由于局域网采用广播方式传输信息,只要进入局域网的特定广播域,就可以监听到所有的信息包。黑客通过对信息包进行分析,可以获取局域网上传输的一些敏感内容。很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤和手段,希望通过这种手段获取访问密码等关键信息。但另一方面,信息安全技术人员对黑客的入侵活动和其他网络犯罪进行侦测取证时,也可以使用网络监听技术来获取必要的信息。
网络监听本来是供网络安全技术人员使用的管理工具,用来监视网络的状态、数据流动情况及网络上传输的信息等。当信息以明文形式在网络上传输时,监听并不是一件难事,只要将所使用的网络端口设置成(镜像)监听模式,便可以源源不断地截获网上传输的信息。网络监听可以在联网的任何位置实施。
对局域网之所以能够实现网络监听,是由于普遍应用的以太网协议使用广播方式工作。以太网在通信时,包含物理地址的数据帧从称为网卡的网络适配器发送到物理线路上,进而发送到物理上连接在一起的所有计算机,数据帧中含有应该接收数据包的目标计算机地址。当数据帧到达一台计算机的网络接口时,在常规工作模式下,只有与数据帧中目标地址相同的计算机才能接收:网卡读入数据帧,进行检查,如果数据帧中的物理地址是本机的或者是广播地址,则将数据帧交给上层(IP层)协议软件,否则就将这个帧丢弃;对于每一个到达网络接口的数据帧,都要重复这个过程。但是,如果将计算机设置为监听模式工作,无论数据帧中的目标地址是什么,只要能够到达该计算机的网卡,都会交给上层协议软件处理,因而可以监听这些数据包的内容。一台处于监听模式工作的计算机,甚至还能接收到发向与自己不在同一个IP子网计算机的数据包,即同一条物理信道上传输的所有信息都可以被接收到。如果用户的账户名和口令等信息以明文方式在网上传输,黑客或网络攻击者就可以容易地通过网络监听得到这些感兴趣的内容。
网络监听是很难被发现的,因为运行网络监听的计算机只是被动地接收在局域网上传输的信息。为了防范网络监听,建议采取以下措施。
1.检测可能存在的网络监听
对于怀疑在进行网络监听的计算机,可以通过使用正确的和错误的地址测试方法,运行监听程序的计算机会有响应。因为正常的入网计算机不接收包含错误物理地址的数据帧,但是处于监听状态的计算机是能够接收和响应的。还可以运用反监听工具进行检测。另外,通过向网上发送大量不存在的物理地址的数据包,然后比较发送前后被怀疑计算机的性能,也是一种判断方法。这是由于监听程序在分析和处理大量数据包时会占用很多的CPU资源,将导致计算机性能下降。这种方法难度比较大。
2.采取多种措施防范网络监听
防范网络监听目前有这样几种常用的措施:从逻辑或物理上对网络分段,以交换式集线器代替共享式集线器,使用加密技术和划分虚拟局域网。网络分段通常被认为是控制网络广播风暴的一种基本手段,同时也是保证网络安全的一项措施,通过将非法用户与敏感的网络资源隔离开来,从而防止可能的非法网络监听。通过中心交换机对局域网进行网络分段后,如果网络最终用户计算机的接入是通过共享式集线器,局域网监听的危险仍然存在。因为在使用共享式集线器的情况下,两台机器之间数据通信的单播数据包(Unicast Packet)仍然能够被连接到同一台集线器上的其他计算机监听到。以交换式集线器代替共享式集线器,使单播包仅在两个网络节点之间传送,可以防止非法监听。交换式集线器只能控制单播包,无法控制广播包(Broadcast Packet)和组播包(Multicast Packet)。广播包和组播包内的敏感信息通常要远少于单播包。使用加密技术是防范网络监听的有效手段。数据经过加密后,通过监听虽然可以得到传送的信息,但显示的内容不可读。使用加密技术的缺点是影响数据传输的速度,如果加密程度不高,一旦被攻破秘密就全部暴露。划分虚拟局域网,也可以防止大部分基于网络监听的入侵。