◆鄭秀琴

檢測和防范局域網(wǎng)監(jiān)聽方法的設計研究

◆鄭秀琴

（衢州職業(yè)技術(shù)學院 浙江 324000）

隨著網(wǎng)絡應用的蓬勃發(fā)展，網(wǎng)絡安全技術(shù)的運用已經(jīng)逐漸深入各行各業(yè)當中。本文就局域網(wǎng)中監(jiān)聽技術(shù)的基礎(chǔ)原理進行研究和探索，對局域網(wǎng)，尤其是以太網(wǎng)中檢測網(wǎng)絡監(jiān)聽的方式進行了具體分析，并結(jié)合實踐過程中的工作經(jīng)驗對檢測和預防監(jiān)聽的方法和相關(guān)測試進行總結(jié)，其常見的防御網(wǎng)絡監(jiān)聽方法有arp防火墻、防止MAC泛洪、控制SNMP的使用等等。

網(wǎng)絡安全；監(jiān)聽檢測；監(jiān)聽防范

所謂網(wǎng)絡監(jiān)聽技術(shù)，通常是指使用一些網(wǎng)絡工具軟件或網(wǎng)絡設備來實現(xiàn)監(jiān)視網(wǎng)絡數(shù)據(jù)傳輸?shù)募夹g(shù)，它的應用是把雙刃劍：一方面一些黑客在入侵局域網(wǎng)的時候，都將掃描以及監(jiān)聽當作是入侵的基本步驟和常用手段；另一方面，網(wǎng)絡管理員也可以及時地運用相關(guān)軟件和設備來進行局域網(wǎng)狀態(tài)以及數(shù)據(jù)流量的狀況監(jiān)測，從而實現(xiàn)進一步的全局監(jiān)控，以便對局域網(wǎng)的性能進行及時優(yōu)化。由此可見，研究檢測和防范局域網(wǎng)的監(jiān)聽方式具有很重要的意義。因為網(wǎng)絡監(jiān)聽隱蔽性極高，很難被察覺，以至于相關(guān)方面的監(jiān)測方式以及監(jiān)聽措施都缺乏系統(tǒng)研究。

1 局域網(wǎng)監(jiān)聽技術(shù)的定義及原理

局域網(wǎng)技術(shù)是將分散在各個小地理范圍內(nèi)的計算機終端、外圍設備以及網(wǎng)絡設備，通過各種數(shù)據(jù)通訊設備相互連接，使其實現(xiàn)資源共享，達到高速通信目標的技術(shù)。運用局域網(wǎng)進行數(shù)據(jù)傳輸，其數(shù)據(jù)傳輸?shù)膯挝粸閿?shù)據(jù)包。共享網(wǎng)絡中數(shù)據(jù)包會通過共享通道傳送到同一個廣播域內(nèi)的每一個主機，而主機會根據(jù)目標MAC接收發(fā)給本主機的數(shù)據(jù)包，其他主機自動過濾掉該數(shù)據(jù)包。交換網(wǎng)絡中數(shù)據(jù)包則根據(jù)MAC地址表直接發(fā)送到目標主機，若傳輸?shù)臄?shù)據(jù)包為廣播包，包括定向廣播和有限廣播數(shù)據(jù)包，如ARP、DHCP等數(shù)據(jù)包，則廣播域內(nèi)所有主機都會收到該數(shù)據(jù)包。若接入交換機上設置了鏡像端口，且將該端口下的主機網(wǎng)卡設置監(jiān)聽模式，那么它就相當于一個網(wǎng)絡嗅探器，能收集該局域網(wǎng)傳輸?shù)臄?shù)據(jù)，這些數(shù)據(jù)可以是機密文件，也可以是用戶的賬號和密碼等等。網(wǎng)絡探嗅設備主要運行在路由設備以及有路由功能的網(wǎng)絡設備上，這樣可以更好地對大量數(shù)據(jù)進行實時監(jiān)控。另外通過ARP欺騙或MAC泛洪攻擊也可以實施監(jiān)聽。從上述內(nèi)容可知，網(wǎng)絡嗅探設備幾乎可以捕捉到局域網(wǎng)網(wǎng)上傳輸?shù)乃袛?shù)據(jù)包。

2 檢測局域網(wǎng)監(jiān)聽的方法

2.1 通過主機反映的一些現(xiàn)象檢測

（1）網(wǎng)絡通信丟包率高出正常標準。運用一些網(wǎng)絡軟件可以對相關(guān)情況進行了解，這些軟件會及時告知所丟數(shù)據(jù)的數(shù)量，若傳輸過程遭人監(jiān)聽，那么信息就無法正常傳送到應傳送的目的地。該現(xiàn)象可能是因為網(wǎng)絡嗅探器攔截引起的。

（2）上網(wǎng)設備的網(wǎng)絡帶寬出現(xiàn)異常。一般情況下，網(wǎng)絡帶寬情況可以通過相應的防火墻帶寬控制器查看分布狀況。若某臺機器帶寬占時較長，給予外界響應很慢，那么這臺機器極有可能已被監(jiān)聽。

（3）對網(wǎng)絡警告信息進行及時查看。對于一個大型的網(wǎng)絡應用，其被安裝網(wǎng)絡嗅探器后會嚴重增加負荷，相關(guān)日志也會被填滿。相關(guān)人員就可以通過這些信息及時發(fā)現(xiàn)網(wǎng)絡嗅探器的存在。

（4）對具備網(wǎng)絡混雜模式的接口進行檢測。實際上，網(wǎng)絡上的網(wǎng)絡監(jiān)聽設備會將網(wǎng)絡接口設置為混雜模式。該種模式可以更好地通過檢測來判斷是否被監(jiān)聽。雖然非混雜模式下該網(wǎng)卡也可以捕捉到本機會話，但無法縱觀局域網(wǎng)全部進行檢測。

2.2 主動檢測

除上述方法外，還可以通過以下檢測的方式來進行局域網(wǎng)是否被監(jiān)聽：

第一，搜索法。該種方法應用于本地主機上，對本機中的所有運行進程進行檢測，從而發(fā)現(xiàn)網(wǎng)絡監(jiān)聽。相關(guān)網(wǎng)絡中存在的硬件和命令就會以各種形式進行傳達，最后產(chǎn)生一個包含所有進程的清單。

第二，探測法。通常情況下，網(wǎng)卡會自動過濾掉目標物理地址不是本機的相關(guān)數(shù)據(jù)包。若這個數(shù)據(jù)傳送包的目的地址的確為本機地址或相應的廣播地址，那么其傳輸?shù)男畔⒕蜁粋魉偷絻?nèi)核進行處理。若網(wǎng)卡處于監(jiān)聽狀態(tài)，所有傳送到的數(shù)據(jù)包都會被系統(tǒng)進行分析并構(gòu)造一個有效的返回數(shù)據(jù)包。如原數(shù)據(jù)包存在一個echo request，若網(wǎng)卡處于混雜模式則系統(tǒng)會返回echo reply，這樣就會最終暴露監(jiān)聽主系統(tǒng)偽造數(shù)據(jù)包的地址，達到引蛇出洞的效果。

第三，DNS測試。監(jiān)聽者為了尋找更有價值的主機，常常會使用網(wǎng)絡數(shù)據(jù)收集工具進行反向DNS解析。這一操作之下，監(jiān)聽工具就由被動型變?yōu)榱酥鲃有?，不進行監(jiān)聽的網(wǎng)絡通訊主機是不會試圖進行相關(guān)數(shù)據(jù)解析從而獲得相應地址的?？梢韵蚍聪虿樵冋咛峁┨摷俚哪繕说刂窋?shù)據(jù)包，該操作就很好地避免了主機相關(guān)信息泄露，然后，相關(guān)工作人員就可以通過機器發(fā)送該虛假目標的反向DNS查詢。

3 局域網(wǎng)監(jiān)聽的防范方法

3.1 網(wǎng)絡分段

從宏觀角度來講，網(wǎng)絡分段是一種防范網(wǎng)絡監(jiān)聽的手段，主要作用是將非法用戶和敏感網(wǎng)絡資源進行隔離，此種方式可以防止非法的監(jiān)聽。實際上，網(wǎng)絡分段可分為兩種方式，物理分段和邏輯分段。物理分段應用于保密級別較高的網(wǎng)絡，而邏輯分段則應用于保密級別較低的網(wǎng)絡。物理分段實際上是運用相關(guān)的硬件設備將不同的網(wǎng)絡進行物理隔離。就現(xiàn)在情況來看，大多數(shù)的交換機都具有一定的訪問控制能力，也可以實施物理分段，因該種分段方式，可以極大程度上避免相關(guān)信息的流失。邏輯分段，主要運用了網(wǎng)段劃分以及IP路由策略制定的方式來實現(xiàn)。對相關(guān)網(wǎng)絡環(huán)境可以將網(wǎng)絡分為若干個IP子網(wǎng)，各個子網(wǎng)之間可以通過路由器、交換器等設備進行相互連接，同時利用這些中間的設備實現(xiàn)各個子網(wǎng)之間的相互訪問以及進行安全訪問控制。在實際應用過程中，一般采用物理分段和邏輯分段結(jié)合的方式來應對網(wǎng)絡系統(tǒng)中的安全問題。

依據(jù)現(xiàn)實生活中實際情況，對網(wǎng)絡進行分段技術(shù)的運用，建立安全的網(wǎng)絡拓撲結(jié)構(gòu)，從總體上在網(wǎng)絡中減小沖突域和廣播域，運用不同的中間連接器來實現(xiàn)連接，同時也實現(xiàn)相互隔離。正常的用戶在使用網(wǎng)絡時不會察覺到相應網(wǎng)段的存在，但該種方式卻很好地防范了網(wǎng)絡監(jiān)聽風險，哪怕某個網(wǎng)段被監(jiān)聽，其他網(wǎng)段也處于安全狀態(tài)。

3.2 訪問控制

所謂對訪問的控制，實際上是要求對訪問進行認證和授權(quán)，甚至是進行全過程的實時監(jiān)控，以此來確保相應合法用戶的訪問權(quán)利。認證通過后，相應用戶可以得到訪問授權(quán)，每次訪問都會有相應的審計進行跟蹤?？梢哉f訪問控制更好地防止了局域網(wǎng)信息泄露。總體上來看其主要任務是更好地保證網(wǎng)絡資源不被非法使用或訪問，其常見的訪問控制策略有以下幾種：

（1）對計算機的使用控制

將相關(guān)用戶的身份進行鑒別，保證合法用戶的權(quán)利，禁止非法用戶對于計算機的操作，在物理方面做好相關(guān)的訪問控制。

（2）用戶權(quán)限控制

合法用戶會被賦予一定權(quán)限，該權(quán)限限定于用戶可以訪問的資源。根據(jù)其不同權(quán)限的設定，不同的用戶也會被分為系統(tǒng)管理員用戶以及受限用戶。根據(jù)資源操作能力的不同，訪問權(quán)限也可以分為多種級別。相關(guān)的網(wǎng)絡系統(tǒng)，管理人員可以按照指定的訪問權(quán)限，對客戶服務器資源訪問進行一定的控制，從而進一步保證網(wǎng)絡和服務器的安全。

（3）網(wǎng)絡監(jiān)測和鎖定控制：

為了保證網(wǎng)絡的安全運行，相關(guān)管理員要對網(wǎng)絡實施監(jiān)控，用戶對于網(wǎng)絡資源訪問的內(nèi)容進行實時記錄。若有非法的網(wǎng)絡訪問，服務器內(nèi)也應該將該內(nèi)容記錄到相應的日志當中，從而讓管理員注意相應問題。若該賬戶在非法訪問的方面操作次數(shù)超過限定值，那么該賬戶就會被自動鎖定。

3.3 以交換機代替集線器

哪怕對局域網(wǎng)中心交換機實施了網(wǎng)絡分段，也不可避免局域網(wǎng)中存在的其他監(jiān)聽漏洞。實際上出現(xiàn)該種漏洞的主要原因是其中用戶接入是通過集線器來實現(xiàn)的，而不是交換機。因此，計算機進行相應的數(shù)據(jù)傳輸時，就會因這些集線器使數(shù)據(jù)包被同一臺集線器上的其他計算機監(jiān)聽。由此可見，運用交換機而不是集線器，相對于用共享式集線器來說更為安全可靠，可以極大程度上防止非法監(jiān)聽。

3.4 劃分VLAN

劃分VLAN或PVLAN，縮小了廣播域或?qū)⒁蕴W(wǎng)通信轉(zhuǎn)變?yōu)辄c到點通信，這樣可以防止網(wǎng)絡監(jiān)聽。同一VLAN內(nèi)部采用交換方式實現(xiàn)，而不同VLAN之間則采用路由實現(xiàn)。在通常情況下的關(guān)鍵服務器處于一個VLAN中，這個VLAN不允許有任何其他節(jié)點存在，以此更好地保護了敏感的主機。

3.5 加密技術(shù)

預防監(jiān)聽最好的辦法就是對數(shù)據(jù)進行相關(guān)的加密。使用這種方式之后，哪怕數(shù)據(jù)遭到竊聽，他們也無法直接閱讀到相關(guān)信息內(nèi)容。以下為加密技術(shù)的三種方式介紹：

其一，SSL/TLS。該種加密手段應用在應用層與傳輸層之間，作為數(shù)據(jù)安全層存在。實際上，其最早應用與瀏覽器以及服務器之間，而現(xiàn)在已經(jīng)被運用到了郵件、LDAP等相關(guān)應用當中，已然成為網(wǎng)絡安全加密的經(jīng)典加密技術(shù)之一。

其二，SSH。該種加密技術(shù)與上一種加密技術(shù)的應用相同，都應用于應用層與傳輸層之間。除此之外，該加密技術(shù)還擁有很大的認證機制以及加密通信能力，在壓縮相關(guān)傳輸數(shù)據(jù)包的同時還可以很好地防御監(jiān)聽，并防止信息篡改。遠程登錄盡量不用Telnet而使用SSH。

其三，IPSec與VPN。IPSec加密技術(shù)用于IPv4與IPv6的安全體系結(jié)構(gòu)?？傮w上見，該技術(shù)可分為兩大部分，IP數(shù)據(jù)包認證加密協(xié)議以及密鑰交換協(xié)議。該種加密技術(shù)應用于網(wǎng)絡層的加密，其主要應用于VPN技術(shù)上。所謂VPN技術(shù)，其主要是運用加密以及隧道技術(shù)將企業(yè)的重要文件信息進行加密封裝，通過公網(wǎng)隧道進行傳輸，從而保證相關(guān)數(shù)據(jù)的運輸安全。

3.6 防御軟件

安裝ARP防火墻類軟件，該種軟件可以與網(wǎng)關(guān)MAC地址進行強行綁定，使相關(guān)監(jiān)聽系統(tǒng)成為擺設。目前像360安全衛(wèi)士、火絨、電腦管家、金山毒霸等軟件均有相關(guān)的功能模塊，ARP防護啟用后，若發(fā)生異常狀況，就會第一時間彈出信息提示用戶。

3.7 增強安全意識

網(wǎng)絡用戶們也要加強自身對于網(wǎng)絡安全使用的意識，及時對系統(tǒng)進行升級，及時安裝系統(tǒng)補丁，將重要的機密信息進行加密傳輸。相關(guān)的網(wǎng)絡系統(tǒng)管理人員要經(jīng)常檢測網(wǎng)絡設備及其安全配置，最大程度上關(guān)閉交換機未使用的端口，盡量停止對于共享式集線器的使用，啟用網(wǎng)絡設備上的防監(jiān)聽安全選項。

4 結(jié)論

綜上所述，我們對局域網(wǎng)監(jiān)聽技術(shù)進行了基本工作原理的研究和探索，也分析了諸多檢測和監(jiān)聽局域網(wǎng)的方法，對防范局域網(wǎng)監(jiān)聽，保護網(wǎng)絡應用安全提出了相應的解決方法。就目前狀況來看，局域網(wǎng)安全狀態(tài)仍需要網(wǎng)絡管理人員進行進一步的技術(shù)細節(jié)挖掘，更全面地對局域網(wǎng)內(nèi)的非法監(jiān)聽采取有效的安全防護，為廣大用戶制造一個良好的網(wǎng)絡環(huán)境，更好地防御黑客侵入，保護用戶的數(shù)據(jù)安全。

[1]過玉清.網(wǎng)絡安全中網(wǎng)絡監(jiān)聽與防范技術(shù)探析[J].數(shù)字技術(shù)與應用，2016（01）：223.

[2]張莉萍.計算機局域網(wǎng)安全與防范技術(shù)研究[J].計算機光盤軟件與應用，2013，16（23）：158+160.

[3]林蓮芳.淺談局域網(wǎng)監(jiān)聽的原理及其防范對策[J].科技廣場，2011（03）：82-83.

[4]劉茹.檢測和防范局域網(wǎng)監(jiān)聽方法的討論研究[J].電腦知識與技術(shù)，2008（15）：1024-1026.

[5]段嚴兵.檢測和防范局域網(wǎng)監(jiān)聽方法的設計[J].機械設計與制造，2007（09）：168-170.

[6]張芳芳.局域網(wǎng)監(jiān)聽的原理、實現(xiàn)方法與防范措施[J].遼寧經(jīng)濟管理干部學院學報，2005（03）：42-42.