文章內(nèi)容

網(wǎng)絡(luò)監(jiān)聽概念

發(fā)布時間: 2012/7/4 9:19:58

網(wǎng)絡(luò)監(jiān)聽工具的提供給管理員的一類管理工具。使用這種工具，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ?

　　但是網(wǎng)絡(luò)監(jiān)聽工具也是黑客們常用的工具。當(dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時，便可以使用網(wǎng)絡(luò)監(jiān)聽的方式來進(jìn)行攻擊。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式，便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@。

　　網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個位置實(shí)施，如局域網(wǎng)中的一臺主機(jī)、網(wǎng)關(guān)上或遠(yuǎn)程網(wǎng)的調(diào)制解調(diào)器之間等。黑客們用得最多的是截獲用戶的口令。

　　什么是網(wǎng)絡(luò)監(jiān)聽

　　網(wǎng)絡(luò)監(jiān)聽是黑客們常用的一種方法。當(dāng)成功地登錄進(jìn)一臺網(wǎng)絡(luò)上的主機(jī)，并取得了這臺主機(jī)的超級用戶的權(quán)限之后，往往要擴(kuò)大戰(zhàn)果，嘗試登錄或者奪取網(wǎng)絡(luò)中其他主機(jī)的控制友。而網(wǎng)絡(luò)監(jiān)聽則是一種最簡單而且最有效的方法，它常常能輕易地獲得用其他方法很難獲得的信息。

　　在網(wǎng)絡(luò)上，監(jiān)聽效果最好的地方是在網(wǎng)關(guān)、路由器、防火墻一類的設(shè)備處，通常由網(wǎng)絡(luò)管理員來操作。使用最方便的是在一個以太網(wǎng)中的任何一臺上網(wǎng)的主機(jī)上，這是大多數(shù)黑客的做法。

　　以太網(wǎng)中可以監(jiān)聽的原因

　　在電話線路和無線電、微波中監(jiān)聽傳輸?shù)男畔⒈容^好理解，但是人們常常不太理解為什么局域網(wǎng)中可以進(jìn)行監(jiān)聽。甚至有人問：能不能監(jiān)聽不在同一網(wǎng)段的信息。下面就講述在以太網(wǎng)中進(jìn)行監(jiān)聽的一些原理。在令牌環(huán)中，道理是相似的。

　　對于一個施行網(wǎng)絡(luò)攻擊的人來說，能攻破網(wǎng)關(guān)、路由器、防火墻的情況極為少見，在這里完全可以由安全管理員安裝一些設(shè)備，對網(wǎng)絡(luò)進(jìn)行監(jiān)控，或者使用一些專門的設(shè)備，運(yùn)行專門的監(jiān)聽軟件，并防止任何非法訪關(guān)。然而，潛入一臺不引人注意的計算機(jī)中，悄悄地運(yùn)行一個監(jiān)聽程序，一個黑客是完全可以做到的。監(jiān)聽是非常消耗CPU資源的，在一個擔(dān)負(fù)繁忙任務(wù)的計算機(jī)中進(jìn)行監(jiān)聽，可以立即被管理員發(fā)現(xiàn)，因?yàn)樗l(fā)現(xiàn)計算機(jī)的響應(yīng)速度令人驚奇慢。

　　對于一臺連網(wǎng)的計算機(jī)，最方便的是在以太網(wǎng)中進(jìn)行監(jiān)聽，只須安裝一個監(jiān)聽軟件，然后就可以坐在機(jī)器旁瀏覽監(jiān)聽到的信息了。

　　以太網(wǎng)協(xié)議的工作方式為將要發(fā)送的數(shù)據(jù)包發(fā)往連在一起的所有主機(jī)。在包頭中包含著應(yīng)該接收數(shù)據(jù)包的主機(jī)的正確地址。因此，只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺主機(jī)才能接收信包。但是，當(dāng)主機(jī)工在監(jiān)聽模式下，無論數(shù)據(jù)包中的目標(biāo)物理地址是什么，主機(jī)都將接收。

　　在Internet上，有許多這樣的局域網(wǎng)。幾臺甚至十幾臺主機(jī)通過一條電纜一個集線器連在一起。在協(xié)議的高層或用戶看來，當(dāng)同一網(wǎng)絡(luò)中的兩臺主機(jī)通信時，源主機(jī)將寫有目的主機(jī)IP地址的數(shù)據(jù)包發(fā)向網(wǎng)關(guān)。但是，這種數(shù)據(jù)包并不能在協(xié)議棧的高層直接發(fā)送出去。要發(fā)送的數(shù)據(jù)包必須從TCP/IP協(xié)議的IP層交給網(wǎng)絡(luò)接口，即數(shù)據(jù)鏈路層。

　　網(wǎng)絡(luò)接口不能識別IP地址。在網(wǎng)絡(luò)接口，由IP層來的帶有IP地址的數(shù)據(jù)包又增加了一部分信息：以太幀的幀頭。在帖頭中，有兩個域分別為只有網(wǎng)絡(luò)接口才能識別的源主機(jī)和目的主機(jī)的物理地址，這是一個48位的地址。這個48位的地址是與IP地址對應(yīng)的。也就是說，一個IP地址，必然對應(yīng)一個物理地址。對于作為網(wǎng)關(guān)的主機(jī)，由于它連接了多個網(wǎng)絡(luò)，因此它同時具有多個IP地址，在每個網(wǎng)絡(luò)中，它都有一個。發(fā)向局域網(wǎng)之外的幀中攜帶的是網(wǎng)關(guān)的物理地址。

　　在以太網(wǎng)中，填寫了物理地址的幀從網(wǎng)絡(luò)接口中，也就是從網(wǎng)卡中發(fā)送出去，傳送到物理的線路上。如果局域網(wǎng)是由一條粗纜或細(xì)纜連接機(jī)而成，則數(shù)字信號在電纜上傳輸，信號能夠到達(dá)線路上的每一臺主機(jī)。當(dāng)使用集線器時，發(fā)送出去的信號到達(dá)集線器，由集線器再發(fā)向連接在信線器上的每一條線路。于是，在物理線路上傳輸?shù)臄?shù)字信號也能到達(dá)連接在集線器上的每一主機(jī)。

　　數(shù)字信號到達(dá)一臺主機(jī)的網(wǎng)絡(luò)接口時，在正常情況下，網(wǎng)絡(luò)接口讀入數(shù)據(jù)幀，進(jìn)行檢查，如果數(shù)據(jù)幀中攜帶的確良物理地址是自己的，或者物理地址是廣播地址，則將數(shù)據(jù)幀交給上層協(xié)議軟件，也就是IP層軟件，否則就將這個幀丟棄。對于每一個到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)幀，都要進(jìn)行這個過程。然而，當(dāng)主機(jī)工作在監(jiān)聽模式下，則所有的數(shù)據(jù)幀都將被交給上層協(xié)議軟件處理。

　　局域網(wǎng)的這種工作方式，一個形象的例子是，大房間就像是一個共享的信道，里面的每個人好像是一臺主機(jī)。人們所說的話是信息包，在大房間中到處傳播。當(dāng)我們對其中某個人說話時，所有的人都能聽到。但只有名字相同的那個人，才會對這些話語做出反映，進(jìn)行處理。其余的人聽到了這些談話，只能從發(fā)呆中猜測，是否在監(jiān)聽他人的談話。

　　當(dāng)連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個子網(wǎng)時，如果一臺主機(jī)處于監(jiān)聽模式下，它還能接收到發(fā)向與自己不在同一子網(wǎng)(使用了不同的掩碼、IP地址和網(wǎng)關(guān))的主機(jī)的那些信包。也就是說，在同一條物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏健?

　　許多人會問：能不能監(jiān)聽不在同一個網(wǎng)段計算機(jī)傳輸?shù)男畔ⅰ４鸢甘欠穸ǖ�，一臺計算機(jī)只能監(jiān)聽經(jīng)過自己網(wǎng)絡(luò)接口的那些信包。否則，我們將能監(jiān)聽到整個Internet,情形會多么可怕。

　　要使主機(jī)工作在監(jiān)聽模式下，需要向網(wǎng)絡(luò)接口(Interface)發(fā)送I/O控制命令，將其設(shè)置為監(jiān)聽模式。在UNIX系統(tǒng)中，發(fā)送這些命令需要超級用戶的權(quán)限。這一點(diǎn)限制了在UNIX系統(tǒng)中，普通用戶是不能進(jìn)行網(wǎng)絡(luò)監(jiān)聽的。只有獲得超級用戶權(quán)限，才能進(jìn)行網(wǎng)絡(luò)監(jiān)聽。但是，在上網(wǎng)的Windows 95中，則沒有這個限制。只要運(yùn)行這一類的監(jiān)聽軟件即可。同時，在微機(jī)上運(yùn)行的這類軟件具的操作方便，對監(jiān)聽到信息的綜合能力強(qiáng)的特點(diǎn)。

　　目前的絕大多數(shù)計算機(jī)網(wǎng)絡(luò)使用共享的通信信道。從上面的討論中，我們知道，通信信道的共享意味著，計算機(jī)有可能接收發(fā)向另一臺計算機(jī)的信息。

　　另外，要說明的是，Internet中使用的大部分協(xié)議都是很早設(shè)計的，許多協(xié)議的實(shí)現(xiàn)都是基于一種非常友好的，通信的雙方充分信任的基礎(chǔ)之上。因此，直到現(xiàn)在，網(wǎng)絡(luò)安全還是非常脆弱的。在通常的網(wǎng)絡(luò)環(huán)境下，用戶的所有信息，包手戶頭和口令信息都是以明文的方式在網(wǎng)上傳輸。因此，對于一個網(wǎng)絡(luò)黑客和網(wǎng)絡(luò)攻擊者進(jìn)行網(wǎng)絡(luò)監(jiān)聽，獲得用戶的各種信息并不是一件很困難的事。只要具有初步的網(wǎng)絡(luò)和TCP/IP協(xié)議知識，便能輕易地從監(jiān)聽到的信息中提取出感興趣的部分。

　　網(wǎng)絡(luò)監(jiān)聽常常要保存大量的信息，對收集的信息進(jìn)行大量的整理工作，因此，正在進(jìn)行監(jiān)的機(jī)器對用戶的請求響應(yīng)很慢。

　　首先，網(wǎng)絡(luò)監(jiān)聽軟件運(yùn)行時，需要消耗大量的處理器時間，如果在此時，就詳細(xì)地分析包中的內(nèi)容，許多包就會來不信接收而漏掉。因此，網(wǎng)絡(luò)監(jiān)聽軟件通常都是將監(jiān)聽到的包存放在文件中，待以后再分析。

　　其次，網(wǎng)絡(luò)中的數(shù)據(jù)包非常復(fù)雜，兩臺主機(jī)之間即使連續(xù)發(fā)送和接受數(shù)據(jù)包，在監(jiān)聽到的結(jié)果中，中間必然會夾雜了許多別的主機(jī)交互的數(shù)據(jù)包。監(jiān)聽軟件將同一TCP會話的包整理到一起，已經(jīng)是很不錯了。如果還希望將用戶的詳細(xì)信息整理出瞇，需要根據(jù)協(xié)議對包進(jìn)行大量的分析。面對網(wǎng)絡(luò)上如此眾多的協(xié)議，這個監(jiān)聽軟件將會十分龐大。

　　其實(shí)，找這些信息并不是一件難事。只要根據(jù)一定的規(guī)律，很容易將有用的信息一一提取出來。

本文出自：億恩科技【www.allwellnessguide.com】

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]