5.4 网络监听

网络监听是黑客在局域网中常用的一种手段,它能在网络中接收别人的数据包,目的就是分析和处理这些数据包,从而获得一些有用的信息,如账号和密码等。其实网络监听原本是网络管理员经常使用的一个工具,主要用来监视网络的流量、状态、数据等信息,比如Sniffer Pro和Wireshark就是许多系统管理员手中必备的两个工具。

1.网络监听原理

为了更好地说明网络监听的工作原理,先介绍一下网卡的工作原理。以太网是现在应用最广泛的计算机联网方式,下面都基于以太网来讲解。

网卡工作在数据链路层,计算机之间通过网卡交换数据时,这些数据是以帧的方式进行传输。一般帧结构由前导码、帧首定界符、目的MAC地址、源MAC地址、长度、逻辑链路层协议数据单元和帧检验序列组成,各个部分都有特定的功能。当目的机器的网卡收到传输来的数据时,网卡先接收数据头的目的MAC地址,通常情况下,像收信一样,只有收信人才去打开信件,同样网卡只接收和自己地址有关的信息包,即只有目的MAC地址与本地MAC地址相同的数据包或者是广播包,网卡才接收,否则,这些数据包就直接被网卡抛弃。网络还可以工作在另一种模式中,即“混杂”模式。此时网络进行数据包过滤。不同于普通模式,混杂模式不理会数据包头内容,把所有经过的数据包都传递给操作系统去处理,这时计算机就可以轻松获取所有经过该网卡的数据帧了。如果一台计算机的网卡被配置成这种方式,那么它就具有网络监听功能。

网络监听的作用如下:

●可以截获用户口令。

●可以截获秘密的或专用的信息。

●可以用来攻击相邻的网络。

●可以对数据包进行详细的分析。

●可以分析出目标主机采用了哪些协议。

图5-23所示为Sniffer Pro网络监听工具。图5-24所示为Wireshark网络监听工具。图5-25所示为使用网络监听工具截获的数据,据此可分析出账号和口令。

978-7-111-64989-2-Chapter05-24.jpg

图5-23 Sniffer Pro网络监听工具

2.网络监听的检测

一般来说网络监听很难发现,因为它只是接收来自网络上的数据,并没有向其他主机发送或修改数据。对可能存在网络监听的网络可以采取以下的检测办法。

(1)通过专业的软件检查一下网络是否存在处于混杂模式的网卡,如AntiSniff反黑客软件等。

(2)对怀疑有监听工具的主机,可以用正确的IP地址和错误的IP地址进行Ping,如果这两个地址都有反应,则说明该主机运行了监听软件,因为正常主机只会接收正确的IP地址并做出反应,对错误的IP地址则不会接收,而运行监听软件的主机则全部接收,并做出反应。

978-7-111-64989-2-Chapter05-25.jpg

图5-24 Wireshark网络监听工具

978-7-111-64989-2-Chapter05-26.jpg

图5-25 使用网络监听工具截获账号和口令

(3)由于监听软件要分析和处理大量数据包,会占用大量CPU资源,导致主机性能下降,所以可以向网络发送大量无用数据,以检查和对比该计算机的前后性能,来推测查找监听主机。

3.网络监听的防范

对于公共网络,如公司或企业的局域网、校园网和网吧等,计算机网络安全的防范工作非常重要,除安装必需的杀毒软件、木马检测程序、防火墙等,对网络监听的防范可以采取以下措施。

(1)对网络进行分段。对不同功能的网络,从物理上或逻辑上可以进行分段,将可能存在的非法用户与敏感的网络资源隔离开来,从而可以防止可能的网络监听行为。

(2)用交换机代替共享式集线器。交换机端口与MAC地址有对应关系,在交换环境下很难进行网络的监听,除非网络管理员对交换机进行端口映射设置。

(3)对网络数据进行加密。对数据进行加密,即使被网络监听到,如果不知道加密方法和解密密钥,得到的数据没有用,显示出来的还是一堆乱码。