网 络 监 听 监听技术及其防范措施 Network Moni toring Technology and i ts Preventive Measures 技 术 其 防 范 措 肖媛娥王巧玲周宇金晓君 XiaoYuan e WangQiaoling ZhouYu JhlXiaojun (井冈山大学,江西吉安343009) (Jinggangshan University,Jiangxi Ji’ai1 343009) 施 摘要:网络监听技术是网络工作者监测网络、分析故障常用的技术,也是黑客非法窃取信息的惯用手 段。本文分别介绍了共享网络和交换网络中监听技术的实现方式,提出了对网络中监听行为的防范措施。 关键词:共享网络;交换网络;网络监听;监听防范 中图分类号:TP393 文献标识码:A 文章编号:1671-4792一(2010)|1.0067.04 .Abstract:Network workers usually use monitoring technology to monitor network and analyze failureBut at. tackers use it to steal network information.This thesis introduces monitoring and its different implementation tech— nology.Based on network securitywe present several anti—monitor ways. ,Keywords:Share Network;Exchange Network;Network Monitoring,Anti.Monitor: 0引言 的权利,在传输自己的数据时,首先监听信道是否空 网络监听技术是一项在对方未察觉的情况下, 捕获其通信报文或通信内容的技术。一方面,网络监 听经常是黑客入侵的基本步骤和手段;另一方面,网 闲。如果空闲,就传输自己的数据;如果信道被占用, 就等待信道空闲。而冲突检测是为了防止发生两个 节点同时监测到网络没有被使用时而产生冲突。 络监听可以用在网络管理或网络测试中,网络管理 人员通过监听技术对黑客人侵活动和其它网络犯罪 进行侦察、取证等,从而采取相关防范对策来避免网 络入侵事件。对于网络管理员,若做到知已知彼,熟 悉有关监听技术,网络管理中既实行监听又实行反 共享以太网在工作时将数据帧发送给同一网段 中的所有节点,由各个节点自己决定接受或是丢弃 数据帧。也就是说网段中的所有节点共享整个网络 传输介质每个节点在发送数据的时候,实际上是发 ,,送给了整个网段上所有处于监听状态的节点。由此 监听,如此才能百战不殆,防范黑客入侵网络。 1网络监听技术 l,l基于共享网络的监听技术 1.1.1共享网络工作原理 共享以太网所采用的技术通常称为载波侦听/ 冲突检测(CSNIAJCD,CARRIER SENSE MULTI- PLE ACCESS WITH COLLISION DETECTION)技 可见,所有与网络连接的工作站都可以看到网络上 传递的数据,所以从安全的角度来看共享式以太网 ,是攻击者的理想目标。 1.1.2共享网络监听原理 在共享以太网中,同一个网段的所有网络接口 都可以访问在网络传输介质上传输的所有数据而 每一个网络接口都有一个唯一的硬件地址也就是 ,,术。载波侦听是指在网络中的每个节点都具有同等 网卡的MAC地址,这个地址用来唯一标识网络中 67 互一lL 的每一个设备。在正常的情况下,网络接VI读人数 据帧,进行检查,如果与自己硬件地址相匹配的数据 Cisco交换机为例,交换机在工作时维护着一张 ARP的数据表,在这个库中记录着交换机每个端口 帧或是发向所有机器的广播数据帧,则将数据帧交 给上层协议软件,否则丢弃该帧。但是,如果把网卡 设置成混杂模式,监听程序就会绕过正常工作的处 绑定的MAC地址。当数据包发送到交换机上时,交 换机将数据包的目的MAC地址与自己维护的ARP 数据表内的端口对照,然后将数据包发送到相应的 理机制,直接访问网络底层。不论数据包的目的地 址是否是本机,都能截获并传递给上层进行处理。 网卡的工作原理如图一所示: . 判新足宙为卒 L 系统产生中断, MAC地址或广播地 数据包向上提 \\// J否 / 判断网卡工作模式 是否为混杂模式 墨+l系统产生中断・J数据包向上提交 所有 \/ i兰 图一网卡工作流程 网卡的缺省模式包含广播模式和直接模式,即 它只接收广播帧和发给自己的帧。如果采用混杂模 式,一个节点的网卡将接收同一网络内所有节点所 发送的数据包,这样就可以达到对网络信息监视捕 获的目的。 1.2基于交换网络的监听技术 1.2.1交换网络工作原理 交换机在内部采用了数据交换的原理,将一个 端口的输入交换到另一指定的端口。集线器工作在 OSI体系结构第一层——物理层,而交换机工作在 OSI体系结构的第二层,也就是数据链路层上。以 端口上。注意,不同于集线器的报文广播方式,交换 机转发的报文是一一对应的。对二层设备而言,仅有 两种隋况会发送广播报文,一是数据包的目的MAC 地址不在交换机维护的数据表中,此时报文向所有 端口转发,二是报文本身就是广播报文。也就是说, 交换机与集线器最大的不同是通信数据包不再复制 到其他所有端口,而是精确地发往目标机器所在的 那个端口。所以,其它机器无法监听这种目的性较强 的通信,当然也就无法实现数据包的抓取了。 1.2.2 ARP欺骗(ARP Spoofing) 交换网络下最主要的监听方式就是基于ARP 欺骗的方式。ARP欺骗是利用主机响应ARP应答 包并对其缓存中的ARP表进行更新的原理来实现 的。当初在设计ARP协议时,为了减少网络上过多 的ARP数据通信,对一台主机来说,即使收到ARP 应答并非因自己请求而得到的,它也会将其插入到 自己的ARP地址转换表中,监听正是利用这一漏洞 来实现的。当计算机接收到ARP应答数据包的时 候,就会对本地的ARP缓存进行更新,将应答包中 的II)和MAC地址存储在ARP缓存表中。图二所 示为主机A向主机B发送伪造ARP应答包,主机 B随即更新其ARP缓存表,即将主机C的II)地址 对应的MAC地址改为主机A的MAC地址。图三 所示为主机A向主机c发送伪造ARP应答包,主 机C随即更新其ARP缓存表,即将主机A的 地 址对应的MAC地址改为主机A的MAC地址。这 样主机A就能监听到主机B和C之间的通信,主 机B和c双方看似直接地实施了通信连接,而实际 上中间还有着监听主机A。此时,监听者主机A不 仅可以实现监听B和C之问的通信,而且还可以随 意更改通信数据包中的信息并成功完成数据包转 ,MAC地址,以造成交换机的内存耗尽,当内存耗尽 时,一些交换机便开始向所有连在它上面的链路发 送数据。交换机要负责建立两个节点间的“虚电路”, 必须维护一个交换机端口与MAC地址的映射表, 这个映射表是放在交换机内存中的,但由于内存数 网 监 络 听 技 发,如图四所示为主机A监听B和C之间的通信 过程。 向。发送伪遗 一 及 术 由替包,—— 量的有限,地址映射表可以存储的映射表项也有限。 如果 恿攻击者向交换机发送大量的虚假MAC地 防 其 措 范 :I ll l I 图二主机B更新ARP缓存表 址数据,这些交换机就会像一台普通的HUB那样 只是简单地向所有端口广播数据这个时候,将网络 。施 中任意一台机器网卡设置为混杂模式,监听者便可 A『 C发送伪造^RP J避答包. 厂—厂—]c更新^RP缓存表广—厂] 以借机 到 听的目的 ————一 需要说明的是,交换机对这种极限情况的处理, 图三主机C更新ARP缓存表 监听者 因为属于不正常情况,可能会引起包丢失。而且如果 对网络通讯造成大的拥塞等破坏,就属于不正常的 f肝。 听郴发出数据 把数据转发到。 啦数掘转 监听列。发出数据 _2.5端口镜像(P。n Mi盯。 ing) 端口镜像(Port Mirroring)也被称为SPAN (swi ch P。n Analyze )’可以让用户将所有的流量 从一个特定的端口复制到一个镜像端口。利用交换 机的端口镜像功能网络管理者可自行设置~个监 ,图四主机A监听B和c之间的通信 1.2.3 MAC欺骗 在交换机中维护着一个Port n<_>MAC对的 视管理端口来监视被监视端口的来往数据。监视到 ,动态映射表,记录着每一个端口所连计算机的 MAC地址。这张表一开始是空的,交换机从来往数 的数据可以通过网络管理分析软件进行分析可以实时了解被监视端[J的工作状况。 从而 据帧中学习。当Port 1口所接的计算机发出了一个 数据帧,这帧数据从Port 1口进入交换机,交换机就 取这个数据帧的原MAC地址 表中记录:Port 1<_> 地址为 ,然后在地址 2对网络监听的防范措施 由于运行网络监听的主机只是被动地接收在局 不主动地与其他主机交换信息, 也没有修改在网上传输的数据包所以网络监听通 常很难被发现经过研究,从网络安全角度,我们可 以通过以下措施来防范网络通信数据被捕获监听,,。。 域网上传输的信息,以后,所有发向MAC 的数据帧,就全从Port 1口输出,而 不会从其它的端口输出。 如果把交换机上的PORT—MAC表修改了,使 表中的MAC与欲监听主机的MAC地址相同,则 (】)从逻辑或物理上对网络分段 网络分段通常被认为是控制网络广播风暴的,一 将会发生不是发送到监听者主机的数据结果却发送 过来了,从而达到了监听的目的。 1.2・4 MAC泛洪 种基本手段但其实也是保证网络安全的一项措施。 其目的是将非法用户与敏感的网络资源相互隔离, 从而防止可能的非法监听。 MAC泛洪是通过在局域网上发送大量随机的 (2)以交换式集线器代替共享式集线器 6g 鲫上 对局域网的中心交换机进行网络分段后,局域 网监听的危险仍然存在。这是因为网络最终用户的 接人往往是通过分支集线器而不是中心交换机,而 术也称为IP交换技术,是在网络模型中第三层完成 数据包的高速转发,取消对ARP协议的依赖。 (6)增强安全意识 网络用户必须加强网络安全意识,常对系统进 行升级,安装补丁,安装杀毒软件,对机密信息必须 使用最广泛的分支集线器通常是共享式集线器。这 样,当用户与主机进行数据通信时,两台机器之间的 数据包(称为单播包Unicast Packet)还是会被同 一台集线器上的其他用户所监听。 因此,应该以交换式集线器代替共享式集线器, 使单播包仅在两个节点之间传送,从而防止非法监 听。当然,交换式集线器只能控制单播包而无法控制 广播包(Broadcast Packet)和多播包(Multicast Packet)。但广播包和多播包内的关键信息,要远远 少于单播包。 (3)使用加密技术 网络中传输的数据采取加密方式是对付监听的 最有效办法。数据经过加密后,监听者通过监听即使 得到了传送的信息,但显示的是毫无意义的乱码。使 用加密技术的缺点是影响数据传输速度以及使用一 个弱加密技术容易被攻破,因此网络安全管理员和 用户需要在网络速度和安全性上进行权衡考虑。 (4)使用静态ARP 静态ARP的特点是不需要通过向局域网中发送 ARP请求包来获得目标机器的MAC地址,那么伪造 的ARP应答包将不能更改ARP缓存,这样可以有效 防范监听。 (5)采用第三层交换方式,取消对ARP协议的依 赖 交换技术是OSI七层网络模型中的第二层,即 数据链路层进行操作的,因此交换机对数据包的转 发是建立在MAC地址基础之上的。而第三层交换技 加密传送。网络系统管理员要经常检查网络设备与 配置,关闭交换机未使用的端口,对不信任网络尽量 不使用共享式集线器;不定期使用反监听工具,以检 测网络是否存在。 3结束语 网络监听技术是一把“双刃剑”,既可以被网络 管理员用来检查网络流量、网络协议分析和故障检 测,同时又能被其他网络用户非法窃取重要信息,严 重威胁信息的安全,甚至为企业或带来巨大的 损失。因此必须充分认识网络监听技术,做好安全防 范措施,保障网络的安全运行。 参考文献 [】]李涛.网络安全概论【M].北京:电子工业出版 社,2004. 【2】谭思亮.监听与隐藏——网络侦听揭密与数 据保护技术[M].北京:人民邮电出版社,2004. 【3]庄春兴,彭奇志.关于窃听与反窃听技术的 分析[J].小型微型计算机系统,2003,24(3):610—612. [4】肖媛娥.校园网中三种常用网络安全技术的 应用[J].井冈山学院学报,2007,(2):52-54. 作者简介 肖媛娥(1973一),女,江西吉安人,硕士,实验 师,主要研究方向:计算机网络管理与网络安全。
