦 , 甚至 会给个人 、 企 业 甚 至 国 家 带 来 巨 大 的 损 火 存 局 域 网诸 多 网 络 安 全 问 题 中 , 最 常 遇 到 的 安 全 问 题 就 是 络 监 听 局 域 网采 用 广 播 方 式 , 入 侵 者 利 用 监 听 系 统 呵 以 通 过 局 域 网 中 的 接 口 捕 获 其 他 计 算 机 的 数 擗
网络监听检测与防范技术研究
2012年第·4期太原城市职业技术学院学报Journal of TaiYuan Urban Vocational college期总第129期Apr2012[摘要]网络监听在网络安全中扮演着双重的作用,一方面可以协助网络管理员监测网络数据、排除网络故障、优化网络服务,另一方面也常被黑客利用进行网络监听与窃取数据,对用户信息的泄密构成了极大的威胁。
论文首先分析了共享式和交换式网络的特点,研究了基于两种网络的监听原理,并在此基础上提出了针对恶意网络监听行为的检测方法,最终给出了网络监听的安全防范措施。
[关键词]网络监听;网络安全;混杂模式;检测;防范[中图分类号]TN[文献标识码]A[文章编号]1673-0046(2012)4-0149-03网络监听检测与防范技术研究张帅,白伟(太原广播电视大学,山西太原030002)随着计算机网络与通信技术的不断发展,互联网已经成为我们工作、生活中不可或缺的重要组成部分。
当Internet网络给我们带来社会与经济利益的同时,也受到了网络黑客的攻击。
在众多网络安全问题中,网络监听给人们的网络信息与数据的交互带来了极大的安全隐患。
为了更好地管理网络且保证网络数据的安全性与保密性,对网络监听行为的检测与防范将显得十分重要。
网络监听是指利用计算机网络接口监听、捕获目的地为其他计算机的数据报文,并对数据的信息进行一定的解析。
网络监听犹如一把双刃剑:一方面,它可以协助网络管理员监测网络传输中的异常数据,并在排除网络故障等方面发挥着积极的作用。
另一方面,网络监听也是黑客收集有效信息、数据等的重要手段,黑客在网络入侵得手后往往会进行网络监听,从而造成以太网内口令失窃、敏感数据等被截获。
一、网络监听的原理1.共享网络的监听原理共享式以太网采用载波监听多路访问与冲突检测的(简称CSM A/CD)机制来进行传输控制。
它的工作原理是:发送数据前先监听信道是否空闲,若空闲则装配数据帧开始传输数据,在传输数据的过程中边发送边继续监听网络,当检测到冲突时,则广播一个拥塞信号,并停止发送数据,当等待一个随机时间之后,再重新尝试。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络监听技术研究(2011-05-09 22:34:05)转载标签:捕获sniffer监听mac地址交换机数据包数据报杂谈分类:网络及硬件
1 引言
计算机局域网和Internet的发展给个人、企事业单位带来了革命性的改革和发展。
同时又要面对网络开放带来的数据安全的新挑战和新危险;网络的安全访问、黑客的攻击等。
基于对网络安全的考虑,需要一种能够实时的对网络上的数据进行监视的技术,网络监听技术应运而生了。
网络监听也叫嗅探,其英文名是Sniffing,即将网络上传输的数据捕获井进行分析的行为。
网络监听器也叫嗅探器,其英文名是sniffer。
ISS为sniffer这样定义:Sniffer是利用计算机的网络接口捕获目的地为其它计算机的数据报文(数据包)的一种工具。
实际上,Sniffer 就是网络上的“窃听器”。
网络监听器是一种网络监测设备既可以是硬件,也可以是软件,硬件形式的sniffer称为网络分析仪,一般都是商业性的,价格电比较贵。
软件形式的sniffe:在Windows和Unix平台上都很多,其优点是价格便宜,易于学习使用;缺点是无法抓取网络上所有的传输,某些情况下也就无法真正了解网络的运行情况。
2 网络监听原理
Internet是由众多的局域网所组成,这些局域网一般是以太网、令牌网结构。
数据在这此网络上是以很小的称为帧(Frame)的单位传输的,帧通过特定的网络驱动程序进行成型,然后通过网卡发送到网线上。
由于以太网等很多网络(常见共享HUB连接的内部网)是基于总线方式,物理上是广播的,同一物现网段的所有主机的网卡都能接收到这此以太网帧。
当网络接日处于正常状态时,网卡收到传输来的数据帧,网卡内的芯片程序先接收数据头的目的MAC地址,根据汁算机上的网卡驱动程序设置的接收模式判断该不该接收,如果认为是目的地址为本机地址的数据帧或是广播帧,则接收并在接收后产全中断信号通知CPU,否则就丢弃不管,CPU得到中断信号产生中断,操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放人堆伐让操作系统处理。
通过修改网卡让其处于一种特殊的工作模式,在这种工作模式下,网卡不对目的地址进行判断,而直接将它收到的所有报文都传递给操作系统进行处理。
这种特殊的工作模式称之为混杂模式(Promiscuous Mode)。
Sniffer就是通过将网卡设置为混杂模式,它对遇到的侮一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。
Sniffer工作在网络环境中的底层,它会捕获所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容.进而分析所处的网络状态和整体布局。
3 网络监听系统组成部分
如图1展示了一个监听系统大体框架。
网络硬件设备:如网卡、集线器、路由器等。
捕获驱动程序:控制网络硬件从信道上抓取数据,并将数据存人缓冲器。
过滤驭动程序:捕获数据流,进行过滤并把数据存人缓冲区。
缓冲器:用来存放捕获到的数据的容器。
由于缓冲器容量有限,监听器使用缓冲器时,通常有两种方式:一是如果缓冲器满,马上停止捕获;二是缓冲器满了还继续捕获,但是新的数据会筱盖旧的数据。
实时分析程序:实时对数据包分析统计,目的是发现网络性能问题和故障,侧重于网络性能和故障方面的问题。
解码程序:将接收到的加密数据进行解密;构造白己的加密数据包并把它发送到网络中。
数据包分析器:对截取到的数据包进行模式匹配和分析.将需要的信息从原始数据包中剥离出来。
4 网络监听的实施环境
监听的实施是有条件的,不可能在互联网上的某台主机上装上监PJ软件,就可以看到整个网络的网络状况网络监听可以在两种环境下实现,一种是利用以太网络的广播特性实现,另一种是通过设置路由器的监听端口实现,两种方式适用于不同的工作情况。
本文中的网络监听实施环境主要讲解在以太网下实现监听,这也是口前比较流向的监听方式。
针对集线器的监听:首先从TCP/IP模型的角度来看数据包在局域网内发送的过程:当数据由应用层自上而下地传递时,在网络层形成IP数据报,再向下到达数据链路层,由数据链路层将IP数据报分割为数据帧,增加以太网包头,再向下一层发送。
需要说明的是.以太网的包头中包含着本机和目标设备的MAC地址,也就是说,数据链路层的数据帧发送时,是依靠4Rbits的以太网地址而非IP地址来确认的,以太网的网卡设备驱动程序不会关心IP 数据报中的目的IP地址,它所需要的仅仅是MAC地址。
当局域网内的主机通过HUB连接时,HUB的作用就是局域网上面的一个共享的广播媒体,所有通过局域网发送的数据首先被送到HUB,然后HUB将接收到的所有数据向它的每个端口转发。
只要将某台主机的网卡设置为棍杂模式,就可以接收到局域网内所有主机间的数据传输。
针对交换机的监听:不同于下作在物理层的HUB,交换机是工作在数据链路层的。
交换机在工作时维护着一张ARP的数据库表,在这个库中记录着交换机每个端Q所绑定的MAC地址,当有数据报发送到交换机时,交换机会将数据报的目的做C地址与自己维护的数据库内的端口对照,然后将数据报发送到“相应的”端口上,交换机转发的报文是一一对应的。
对交换机而言,仅有两种情况会发送广播方式一是数据报的目的MAC地址不在交换机维护的数据库中,此时报文向所有端口转发;二是报文本身就是广播报文。
因此,基于交换机以太网建立的局域网并不是真正的广播媒体,交换机限制了被动监听工具所能捕获的数据。
为了实现监听的目的,可以采用MAC flooding和ARP欺骗等方法。
MAC flooding:通过在局域网上发送大量随机的MAC地址,以造成交换机的内存耗尽,当内存耗尽时,一些交换机便开始向所有连在它上面的链路发送数据。
ARP欺骗:ARP协议的作用是将IP地址映射到MAC地址,攻击者通过向目标主机发送伪造的ARP应答包,骗取目标系统更新ARP表,将日标系统的网茉的MAC地址修改为发起攻击的主机MAC地址,使数据包都经由攻击者的主机。
这样,即使系统连接在交换机上,也不会影响对数据包的窃取,因此就可轻松地通过交换机来实现网络监听。
5 网络监听工具
目前存在许多网络监听工具,这里对其中比较有代表性的几个监听工具进行了分析。
Network General:Network General开发了多种产品。
最重要的是Expert Sniffer,它不仅仅可以sniffing,还能够通过高性能的专门系统发送/接收数据包。
还有一个增强产品Distrbuted Sniffer System,可以将UNIX工作站作为sniffer控制台,而将Sniffer Agents分布到远程主机上。
Misrosofts Net Monitor:对于某些商业站点,可能同时需要运行多种协议如NetBEUI,IPX/SPX ,TCP/IP,802.3和SNA等。
这时很难找到一种sniffer帮助解决网络问题,因为许多Sniffer往往将某些正确的协议数据包当成了错误数据包。
Microsoft的Net Monitor可以解决这个难题。
它能够正确区分诸如Netware控制数据包,NetBios名字服务广播等独特的数据包。
VVinDump:最经典的Unix平台上的tepdump的Windows移植版,和tepdump几乎完全兼容.采用命令行方式运行。
Sniffit:由Lawrence Berkeley实验室开发,运行于Solaris和Linux等平台。
可以选择源、目标地址或地址集合,还可以选择监听的端口、协议和网络接口等。
Tcpdump:最经典的网络监听工具,被大量的Uni、系统采用。
另外,还有Iris,Linsniffer,ESniffer,So1Sniffer,Wireshark(Ethereal)等等网络监听工具,这里就不再累述。
6 总结
随着互联网的迅猛发展,对千网络的攻防技术将日新月异,网络监听技术也将快速发展。
本文讨论了网络监听技术的基本原理,以及通用的系统的组成结构和具体的网络监听实施的环境,在此基础上介绍了部分通用的网络监听工具并进行了比较。
为学习和熟悉网络监听技术提供了有益的帮助。