检测和防范局域网监听方法的讨论研究

开篇：润墨网以专业的文秘视角，为您筛选了一篇检测和防范局域网监听方法的讨论研究范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：本文通过对局域网监听技术基本工作原理的研究，分析了在局域网特别是以太网中检测网络监听的方法，并结合实际工作情况总结了一些检测监听的方法和防范监听的措施，详细设计了几种常见的防范局域网监听方法：Ping、交换式集线器、划分VLAN、访问控制、静态ARP、加密技术、防御软件、安全意识等。

关键词：网络安全；监听检测；监听防范；方法

中文图书分类号：TP393 文献标识码：A 文章编号：1009-3044(2008)15-20ppp-0c

LAN Monitoring Detection and Prevention Methods Discussed

LIU Ru

(The Xiangfan Power of Wuhan Railway Bureau,Xiangfan 441003,China)

Abstract:Based on the LAN Sniffer Technology basic tenets of research,analysis in a particular Ethernet LAN Network Sniffer detection method,combined with the actual work of summing up some of the methods and monitoring measures to prevent eavesdropping the detailed design Several common methods to prevent eavesdropping LAN: Pingwitching hubs,of VLAN,access control,static ARP,encryption technology,defense software,security awareness.

Key words:Network Security;Detection Monitoring;Prevent Eavesdropping;Method

1 引言

随着计算机网络技术的迅速发展，网络在办公中扮演的角色越来越重要，数据的传输、资源的共享简化了办公流程，加快了办事的效率，但由于网络连接的自由性和信息的可复制性，也使网络安全逐渐成为人们关注的一个热点，信息泄露现象越来越普遍。一旦诸如口令、账号等被截获，则可以非常容易地实现对整个局域网的控制。

在表1中，以太网和环网是不需要搭线或通过主机设备就可进行监听，目前多数局域网以以太网为主，当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。因而检测和防范此类网络监听就显得尤其重要。

2 局域网监听技术的定义及原理

局域网技术是把分散在较小地理范围中的计算机、终端、设备、网络设备等各种数据通信设备相互连接起来，以很高的速度进行通信的技术。在局域网线路上传输的数据是以数据包为单位的，主机的局域网卡负责发送和接收数据包。局域网系统有一条共享信道，各主机平等地、随机地竞争在信道上传输数据包的机会。某一主机发送数据包，数据包会在共享信道上广播到每一个主机，主机局域网卡根据地址选取发给本机的数据包，过滤掉发给其他主机的数据包。如果网络中某个网卡的物理地址不确定，那么该网卡将接收所有在局域网中传输的数据包，无论该数据数据包中携带的目标地址是广播地址还是某一指定的地址，这就形成了局域网的监听。如果局域网中的某一台主机被设置成监听模式，它就成了一个网络嗅探器，英文称为Sniffer。在局域网中，Sniffer收集局域网上传送的数据包中的数据，这些数据可以是用户的账号和密码，也可以是一些机密文件和重要数据等等。Sniffer通常运行在路由器或有路由器功能的主机上，这样能对大量的数据进行监控。使用Sniffer进行监听的网络可以是运行在各种协议之下的，也可以是其中几种协议的联合。由此可见，Sniffer几乎能监听和捕获到任何局域网上传送的数据包。

3 检测局域网监听的方法

3.1 Ping方法

这种检测原理基于以太网的数据链路层和TCP/IP网络层的实现，是一种非常有效的测试方法。

Ping法的原理：如果一个以太网的数据包的目的MAC地址不属于本机，该包会在以太网的数据链路层上被抛弃，无法进入TCP/IP网络层；进入TCP/IP网络层的数据包，如果解析该包后，发现这是一个包含本机ICMP回应请示的TCP包（Ping则网络层向该包的发送主机发送ICMP回应。

我们可以构造一个Ping含正确的IP地址和错误的MAC地址，其中IP地址是可疑主机的IP地址，MAC地址是伪造的，这样如果可疑主机的网卡工作在正常模式，则该包将在可疑主机的以太网的数据链路层上被丢弃，TCP/IP网络层接收不到数据因而也不会有什么反应。如果可疑主机的网卡工作在混杂模式，它就能接收错误的MAC地址，该非法包会被数据链路层接收而进入上层的TCP/IP网络层，TCP/IP网络层将对这个非法的Ping回应，从而暴露工作模式。

使用Ping步骤如下：

a.假设可疑主机的IP地址为192.168.10.11，MAC地址是00-E0-4C-3A-4B-A4,检测者和可疑主机位于同一网段。

b.稍微修改可疑主机的MAC地址，假设改成00-E0-4C-3A-4B-A4。

c.向可疑主机发送一个Ping含它的IP和改动后的MAC地址。

d.没有被监听的主机不能够看到发送的数据包，因为正常的主机检查这个数据包，比较数据包的MAC地址与自己的MAC地址不相符，则丢弃这个数据包，不产生回应。

e.如果看到回应，说明数据包没有被丢弃，也就是说，可疑主机被监听了．

3.2 通过一些现象检测

a.网络通信掉包率反常的高：

通过一些网络软件，可以看到信息包传送情况。如果网络中有人在监听，那么信息包传送将无法每次都顺畅地传到目的地，这是由于Sniffer拦截每个包导致。

b.络带宽出现反常：

通过防火墙的带宽控制器可以实时看到当前网络带宽的分布情况，如果某台计算机长时间占用了较大的带宽，对外界的响应很慢，这台计算机就有可能被监听。

c.查看Sniffer警告信息：

在一个大型网络中，被安装Sniffer的计算机会明显加重负荷，Sniffer的日志文件会很快增大并填满文件空间。这些警告信息能够帮助管理员发现Sniffer。

d.检测混杂模式的网络接口：

一个主机上的Sniffer会将网络接口置为混杂模式以接收所有数据包，因而，可通过监测混杂模式网络接口的方法来判断是否被监听。虽然可以在非混杂模式下运行Sniffer，但这样只能捕获本机会话，只有混杂模式下才能捕获局域网中的所有会话。

3.3 ARP方法

这种模式是Ping一种变体。通过向网络内的主机发送广播方式的ARP包，如果网络内的某台主机响应了这个ARP请求，那么我们就可以判断它很有可能处于网络监听模式。

4 局域网监听的防范方法

4.1 网络分段

网络分段通常被认为是控制网络监听的一种基本手段，其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。网络分段可分为物理分段和逻辑分段两种方式。通常在保密级别相对较高的地点会采用物理分段的方式，而保密的级别相对较低的地点采用逻辑分段。物理分段是以硬件设备将网络划分成不同的网络地址段。目前，绝大多数交换机都有一定的访问控制能力，可实现对网络的物理分段。在出现问题进可以通过物理手段来断开网络以避免更大的损失。逻辑分段则通过网段的划分和IP地址策略制定达到网络分段的目的。对TCP/IP网络，可把网络分成若干IP子网，各子网间必须通过路由器、交换机、网关、防火墙等设备进行连接，利用这些中间设备的安全机制来控制各子网间的访问。在实际应用过程中，通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。

我段根据实际情况采用网络分段技术，建立安全的网络拓扑结构，把网络分成三个小的网络，在网段之间通过路由器、交换机相连，实现相互隔离。在用户模式下根本感觉不到网络段落的存在，但是确实很好地防范了网络监听。即使某个网段被监听了，网络中的其他网段还是安全的。

4.2 访问控制

访问控制就是要对访问的申请、批准和撤销的全过程进行有效的控制，确保只有合法用户的合法访问才能被批准，而且被批准的访问要进行授权，对于每次访问还应该有审计跟踪。访问控制是局域网内防止信息泄漏的重要策略，其主要任务是保证网络资源不被非法使用和访问，常见的访问控制策略有：

a.对计算机的使用控制：

对用户的身份进行鉴别，保证使用计算机的用户合法性，禁止非法用户操作计算机，从物理上做好访问控制。

b.用户权限控制：

用户被赋予一定的权限，根据权限控制用户可以访问哪些资源，对这些资源可以进行哪些操作。根据访问权限不同，将用户分为系统管理员用户、受限用户。并根据对资源操作的不同，访问权限分为系统管理员权限、读权限、写权限、创建权限、删除权限、文件查找权限等。网络系统管理员可以为用户指定适当的访问权限，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。

c.网络监测和锁定控制：

网络管理员应对网络实施监控，服务器记录用户对网络资源的访问。对非法的网络访问，服务器应以文字的方式在日志中予以记录，从而引起管理员的注意。如果非法访问的次数达到设定数值，那么该账户将被自动锁定。

4.3 以交换式集线器代替共享式集线器

对局域网的中心交换机进行网络分段后，局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机。而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包还是会被同一台集线器上的其他用户监听。因此，以交换机式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法监听。

4.4 划分VLAN

运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵。VLAN内部之间的连接采用交换来实现，而VLAN与VLAN间的连接则采用路由来实现，将其通信改为点对点的通信，能有效地防止基于广播原理的局域网监听。在集中式网络环境中，一般将中心所有主机集中到一个VLAN中，在这个VLAN中不允许有任何其它节点，从而较好地保护了敏感主机。

5 结束语

本文通过对局域网监听技术基本工作原理的研究，分析了在局域网特别是以太网中检测网络监听的方法，并结合实际工作情况总结了一些检测监听的方法和防范监听的措施。鉴于目前的局域网络安全现状，我们会根据实际工作情况进一步挖掘检测局域网监听和防范的技术细节，从技术实现上掌握先机，消除给网络安全还来的所有隐患。

参考文献：

[1]王石,局域网安全与攻防[M].北京:电子工业出版社,2006:347.

[2]方欣,刘仰华.计算机网络系统集成[M].北京:中国水利水电出版社,2005.

[3]徐健.基于网络的入侵检测系统的设计与实现.计算机系统应用,2006.10.

[4](美)W.Richard Stevens.TCP/IP详解（卷1：协议）[M].北京:机械T-业出版社,2002.

收稿日期：2008-2-10

作者简介：刘茹（1978-），女，湖北当阳人，武汉铁路局襄樊供电段段长办公室助理工程师，助理工程师，学士学位，主要从事TMIS、办公自动化等研究。