◆鄭秀琴

檢測(cè)和防范局域網(wǎng)監(jiān)聽(tīng)方法的設(shè)計(jì)研究

◆鄭秀琴

（衢州職業(yè)技術(shù)學(xué)院 浙江 324000）

隨著網(wǎng)絡(luò)應(yīng)用的蓬勃發(fā)展，網(wǎng)絡(luò)安全技術(shù)的運(yùn)用已經(jīng)逐漸深入各行各業(yè)當(dāng)中。本文就局域網(wǎng)中監(jiān)聽(tīng)技術(shù)的基礎(chǔ)原理進(jìn)行研究和探索，對(duì)局域網(wǎng)，尤其是以太網(wǎng)中檢測(cè)網(wǎng)絡(luò)監(jiān)聽(tīng)的方式進(jìn)行了具體分析，并結(jié)合實(shí)踐過(guò)程中的工作經(jīng)驗(yàn)對(duì)檢測(cè)和預(yù)防監(jiān)聽(tīng)的方法和相關(guān)測(cè)試進(jìn)行總結(jié)，其常見(jiàn)的防御網(wǎng)絡(luò)監(jiān)聽(tīng)方法有arp防火墻、防止MAC泛洪、控制SNMP的使用等等。

網(wǎng)絡(luò)安全；監(jiān)聽(tīng)檢測(cè)；監(jiān)聽(tīng)防范

所謂網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)，通常是指使用一些網(wǎng)絡(luò)工具軟件或網(wǎng)絡(luò)設(shè)備來(lái)實(shí)現(xiàn)監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)募夹g(shù)，它的應(yīng)用是把雙刃劍：一方面一些黑客在入侵局域網(wǎng)的時(shí)候，都將掃描以及監(jiān)聽(tīng)當(dāng)作是入侵的基本步驟和常用手段；另一方面，網(wǎng)絡(luò)管理員也可以及時(shí)地運(yùn)用相關(guān)軟件和設(shè)備來(lái)進(jìn)行局域網(wǎng)狀態(tài)以及數(shù)據(jù)流量的狀況監(jiān)測(cè)，從而實(shí)現(xiàn)進(jìn)一步的全局監(jiān)控，以便對(duì)局域網(wǎng)的性能進(jìn)行及時(shí)優(yōu)化。由此可見(jiàn)，研究檢測(cè)和防范局域網(wǎng)的監(jiān)聽(tīng)方式具有很重要的意義。因?yàn)榫W(wǎng)絡(luò)監(jiān)聽(tīng)隱蔽性極高，很難被察覺(jué)，以至于相關(guān)方面的監(jiān)測(cè)方式以及監(jiān)聽(tīng)措施都缺乏系統(tǒng)研究。

1 局域網(wǎng)監(jiān)聽(tīng)技術(shù)的定義及原理

局域網(wǎng)技術(shù)是將分散在各個(gè)小地理范圍內(nèi)的計(jì)算機(jī)終端、外圍設(shè)備以及網(wǎng)絡(luò)設(shè)備，通過(guò)各種數(shù)據(jù)通訊設(shè)備相互連接，使其實(shí)現(xiàn)資源共享，達(dá)到高速通信目標(biāo)的技術(shù)。運(yùn)用局域網(wǎng)進(jìn)行數(shù)據(jù)傳輸，其數(shù)據(jù)傳輸?shù)膯挝粸閿?shù)據(jù)包。共享網(wǎng)絡(luò)中數(shù)據(jù)包會(huì)通過(guò)共享通道傳送到同一個(gè)廣播域內(nèi)的每一個(gè)主機(jī)，而主機(jī)會(huì)根據(jù)目標(biāo)MAC接收發(fā)給本主機(jī)的數(shù)據(jù)包，其他主機(jī)自動(dòng)過(guò)濾掉該數(shù)據(jù)包。交換網(wǎng)絡(luò)中數(shù)據(jù)包則根據(jù)MAC地址表直接發(fā)送到目標(biāo)主機(jī)，若傳輸?shù)臄?shù)據(jù)包為廣播包，包括定向廣播和有限廣播數(shù)據(jù)包，如ARP、DHCP等數(shù)據(jù)包，則廣播域內(nèi)所有主機(jī)都會(huì)收到該數(shù)據(jù)包。若接入交換機(jī)上設(shè)置了鏡像端口，且將該端口下的主機(jī)網(wǎng)卡設(shè)置監(jiān)聽(tīng)模式，那么它就相當(dāng)于一個(gè)網(wǎng)絡(luò)嗅探器，能收集該局域網(wǎng)傳輸?shù)臄?shù)據(jù)，這些數(shù)據(jù)可以是機(jī)密文件，也可以是用戶的賬號(hào)和密碼等等。網(wǎng)絡(luò)探嗅設(shè)備主要運(yùn)行在路由設(shè)備以及有路由功能的網(wǎng)絡(luò)設(shè)備上，這樣可以更好地對(duì)大量數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控。另外通過(guò)ARP欺騙或MAC泛洪攻擊也可以實(shí)施監(jiān)聽(tīng)。從上述內(nèi)容可知，網(wǎng)絡(luò)嗅探設(shè)備幾乎可以捕捉到局域網(wǎng)網(wǎng)上傳輸?shù)乃袛?shù)據(jù)包。

2 檢測(cè)局域網(wǎng)監(jiān)聽(tīng)的方法

2.1 通過(guò)主機(jī)反映的一些現(xiàn)象檢測(cè)

（1）網(wǎng)絡(luò)通信丟包率高出正常標(biāo)準(zhǔn)。運(yùn)用一些網(wǎng)絡(luò)軟件可以對(duì)相關(guān)情況進(jìn)行了解，這些軟件會(huì)及時(shí)告知所丟數(shù)據(jù)的數(shù)量，若傳輸過(guò)程遭人監(jiān)聽(tīng)，那么信息就無(wú)法正常傳送到應(yīng)傳送的目的地。該現(xiàn)象可能是因?yàn)榫W(wǎng)絡(luò)嗅探器攔截引起的。

（2）上網(wǎng)設(shè)備的網(wǎng)絡(luò)帶寬出現(xiàn)異常。一般情況下，網(wǎng)絡(luò)帶寬情況可以通過(guò)相應(yīng)的防火墻帶寬控制器查看分布狀況。若某臺(tái)機(jī)器帶寬占時(shí)較長(zhǎng)，給予外界響應(yīng)很慢，那么這臺(tái)機(jī)器極有可能已被監(jiān)聽(tīng)。

（3）對(duì)網(wǎng)絡(luò)警告信息進(jìn)行及時(shí)查看。對(duì)于一個(gè)大型的網(wǎng)絡(luò)應(yīng)用，其被安裝網(wǎng)絡(luò)嗅探器后會(huì)嚴(yán)重增加負(fù)荷，相關(guān)日志也會(huì)被填滿。相關(guān)人員就可以通過(guò)這些信息及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)嗅探器的存在。

（4）對(duì)具備網(wǎng)絡(luò)混雜模式的接口進(jìn)行檢測(cè)。實(shí)際上，網(wǎng)絡(luò)上的網(wǎng)絡(luò)監(jiān)聽(tīng)設(shè)備會(huì)將網(wǎng)絡(luò)接口設(shè)置為混雜模式。該種模式可以更好地通過(guò)檢測(cè)來(lái)判斷是否被監(jiān)聽(tīng)。雖然非混雜模式下該網(wǎng)卡也可以捕捉到本機(jī)會(huì)話，但無(wú)法縱觀局域網(wǎng)全部進(jìn)行檢測(cè)。

2.2 主動(dòng)檢測(cè)

除上述方法外，還可以通過(guò)以下檢測(cè)的方式來(lái)進(jìn)行局域網(wǎng)是否被監(jiān)聽(tīng)：

第一，搜索法。該種方法應(yīng)用于本地主機(jī)上，對(duì)本機(jī)中的所有運(yùn)行進(jìn)程進(jìn)行檢測(cè)，從而發(fā)現(xiàn)網(wǎng)絡(luò)監(jiān)聽(tīng)。相關(guān)網(wǎng)絡(luò)中存在的硬件和命令就會(huì)以各種形式進(jìn)行傳達(dá)，最后產(chǎn)生一個(gè)包含所有進(jìn)程的清單。

第二，探測(cè)法。通常情況下，網(wǎng)卡會(huì)自動(dòng)過(guò)濾掉目標(biāo)物理地址不是本機(jī)的相關(guān)數(shù)據(jù)包。若這個(gè)數(shù)據(jù)傳送包的目的地址的確為本機(jī)地址或相應(yīng)的廣播地址，那么其傳輸?shù)男畔⒕蜁?huì)被傳送到內(nèi)核進(jìn)行處理。若網(wǎng)卡處于監(jiān)聽(tīng)狀態(tài)，所有傳送到的數(shù)據(jù)包都會(huì)被系統(tǒng)進(jìn)行分析并構(gòu)造一個(gè)有效的返回?cái)?shù)據(jù)包。如原數(shù)據(jù)包存在一個(gè)echo request，若網(wǎng)卡處于混雜模式則系統(tǒng)會(huì)返回echo reply，這樣就會(huì)最終暴露監(jiān)聽(tīng)主系統(tǒng)偽造數(shù)據(jù)包的地址，達(dá)到引蛇出洞的效果。

第三，DNS測(cè)試。監(jiān)聽(tīng)者為了尋找更有價(jià)值的主機(jī)，常常會(huì)使用網(wǎng)絡(luò)數(shù)據(jù)收集工具進(jìn)行反向DNS解析。這一操作之下，監(jiān)聽(tīng)工具就由被動(dòng)型變?yōu)榱酥鲃?dòng)型，不進(jìn)行監(jiān)聽(tīng)的網(wǎng)絡(luò)通訊主機(jī)是不會(huì)試圖進(jìn)行相關(guān)數(shù)據(jù)解析從而獲得相應(yīng)地址的?？梢韵蚍聪虿樵冋咛峁┨摷俚哪繕?biāo)地址數(shù)據(jù)包，該操作就很好地避免了主機(jī)相關(guān)信息泄露，然后，相關(guān)工作人員就可以通過(guò)機(jī)器發(fā)送該虛假目標(biāo)的反向DNS查詢。

3 局域網(wǎng)監(jiān)聽(tīng)的防范方法

3.1 網(wǎng)絡(luò)分段

從宏觀角度來(lái)講，網(wǎng)絡(luò)分段是一種防范網(wǎng)絡(luò)監(jiān)聽(tīng)的手段，主要作用是將非法用戶和敏感網(wǎng)絡(luò)資源進(jìn)行隔離，此種方式可以防止非法的監(jiān)聽(tīng)。實(shí)際上，網(wǎng)絡(luò)分段可分為兩種方式，物理分段和邏輯分段。物理分段應(yīng)用于保密級(jí)別較高的網(wǎng)絡(luò)，而邏輯分段則應(yīng)用于保密級(jí)別較低的網(wǎng)絡(luò)。物理分段實(shí)際上是運(yùn)用相關(guān)的硬件設(shè)備將不同的網(wǎng)絡(luò)進(jìn)行物理隔離。就現(xiàn)在情況來(lái)看，大多數(shù)的交換機(jī)都具有一定的訪問(wèn)控制能力，也可以實(shí)施物理分段，因該種分段方式，可以極大程度上避免相關(guān)信息的流失。邏輯分段，主要運(yùn)用了網(wǎng)段劃分以及IP路由策略制定的方式來(lái)實(shí)現(xiàn)。對(duì)相關(guān)網(wǎng)絡(luò)環(huán)境可以將網(wǎng)絡(luò)分為若干個(gè)IP子網(wǎng)，各個(gè)子網(wǎng)之間可以通過(guò)路由器、交換器等設(shè)備進(jìn)行相互連接，同時(shí)利用這些中間的設(shè)備實(shí)現(xiàn)各個(gè)子網(wǎng)之間的相互訪問(wèn)以及進(jìn)行安全訪問(wèn)控制。在實(shí)際應(yīng)用過(guò)程中，一般采用物理分段和邏輯分段結(jié)合的方式來(lái)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的安全問(wèn)題。

依據(jù)現(xiàn)實(shí)生活中實(shí)際情況，對(duì)網(wǎng)絡(luò)進(jìn)行分段技術(shù)的運(yùn)用，建立安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，從總體上在網(wǎng)絡(luò)中減小沖突域和廣播域，運(yùn)用不同的中間連接器來(lái)實(shí)現(xiàn)連接，同時(shí)也實(shí)現(xiàn)相互隔離。正常的用戶在使用網(wǎng)絡(luò)時(shí)不會(huì)察覺(jué)到相應(yīng)網(wǎng)段的存在，但該種方式卻很好地防范了網(wǎng)絡(luò)監(jiān)聽(tīng)風(fēng)險(xiǎn)，哪怕某個(gè)網(wǎng)段被監(jiān)聽(tīng)，其他網(wǎng)段也處于安全狀態(tài)。

3.2 訪問(wèn)控制

所謂對(duì)訪問(wèn)的控制，實(shí)際上是要求對(duì)訪問(wèn)進(jìn)行認(rèn)證和授權(quán)，甚至是進(jìn)行全過(guò)程的實(shí)時(shí)監(jiān)控，以此來(lái)確保相應(yīng)合法用戶的訪問(wèn)權(quán)利。認(rèn)證通過(guò)后，相應(yīng)用戶可以得到訪問(wèn)授權(quán)，每次訪問(wèn)都會(huì)有相應(yīng)的審計(jì)進(jìn)行跟蹤。可以說(shuō)訪問(wèn)控制更好地防止了局域網(wǎng)信息泄露。總體上來(lái)看其主要任務(wù)是更好地保證網(wǎng)絡(luò)資源不被非法使用或訪問(wèn)，其常見(jiàn)的訪問(wèn)控制策略有以下幾種：

（1）對(duì)計(jì)算機(jī)的使用控制

將相關(guān)用戶的身份進(jìn)行鑒別，保證合法用戶的權(quán)利，禁止非法用戶對(duì)于計(jì)算機(jī)的操作，在物理方面做好相關(guān)的訪問(wèn)控制。

（2）用戶權(quán)限控制

合法用戶會(huì)被賦予一定權(quán)限，該權(quán)限限定于用戶可以訪問(wèn)的資源。根據(jù)其不同權(quán)限的設(shè)定，不同的用戶也會(huì)被分為系統(tǒng)管理員用戶以及受限用戶。根據(jù)資源操作能力的不同，訪問(wèn)權(quán)限也可以分為多種級(jí)別。相關(guān)的網(wǎng)絡(luò)系統(tǒng)，管理人員可以按照指定的訪問(wèn)權(quán)限，對(duì)客戶服務(wù)器資源訪問(wèn)進(jìn)行一定的控制，從而進(jìn)一步保證網(wǎng)絡(luò)和服務(wù)器的安全。

（3）網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制：

為了保證網(wǎng)絡(luò)的安全運(yùn)行，相關(guān)管理員要對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控，用戶對(duì)于網(wǎng)絡(luò)資源訪問(wèn)的內(nèi)容進(jìn)行實(shí)時(shí)記錄。若有非法的網(wǎng)絡(luò)訪問(wèn)，服務(wù)器內(nèi)也應(yīng)該將該內(nèi)容記錄到相應(yīng)的日志當(dāng)中，從而讓管理員注意相應(yīng)問(wèn)題。若該賬戶在非法訪問(wèn)的方面操作次數(shù)超過(guò)限定值，那么該賬戶就會(huì)被自動(dòng)鎖定。

3.3 以交換機(jī)代替集線器

哪怕對(duì)局域網(wǎng)中心交換機(jī)實(shí)施了網(wǎng)絡(luò)分段，也不可避免局域網(wǎng)中存在的其他監(jiān)聽(tīng)漏洞。實(shí)際上出現(xiàn)該種漏洞的主要原因是其中用戶接入是通過(guò)集線器來(lái)實(shí)現(xiàn)的，而不是交換機(jī)。因此，計(jì)算機(jī)進(jìn)行相應(yīng)的數(shù)據(jù)傳輸時(shí)，就會(huì)因這些集線器使數(shù)據(jù)包被同一臺(tái)集線器上的其他計(jì)算機(jī)監(jiān)聽(tīng)。由此可見(jiàn)，運(yùn)用交換機(jī)而不是集線器，相對(duì)于用共享式集線器來(lái)說(shuō)更為安全可靠，可以極大程度上防止非法監(jiān)聽(tīng)。

3.4 劃分VLAN

劃分VLAN或PVLAN，縮小了廣播域或?qū)⒁蕴W(wǎng)通信轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通信，這樣可以防止網(wǎng)絡(luò)監(jiān)聽(tīng)。同一VLAN內(nèi)部采用交換方式實(shí)現(xiàn)，而不同VLAN之間則采用路由實(shí)現(xiàn)。在通常情況下的關(guān)鍵服務(wù)器處于一個(gè)VLAN中，這個(gè)VLAN不允許有任何其他節(jié)點(diǎn)存在，以此更好地保護(hù)了敏感的主機(jī)。

3.5 加密技術(shù)

預(yù)防監(jiān)聽(tīng)最好的辦法就是對(duì)數(shù)據(jù)進(jìn)行相關(guān)的加密。使用這種方式之后，哪怕數(shù)據(jù)遭到竊聽(tīng)，他們也無(wú)法直接閱讀到相關(guān)信息內(nèi)容。以下為加密技術(shù)的三種方式介紹：

其一，SSL/TLS。該種加密手段應(yīng)用在應(yīng)用層與傳輸層之間，作為數(shù)據(jù)安全層存在。實(shí)際上，其最早應(yīng)用與瀏覽器以及服務(wù)器之間，而現(xiàn)在已經(jīng)被運(yùn)用到了郵件、LDAP等相關(guān)應(yīng)用當(dāng)中，已然成為網(wǎng)絡(luò)安全加密的經(jīng)典加密技術(shù)之一。

其二，SSH。該種加密技術(shù)與上一種加密技術(shù)的應(yīng)用相同，都應(yīng)用于應(yīng)用層與傳輸層之間。除此之外，該加密技術(shù)還擁有很大的認(rèn)證機(jī)制以及加密通信能力，在壓縮相關(guān)傳輸數(shù)據(jù)包的同時(shí)還可以很好地防御監(jiān)聽(tīng)，并防止信息篡改。遠(yuǎn)程登錄盡量不用Telnet而使用SSH。

其三，IPSec與VPN。IPSec加密技術(shù)用于IPv4與IPv6的安全體系結(jié)構(gòu)?？傮w上見(jiàn)，該技術(shù)可分為兩大部分，IP數(shù)據(jù)包認(rèn)證加密協(xié)議以及密鑰交換協(xié)議。該種加密技術(shù)應(yīng)用于網(wǎng)絡(luò)層的加密，其主要應(yīng)用于VPN技術(shù)上。所謂VPN技術(shù)，其主要是運(yùn)用加密以及隧道技術(shù)將企業(yè)的重要文件信息進(jìn)行加密封裝，通過(guò)公網(wǎng)隧道進(jìn)行傳輸，從而保證相關(guān)數(shù)據(jù)的運(yùn)輸安全。

3.6 防御軟件

安裝ARP防火墻類軟件，該種軟件可以與網(wǎng)關(guān)MAC地址進(jìn)行強(qiáng)行綁定，使相關(guān)監(jiān)聽(tīng)系統(tǒng)成為擺設(shè)。目前像360安全衛(wèi)士、火絨、電腦管家、金山毒霸等軟件均有相關(guān)的功能模塊，ARP防護(hù)啟用后，若發(fā)生異常狀況，就會(huì)第一時(shí)間彈出信息提示用戶。

3.7 增強(qiáng)安全意識(shí)

網(wǎng)絡(luò)用戶們也要加強(qiáng)自身對(duì)于網(wǎng)絡(luò)安全使用的意識(shí)，及時(shí)對(duì)系統(tǒng)進(jìn)行升級(jí)，及時(shí)安裝系統(tǒng)補(bǔ)丁，將重要的機(jī)密信息進(jìn)行加密傳輸。相關(guān)的網(wǎng)絡(luò)系統(tǒng)管理人員要經(jīng)常檢測(cè)網(wǎng)絡(luò)設(shè)備及其安全配置，最大程度上關(guān)閉交換機(jī)未使用的端口，盡量停止對(duì)于共享式集線器的使用，啟用網(wǎng)絡(luò)設(shè)備上的防監(jiān)聽(tīng)安全選項(xiàng)。

4 結(jié)論

綜上所述，我們對(duì)局域網(wǎng)監(jiān)聽(tīng)技術(shù)進(jìn)行了基本工作原理的研究和探索，也分析了諸多檢測(cè)和監(jiān)聽(tīng)局域網(wǎng)的方法，對(duì)防范局域網(wǎng)監(jiān)聽(tīng)，保護(hù)網(wǎng)絡(luò)應(yīng)用安全提出了相應(yīng)的解決方法。就目前狀況來(lái)看，局域網(wǎng)安全狀態(tài)仍需要網(wǎng)絡(luò)管理人員進(jìn)行進(jìn)一步的技術(shù)細(xì)節(jié)挖掘，更全面地對(duì)局域網(wǎng)內(nèi)的非法監(jiān)聽(tīng)采取有效的安全防護(hù)，為廣大用戶制造一個(gè)良好的網(wǎng)絡(luò)環(huán)境，更好地防御黑客侵入，保護(hù)用戶的數(shù)據(jù)安全。

[1]過(guò)玉清.網(wǎng)絡(luò)安全中網(wǎng)絡(luò)監(jiān)聽(tīng)與防范技術(shù)探析[J].數(shù)字技術(shù)與應(yīng)用，2016（01）：223.

[2]張莉萍.計(jì)算機(jī)局域網(wǎng)安全與防范技術(shù)研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2013，16（23）：158+160.

[3]林蓮芳.淺談局域網(wǎng)監(jiān)聽(tīng)的原理及其防范對(duì)策[J].科技廣場(chǎng)，2011（03）：82-83.

[4]劉茹.檢測(cè)和防范局域網(wǎng)監(jiān)聽(tīng)方法的討論研究[J].電腦知識(shí)與技術(shù)，2008（15）：1024-1026.

[5]段嚴(yán)兵.檢測(cè)和防范局域網(wǎng)監(jiān)聽(tīng)方法的設(shè)計(jì)[J].機(jī)械設(shè)計(jì)與制造，2007（09）：168-170.

[6]張芳芳.局域網(wǎng)監(jiān)聽(tīng)的原理、實(shí)現(xiàn)方法與防范措施[J].遼寧經(jīng)濟(jì)管理干部學(xué)院學(xué)報(bào)，2005（03）：42-42.