如何是在交換式網路中實施監聽

1. 網路監聽原理

網路監聽原理：
Ethernet（乙太網，它是由施樂公司發明的一種比較流行的區域網技術，它包含一條所有計算機都連接到其上的一條電纜，每台計算機需要一種叫介面板的硬體才能連接到乙太網）協議的工作方式是將要發送的數據包發往連接在一起的所有主機。在包頭中包括有應該接收數據包的主機的正確地址，因為只有與數據包中目標地址一致的那台主機才能接收到信息包，但是當主機工作在監聽模式下的話不管數據包中的目標物理地址是什麼，主機都將可以接收到。許多區域網內有十幾台甚至上百台主機是通過一個電纜、一個集線器連接在一起的，在協議的高層或者用戶來看，當同一網路中的兩台主機通信的時候，源主機將寫有目的的主機地址的數據包直接發向目的主機，或者當網路中的一台主機同外界的主機通信時，源主機將寫有目的的主機IP地址的數據包發向網關。但這種數據包並不能在協議棧的高層直接發送出去，要發送的數據包必須從TCP/IP協議的IP層交給網路介面，也就是所說的數據鏈路層。網路介面不會識別IP地址的。在網路介面由IP層來的帶有IP地址的數據包又增加了一部分以太禎的禎頭的信息。在禎頭中，有兩個域分別為只有網路介面才能識別的源主機和目的主機的物理地址這是一個48位的地址，這個48位的地址是與IP地址相對應的，換句話說就是一個IP地址也會對應一個物理地址。對於作為網關的主機，由於它連接了多個網路，它也就同時具備有很多個IP地址，在每個網路中它都有一個。而發向網路外的禎中繼攜帶的就是網關的物理地址。

Ethernet中填寫了物理地址的禎從網路介面中，也就是從網卡中發送出去傳送到物理的線路上。如果區域網是由一條粗網或細網連接成的，那麼數字信號在電纜上傳輸信號就能夠到達線路上的每一台主機。再當使用集線器的時候，發送出去的信號到達集線器，由集線器再發向連接在集線器上的每一條線路。這樣在物理線路上傳輸的數字信號也就能到達連接在集線器上的每個主機了。當數字信號到達一台主機的網路介面時，正常狀態下網路介面對讀入數據禎進行檢查，如果數據禎中攜帶的物理地址是自己的或者物理地址是廣播地址，那麼就會將數據禎交給IP層軟體。對於每個到達網路介面的數據禎都要進行這個過程的。但是當主機工作在監聽模式下的話，所有的數據禎都將被交給上層協議軟體處理。

當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網的時候，那麼要是有一台主機處於監聽模式，它還將可以接收到發向與自己不在同一個子網（使用了不同的掩碼、IP地址和網關）的主機的數據包，在同一個物理信道上傳輸的所有信息都可以被接收到。

在UNIX系統上，當擁有超級許可權的用戶要想使自己所控制的主機進入監聽模式，只需要向Interface（網路介面）發送I/O控制命令，就可以使主機設置成監聽模式了。而在Windows9x的系統中則不論用戶是否有許可權都將可以通過直接運行監聽工具就可以實現了。

在網路監聽時，常常要保存大量的信息（也包含很多的垃圾信息），並將對收集的信息進行大量的整理，這樣就會使正在監聽的機器對其它用戶的請求響應變的很慢。同時監聽程序在運行的時候需要消耗大量的處理器時間，如果在這個時候就詳細的分析包中的內容，許多包就會來不及接收而被漏走。所以監聽程序很多時候就會將監聽得到的包存放在文件中等待以後分析。分析監聽到的數據包是很頭疼的事情。因為網路中的數據包都非常之復雜。兩台主機之間連續發送和接收數據包，在監聽到的結果中必然會加一些別的主機交互的數據包。監聽程序將同一TCP會話的包整理到一起就相當不容易了，如果你還期望將用戶詳細信息整理出來就需要根據協議對包進行大量的分析。Internet上那麼多的協議，運行進起的話這個監聽程序將會十分的大哦。

現在網路中所使用的協議都是較早前設計的，許多協議的實現都是基於一種非常友好的，通信的雙方充分信任的基礎。在通常的網路環境之下，用戶的信息包括口令都是以明文的方式在網上傳輸的，因此進行網路監聽從而獲得用戶信息並不是一件難點事情，只要掌握有初步的TCP/IP協議知識就可以輕松的監聽到你想要的信息的。前些時間美籍華人China-babble曾提出將望路監聽從區域網延伸到廣域網中，但這個想法很快就被否定了。如果真是這樣的話我想網路必將天下大亂了。而事實上現在在廣域網里也可以監聽和截獲到一些用戶信息。只是還不夠明顯而已。在整個Internet中就更顯得微不足道了。

2. 固定電話在交換機上面的監聽是怎麼實現的，具體的方案有哪些

直接並聯電話線的。
1、固定電話是模擬信號傳輸的，監聽很容易。
2、直接在交換機上找到對應的電話線路。並且可以挨個查詢線路分機號碼的。
3、在來電時，電壓會升高，監聽線路也有反應的，接通後，在開啟監聽設備就可以了。

3. 網路連接器的狀態的監聽是什麼

不知道你是不是想了解乙太網監聽的原理
如果是你可以看看這篇技術文章：
乙太網監聽的原理與防範
隨著計算機網路應用的普及，網路已日益成為生活中不可或缺的工具，但伴之而來的非法入侵也一直威脅著計算機網路系統的安全。由於乙太網中採用廣播方式，因此，在某個廣播域中可以監聽到所有的信息包。網路監聽是黑客們常用的一種方法。當成功地登錄進一台網路上的主機，並取得了這台主機的超級用戶的許可權之後，往往要擴大戰果，嘗試登錄或者奪取網路中其他主機的控制。而網路監聽則是一種最簡單而且最有效的方法，他常常能輕易地獲得用其他方法很難獲得的信息。 在網路上，監聽效果最好的地方是在網關、路由器、防火牆一類的設備處，通常由網路管理員來操作。使用最方便的是在一個乙太網中的任何一台上網的主機上，這是大多數黑客的做法。 事實上，很多黑客入侵時都把乙太網掃描和偵聽作為其最基本的步驟和手段，原因是想用這種方法獲取其想要的密碼等信息。但另一方面，我們對黑客入侵活動和其他網路犯罪進行偵查、取證時，也可以使用網路監聽技術來獲取必要的信息。因此，了解乙太網監聽技術的原理、實現方法和防範措施就顯得尤為重要。 �
1網路監聽的基本原理
乙太網可以把相鄰的計算機、終端、大容量存儲器的外圍設備、控制器、顯示器以及為連接其他網路而使用的網路連接器等相互連接起來，具有設備共享、信息共享、高速數據通訊等特點。乙太網這種工作方式，如同有很多人在一個大房間內，大房間就像是一個共享的信道，裡面的每個人好像是一台主機。人們所說的話是信息包，在大房間中到處傳播。當我們對其中某個人說話時，所有的人都能聽到。正常情況下只有名字相同的那個人才會做出反應，並進行回應。其他人了解談話的內容，也可對所有談話內容做出反應。因此，網路監聽用來監視網路的狀態、數據流動情況以及網路上傳輸的信息等。當信息以明文的形式在網路上傳輸時，使用監聽技術進行攻擊並不是一件難事，只要將網路介面設置成監聽模式，便可以源源不斷地將網上傳輸的信息截獲。
1.1廣播式乙太網中的網路監聽
廣播式乙太網在邏輯上由一條匯流排和一群掛在匯流排上的節點組成。任何一個節點主機發出的數據包都是在共享的乙太網傳輸介質上進行傳輸的，每個數據包的包頭部分都包含了源地址和目的地址。網路上所有節點都通過網路介面（網卡）負責檢查每一個數據包，如果發現其目的地址是本機，則接收該數據包並向上層傳遞，以進行下一步的處理；如果目的地址不是本機，則數據包將被丟棄不作處理。乙太網數據包過濾機制分為鏈路層、網路層和傳輸層。在鏈路層，網卡驅動程序判斷收到包的目標MAC地址是否是自己的MAC地址；在網路層判斷目標IP地址是否為本機所綁定的IP地址；在傳輸層如TCP層或者UDP層判斷目標埠是否在本機已經打開。如果以上判斷否定，數據包將被丟棄。
在進行網路數據包的「監聽」時，首先通過將系統的網路介面設定為「混雜模式」，網路監聽程序繞過系統正常工作的處理機制，直接訪問網路底層。不論數據包的目的地址是否是本機，都能夠截獲並傳遞給上層進行處理（只能監聽經過自己網路介面的那些包），通過相應的軟體進一步地分析處理，就能夠得到數據包的一些基本屬性，如包類型、包大小、目的地址、源地址等，可以實時分析這些數據的內容，如用戶名、口令以及所感興趣的內容。
同理，正確地使用網路監聽技術也可以發現入侵並對入侵者進行追蹤定位，在對網路犯罪進行偵查取證時獲取有關犯罪行為的重要信息，成為打擊網路犯罪的有力手段。
1.2交換式乙太網中的監聽
交換機的工作原理不同於HUB的共享式報文方式，交換機轉發的報文是一一對應的，能夠隔離沖突域和有效的抑制廣播風暴的產生。由此看來，交換環境下再採用傳統的共享式乙太網下網路監聽是不可能了，由於報文是一一對應轉發的，普通的網路監聽軟體此時無法監聽到交換環境下其他主機任何有價值的數據。但是，乙太網內主機數據包的傳送完成不是依靠IP地址，而是依靠ARP找出IP地址對應的MAC地址實現的。而ARP協議是不可靠和無連接的，通常即使主機沒有發出ARP請求，也會接受發給他的ARP回應，並將回應的MAC和IP對應關系放入自己的ARP緩存中。因此利用ARP協議，交換機的安全性也面臨著嚴峻的考驗。
1.2.1交換機緩沖區溢出攻擊
交換機大多使用存貯轉發技術，工作時維護著一張MAC地址與埠的映射表，這個表中記錄著交換機每個埠綁定的MAC地址。他的工作原理是對某一段數據包進行分析判別定址，並進行轉發，在發出前均存貯在交換機的緩沖區內。但是，交換機緩沖區是有限的。如用大量無效IP包，包含錯誤MAC地址的數據幀對交換機進行攻擊。該交換機將接收到大量的不符合分裝原則的包，造成交換機處理器工作繁忙，從而導致數據包來不及轉發，進而導致緩沖區溢出產生丟包現象。這時交換機就會退回到HUB的廣播方式，向所有的埠發送數據包。這樣，監聽就變得非常容易了。
1.2.2ARP協議和欺騙
在乙太網中傳輸的數據包是以太包，而以太包的定址是依據其首部的物理地址（MAC地址）。僅僅知道某主機的邏輯地址（IP地址）並不能讓內核發送一幀數據給此主機，內核必須知道目的主機的物理地址才能發送數據。ARP協議的作用就是在於把邏輯地址變換成物理地址，也既是把32 b的IP地址變換成48 b的以太地址。每一個主機都有一個ARP高速緩存，此緩存中記錄了最近一段時間內其他IP地址與其MAC地址的對應關系。如果本機想與某台主機通信，則首先在ARP高速緩存中查找此台主機的IP和MAC信息，如果存在，則直接利用此MAC地址構造以太包；如果不存在，則向本網路上每一個主機廣播一個ARP請求包。其意義是「如果你有此IP地址，請告訴我你的MAC地址」，目的主機收到此請求包後，發送一個ARP響應包，本機收到此響應包後，把相關信息記錄在ARP高速緩存中。可以看出，ARP協議是有缺點的，第三方主機可以構造一個ARP欺騙包，而源主機卻無法分辨真假。
假定A為進行監聽的主機，B為被監聽的主機，C為其他網路主機。當A收到B向C發出的ARP請求包後，向B回應一個ARP應答。向C主動發送一個應答，修改C緩存中的關於B的IPMAC映射。當A收到C向B發出的ARP請求時，向B主動發送一個應答，修改B緩存中的關於C的 IPMAC映射。這樣，構造了ARP欺騙包（欺騙B對C的連接）。事實上，A成了B的代理可以全部捕獲到B和C的相關數據。

2網路監聽的檢測及防範
網路監聽是很難被發現的，因為運行網路監聽的主機只是被動地接收在區域網上傳輸的信息，不主動與其他主機交換信息，也沒有修改在網上傳輸的數據包。
2.1網路監聽的檢測
(1)對於懷疑運行監聽程序的機器，向區域網內的主機發送非廣播方式的ARP包（錯誤的物理地址），如果區域網內的某個主機響應了這個ARP請求，我們就可以判斷該機器處於雜亂模式。而正常的機器不處於雜亂模式，對於錯誤的物理地址不會得到響應。
（2）網路和主機響應時間測試。向網上發大量不存在的物理地址的包，處於混雜模式下的機器則缺乏此類底層的過濾，由於監聽程序要分析和處理大量的數據包會佔用很多的CPU資源，驟然增加的網路通訊流量會對該機器造成較明顯的影響，這將導致性能下降。通過比較前後該機器性能加以判斷是否存在網路監聽。
（3）使用反監聽工具如antisniffer等進行檢測。
2.2網路監聽的防範
2.2.1網路分段
網路分段通常被認為是控制網路廣播風暴的一種基本手段，但其實也是防範網路監聽的一項重要措施。將網路劃分為不同的網段，其目的是將非法用戶與敏感的網路資源相互隔離，從而防止可能的非法監聽。
2.2.2以交換式集線器代替共享式集線器
對區域網的中心交換機進行網路分段後，區域網監聽的危險仍然存在。這是因為網路最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行數據通信時，兩台機器之間的數據包(單播包)還是會被同一台集線器上的其他用戶監聽。因此，應該以交換式集線器代替共享式集線器，使 單播包僅在兩個節點之間傳送，從而防止非法監聽。
2.2.3使用加密技術
數據經過加密後，通過監聽仍然可以得到傳送的信息,但顯示的是亂碼。使用加密技術的 缺點是影響數據傳輸速度以及使用一個弱加密術比較容易被攻破。
2.2.4劃分VLAN
運用VLAN（虛擬區域網）技術，將乙太網通信變為點到點通信，VLAN子網隔離了廣播風暴 ，可以防止大部分基於網路監聽的侵入，對一些重要部門實施了安全保護。且當某一部門物 理位置發生變化時，只需對交換機進行設置，就可以實現網路的重組，非常方便、快捷，同 時節約了成本。為保證不同職能部門管理的方便性和安全性以及整個網路運行的穩定性，可 採用VLAN技術進行虛擬網路劃分。

3結語
網路監聽技術在信息安全領域中顯得非常重要，他又是一把雙刃劍，總是扮演著正反兩方 面的角色。對於網路管理員來說，網路監聽技術可以用來分析網路性能，檢查網路是否被入 侵發揮著重要的作用；對於入侵者來說，網路監聽技術可以很容易地獲得明文傳輸的密碼和 各種機密數據。為了保護網路信息的安全，必須採用網路監聽技術進行反跟蹤，時刻探明現 有網路的安全現狀，掌握先機，才能保證網路的信息安全。

4. 監聽技術

推薦用木馬
ARP協議肯定不行了
抓包試試
arpsniffer
xsniffer
supersniffer
試試這些
再嘗試下IPC連接
net use \\000.000.000.000(目標IP)\ipc$ "密碼" /user:「用戶名」
建立空連接後提權，或者用字典破對方的口令
一般默認的有administrator,密碼為空
user,密碼空
admin，密碼空其他的自己破
強烈推薦用SNIFFER偵測開機帳戶，再種入木馬
漏洞掃描也可以
如果是DHCP伺服器就用DDOS溢出攻擊，瘋狂發送MAC地址導致癱瘓，然後自己用軟體做個伺服器，廣播DHCP，如此你就成了網管
可以監聽任何人

5. 共享式網路與交換式網路中，網路監聽有何不同

.發生在共享式區域網內的竊聽 所謂的「共享式」區域網(Hub-Based Lan)，指的是早期採用集線器HUB作為網路連接設備的傳統乙太網的結構，在這個結構里，所有機器都是共享同一條傳輸線路的，集線器沒有埠的概念，它的數據發送方式是「廣播」， 集線器接收到相應數據時是單純的把數據往它所連接的每一台設備線路上發送的，例如一台機器發送一條「我要和小金說話」的報文，那麼所有連接這個集線器的設備都會收到這條報文，但是只有名字為「小金」的計算機才會接收處理這條報文，而其他無關的計算機則會「不動聲色」的拋棄掉該報文。因此，共享乙太網結構里的數據實際上是沒有隱私性的，只是網卡會「君子」化的忽略掉與自己無關的「閑言碎語」罷了，但是很不巧，網卡在設計時是加入了「工作模式」的選項的，正是這個特性導致了噩夢。每塊網卡基本上都會有以下工作模式：Unicast、Broadcast、Multicast、Promiscuous，一般情況下，操作系統會把網卡設置為Broadcast(廣播)模式，在Broadcast模式下，網卡可以接收所有類型為廣播報文的數據幀——例如ARP定址，此外它會忽略掉目標地址並非自己MAC地址的報文，即只接收發往自身的數據報文、廣播和組播報文，這才是網卡的正常工作模式;如果一塊網卡被設置為Unicast或Multicast模式，在區域網里可能會引發異常，因為這兩個模式限制了它的接收報文類型;而Promiscuous(混雜)模式，則是罪惡的根源。在混雜模式里，網卡對報文中的目標MAC地址不加任何檢查而全部接收，這樣就造成無論什麼數據，只要是路過的都會被網卡接收的局面，監聽就是從這里開始的。一般情況下，網卡的工作模式是操作系統設置好的，而且沒有公開模式給用戶選擇，這就限制了普通用戶的監聽實現，但是自從嗅探器(Sniffer)家族發展到一定程度後，開始擁有了設置網卡工作模式的權力，而且矛頭直指Promiscuous，任何用戶只要在相應選擇上打個勾，他的機器就變成了可以記錄區域網內任何機器傳輸的數據的耳朵，由於共享式區域網的特性，所有人都是能收到數據的，這就造成了不可防禦的信息泄漏。可是，最終這種監聽方式還是被基本消滅了，人們用了什麼手段呢?很簡單，區域網結構升級了，變成「交換式區域網」。2、發生在交換式區域網內的竊聽作為與「共享式」相對的「交換式」區域網(Switched Lan)，它的網路連接設備被換成了交換機(Switch)，交換機比集線器聰明的一點是它連接的每台計算機是獨立的，交換機引入了「埠」的概念，它會產生一個地址表用於存放每台與之連接的計算機的MAC地址，從此每個網線介面便作為一個獨立的埠存在，除了聲明為廣播或組播的報文，交換機在一般情況下是不會讓其他報文出現類似共享式區域網那樣的廣播形式發送行為的，這樣即使你的網卡設置為混雜模式，它也收不到發往其他計算機的數據，因為數據的目標地址會在交換機中被識別，然後有針對性的發往表中對應地址的埠，決不跑到別人家裡去。這一改進迅速扼殺了傳統的區域網監聽手段，但是歷史往往證明了人是難以被征服的……(1)、對交換機的攻擊：MAC洪水不知道是誰第一個發現了這種攻擊模式，大概是因為交換機的出現破壞了嗅探器的工作，所以一肚子氣泄到了交換機身上，另一種看法則是精明的技術人員設想交換機的處理器在超過所能承受信息量的時候會發生什麼情況而進行的試驗，無論是從什麼論點出發的，至少這個攻擊模式已經成為現實了：所謂MAC洪水攻擊，就是向交換機發送大量含有虛假MAC地址和IP地址的IP包，使交換機無法處理如此多的信息而引起設備工作異常，也就是所謂的「失效」模式，在這個模式里，交換機的處理器已經不能正常分析數據報和構造查詢地址表了，然後，交換機就會成為一台普通的集線器，毫無選擇的向所有埠發送數據，這個行為被稱作「泛洪發送」，這樣一來攻擊者就能嗅探到所需數據了。不過使用這個方法會為網路帶來大量垃圾數據報文，對於監聽者來說也不是什麼好事，因此MAC洪水使用的案例比較少，而且設計了埠保護的交換機可能會在超負荷時強行關閉所有埠造成網路中斷，所以如今，人們都偏向於使用地址解析協議ARP進行的欺騙性攻擊。(2)、地址解析協議帶來的噩夢回顧前面提到的區域網定址方式，我們已經知道兩台計算機完成通訊依靠的是MAC地址而與IP地址無關，而目標計算機MAC地址的獲取是通過ARP協議廣播得到的，而獲取的地址會保存在MAC地址表裡並定期更新，在這個時間里，計算機是不會再去廣播定址信息獲取目標MAC地址的，這就給了入侵者以可乘之機。當一台計算機要發送數據給另一台計算機時，它會以IP地址為依據首先查詢自身的ARP地址表，如果裡面沒有目標計算機的MAC信息，它就觸發ARP廣播定址數據直到目標計算機返回自身地址報文，而一旦這個地址表裡存在目標計算機的MAC信息，計算機就直接把這個地址作為數據鏈路層的乙太網地址頭部封裝發送出去。為了避免出現MAC地址表保持著錯誤的數據，系統在一個指定的時期過後會清空MAC地址表，重新廣播獲取一份地址列表，而且新的ARP廣播可以無條件覆蓋原來的MAC地址表。假設區域網內有兩台計算機A和B在通訊，而計算機C要作為一個竊聽者的身份得到這兩台計算機的通訊數據，那麼它就必須想辦法讓自己能插入兩台計算機之間的數據線路里，而在這種一對一的交換式網路里，計算機C必須成為一個中間設備才能讓數據得以經過它，要實現這個目標，計算機C就要開始偽造虛假的ARP報文。ARP定址報文分兩種，一種是用於發送定址信息的ARP查詢包，源機器使用它來廣播定址信息，另一種則是目標機器的ARP應答包，用於回應源機器它的MAC地址，在竊聽存在的情況下，如果計算機C要竊聽計算機A的通訊，它就偽造一個IP地址為計算機B而MAC地址為計算機C的虛假ARP應答包發送給計算機A，造成計算機A的MAC地址表錯誤更新為計算機B的IP對應著計算機C的MAC地址的情況，這樣一來，系統通過IP地址獲得的MAC地址都是計算機C的，數據就會發給以監聽身份出現的計算機C了。但這樣會造成一種情況就是作為原目標方的計算機B會接收不到數據，因此充當假冒數據接收角色的計算機C必須擔當一個轉發者的角色，把從計算機A發送的數據返回給計算機B，讓兩機的通訊正常進行，這樣，計算機C就和計算機AB形成了一個通訊鏈路，而對於計算機A和B而言，計算機C始終是透明存在的，它們並不知道計算機C在偷聽數據的傳播。只要計算機C在計算機A重新發送ARP查詢包前及時偽造虛假ARP應答包就能維持著這個通訊鏈路，從而獲得持續的數據記錄，同時也不會造成被監聽者的通訊異常。計算機C為了監聽計算機A和B數據通訊而發起的這種行為，就是「ARP欺騙」(ARP Spoofing)或稱「ARP攻擊」(ARP Attacking)，實際上，真實環境里的ARP欺騙除了嗅探計算機A的數據，通常也會順便把計算機B的數據給嗅探了去，只要計算機C在對計算機A發送偽裝成計算機B的ARP應答包的同時也向計算機B發送偽裝成計算機A的ARP應答包即可，這樣它就可作為一個雙向代理的身份插入兩者之間的通訊鏈路。

6. 怎麼樣知道網路監聽

這個要非常技術的，監視網路狀態、數據流程以及網路上信息傳輸的管理工具，它可以將網路界面設定成監聽模式，並且可以截獲網路上所傳輸的信息。也就是說，當黑客登錄網路主機並取得超級用戶許可權後，若要登錄其它主機，使用網路監聽便可以有效地截獲網路上的數據，這是黑客使用最好的方法。但是網路監聽只能應用於連接同一網段的主機，通常被用來獲取用戶密碼等。
技術是通過將對資料庫系統的訪問流鏡像到交換機某一個埠，然後通過專用硬體設備對該埠流量進行分析和還原，從而實現對資料庫訪問的審計。
網路監聽說真的，是很難被發現的。當運行監聽程序的主機在監聽的過程中只是被動的接收在乙太網中傳輸的信息，它不會跟其它的主機交換信息的，也不能修改在網路中傳輸的信息包，這就說明了網路監聽的檢測是比較麻煩的事情，說白了普通人哪裡能做這些犯法的事，做人本本分分。

7. 在交換式區域網中能不能監聽到密碼

1、做ARP欺騙，讓自己的計算機成為「網關」。
2、很多交換機可以設置一個埠作為監控埠，也就是HUB的埠，所有數據都轉發。

8. 如何檢測並防範網路監聽

1．對可能存在的網路監聽的檢測 （1）對於懷疑運行監聽程序的計算機，用正確的IP地址和錯誤的物理地址Ping，運行監聽程序的計算機都會有響應。這是因為正常的計算機不接收錯誤的物理地址，處理監聽狀態的計算機能接收，但如果對方的Ipstack不再次反向檢查的話，就會響應。 （2）向網上發大量不存在的物理地址的包，由於監聽程序要分析和處理大量的數據包會佔用很多的CPU資源，這將導致性能下降。通過比較前後該計算機性能加以判斷，這種方法難度比較大。 （3）使用反監聽工具如Antisniffer等進行檢測。 2．對網路監聽的防範措施 （1）從邏輯或物理上對網路分段 網路分段通常被認為是控制網路廣播風暴的一種基本手段，但其實也是保證網路安全的一項措施。其目的是將非法用戶與敏感的網路資源相互隔離，從而防止可能的非法監聽。 （2）以交換式集線器代替共享式集線器對區域網的中心交換機進行網路分段後，區域網監聽的危險仍然存在。這是因為網路最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行數據通信時，兩台機器之間的數據包（稱為單播包Unicast Packet）還是會被同一台集線器上的其他用戶所監聽。因此，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節點之間傳送，從而防止非法監聽。當然，交換式集線器只能控制單播包而無法控制廣播包（Broadcast Packet）和多播包（Multicast Packet）。但廣播包和多播包內的關鍵信息，要遠遠少於單播包。 （3）使用加密技術 數據經過加密後，通過監聽仍然可以得到傳送的信息,但顯示的是亂碼。使用加密技術的缺點是影響數據傳輸速度以及使用一個弱加密術比較容易被攻破。系統管理員和用戶需要在網路速度和安全性上進行折中。 （4）劃分VLAN 運用VLAN（虛擬區域網）技術，將乙太網通信變為點到點通信，可以防止大部分基於網路監聽的入侵。 網路監聽技術作為一種工具，總是扮演著正反兩方面的角色。對於入侵者來說，最喜歡的莫過於用戶的口令，通過網路監聽可以很容易地獲得這些關鍵信息。而對於入侵檢測和追蹤者來說，網路監聽技術又能夠在與入侵者的斗爭中發揮重要的作用。鑒於目前的網路安全現狀，我們應該進一步挖掘網路監聽技術的細節，從技術基礎上掌握先機，才能在與入侵者的斗爭中取得勝利。

9. 怎樣進行交換機連接網路中的網路監聽

計算機安裝網路監聽軟體；
將計算機連接到交換機網路；
交換機配置鏡像埠，將所有埠流量鏡像到連接計算機的埠。

10. 如何解決網路監聽您有幾中解決方案

在網路中，當信息進行傳播的時候，可以利用工具，將網路介面設置在監聽的模式，便可將網路
中正在傳播的信息截獲或者捕獲到，從而進行攻擊。網路監聽在網路中的任何一個位置模式下都可實
施進行。而黑客一般都是利用網路監聽來截取用戶口令。比如當有人佔領了一台主機之後，那麼他要
再想將戰果擴大到這個主機所在的整個區域網話，監聽往往是他們選擇的捷徑。很多時候我在各類安
全論壇上看到一些初學的愛好者，在他們認為如果佔領了某主機之後那麼想進入它的內部網應該是很
簡單的。其實非也，進入了某主機再想轉入它的內部網路里的其它機器也都不是一件容易的事情。因
為你除了要拿到他們的口令之外還有就是他們共享的絕對路徑，當然了，這個路徑的盡頭必須是有寫
的許可權了。在這個時候，運行已經被控制的主機上的監聽程序就會有大收效。不過卻是一件費神的事
情，而且還需要當事者有足夠的耐心和應變能力。

█網路監聽的原理

Ethernet（乙太網，它是由施樂公司發明的一種比較流行的區域網技術，它包含一條所有計算機
都連接到其上的一條電纜，每台計算機需要一種叫介面板的硬體才能連接到乙太網）協議的工作方式
是將要發送的數據包發往連接在一起的所有主機。在包頭中包括有應該接收數據包的主機的正確地址，
因為只有與數據包中目標地址一致的那台主機才能接收到信息包，但是當主機工作在監聽模式下的話
不管數據包中的目標物理地址是什麼，主機都將可以接收到。許多區域網內有十幾台甚至上百台主機
是通過一個電纜、一個集線器連接在一起的，在協議的高層或者用戶來看，當同一網路中的兩台主機
通信的時候，源主機將寫有目的的主機地址的數據包直接發向目的主機，或者當網路中的一台主機同
外界的主機通信時，源主機將寫有目的的主機IP地址的數據包發向網關。但這種數據包並不能在協議
棧的高層直接發送出去，要發送的數據包必須從TCP/IP協議的IP層交給網路介面，也就是所說的數據
鏈路層。網路介面不會識別IP地址的。在網路介面由IP層來的帶有IP地址的數據包又增加了一部分以
太禎的禎頭的信息。在禎頭中，有兩個域分別為只有網路介面才能識別的源主機和目的主機的物理地
址這是一個48位的地址，這個48位的地址是與IP地址相對應的，換句話說就是一個IP地址也會對應一
個物理地址。對於作為網關的主機，由於它連接了多個網路，它也就同時具備有很多個IP地址，在每
個網路中它都有一個。而發向網路外的禎中繼攜帶的就是網關的物理地址。

Ethernet中填寫了物理地址的禎從網路介面中，也就是從網卡中發送出去傳送到物理的線路上。
如果區域網是由一條粗網或細網連接成的，那麼數字信號在電纜上傳輸信號就能夠到達線路上的每一
台主機。再當使用集線器的時候，發送出去的信號到達集線器，由集線器再發向連接在集線器上的每
一條線路。這樣在物理線路上傳輸的數字信號也就能到達連接在集線器上的每個主機了。當數字信號
到達一台主機的網路介面時，正常狀態下網路介面對讀入數據禎進行檢查，如果數據禎中攜帶的物理
地址是自己的或者物理地址是廣播地址，那麼就會將數據禎交給IP層軟體。對於每個到達網路介面的
數據禎都要進行這個過程的。但是當主機工作在監聽模式下的話，所有的數據禎都將被交給上層協議
軟體處理。

當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網的時候，那麼要是有一台主機處於
監聽模式，它還將可以接收到發向與自己不在同一個子網（使用了不同的掩碼、IP地址和網關）的主
機的數據包，在同一個物理信道上傳輸的所有信息都可以被接收到。

在UNIX系統上，當擁有超級許可權的用戶要想使自己所控制的主機進入監聽模式，只需要向
Interface（網路介面）發送I/O控制命令，就可以使主機設置成監聽模式了。而在Windows9x的系統
中則不論用戶是否有許可權都將可以通過直接運行監聽工具就可以實現了。

在網路監聽時，常常要保存大量的信息（也包含很多的垃圾信息），並將對收集的信息進行大量
的整理，這樣就會使正在監聽的機器對其它用戶的請求響應變的很慢。同時監聽程序在運行的時候需
要消耗大量的處理器時間，如果在這個時候就詳細的分析包中的內容，許多包就會來不及接收而被漏
走。所以監聽程序很多時候就會將監聽得到的包存放在文件中等待以後分析。分析監聽到的數據包是
很頭疼的事情。因為網路中的數據包都非常之復雜。兩台主機之間連續發送和接收數據包，在監聽到
的結果中必然會加一些別的主機交互的數據包。監聽程序將同一TCP會話的包整理到一起就相當不容
易了，如果你還期望將用戶詳細信息整理出來就需要根據協議對包進行大量的分析。Internet上那麼
多的協議，運行進起的話這個監聽程序將會十分的大哦。

現在網路中所使用的協議都是較早前設計的，許多協議的實現都是基於一種非常友好的，通信的
雙方充分信任的基礎。在通常的網路環境之下，用戶的信息包括口令都是以明文的方式在網上傳輸的，
因此進行網路監聽從而獲得用戶信息並不是一件難點事情，只要掌握有初步的TCP/IP協議知識就可以
輕松的監聽到你想要的信息的。前些時間美籍華人China-babble曾提出將望路監聽從區域網延伸到廣
域網中，但這個想法很快就被否定了。如果真是這樣的話我想網路必將天下大亂了。而事實上現在在
廣域網里也可以監聽和截獲到一些用戶信息。只是還不夠明顯而已。在整個Internet中就更顯得微不
足道了。

下面是一些系統中的著名的監聽程序，你可以自己嘗試一下的。

Windows9x/NT NetXRay http://semxa.kstar.com/hacking/netxray.zip

DECUnix/Linux Tcpmp http://semxa.kstar.com/hacking/management.zip

Solaris Nfswatch http://semxa.kstar.com/hacking/nfswatch.zip

SunOS Etherfind http://semxa.kstar.com/hacking/etherfind012.zip

█檢測網路監聽的方法

網路監聽在上述中已經說明了。它是為了系統管理員管理網路，監視網路狀態和數據流動而設計
的。但是由於它有著截獲網路數據的功能所以也是黑客所慣用的伎倆之一。

一般檢測網路監聽的方法通過以下來進行：

►網路監聽說真的，是很難被發現的。當運行監聽程序的主機在進聽的過程中只是被動的
接收在乙太網中傳輸的信息，它不會跟其它的主機交換信息的，也不能修改在網路中傳輸的信息包。
這就說明了網路監聽的檢測是比較麻煩的事情。

一般情況下可以通過ps-ef或者ps-aux來檢測。但大多實施監聽程序的人都會通過修改ps的命令
來防止被ps-ef的。修改ps只需要幾個shell把監聽程序的名稱過濾掉就OK了。一能做到啟動監聽程
序的人也絕對不是個菜的連這個都不懂的人了，除非是他懶。

上邊提到過。當運行監聽程序的時候主機響應一般會受到影響變的會慢，所以也就有人提出來通
過響應的速率來判斷是否受到監聽。如果真是這樣判斷的話我想世界真的會大亂了，說不準一個時間
段內會發現無數個監聽程序在運行呢。呵呵。

如果說當你懷疑網內某太機器正在實施監聽程序的話（怎麼個懷疑？那要看你自己了），可以用
正確的IP地址和錯誤的物理地址去ping它，這樣正在運行的監聽程序就會做出響應的。這是因為正常
的機器一般不接收錯誤的物理地址的ping信息的。但正在進聽的機器就可以接收，要是它的IPstack
不再次反向檢查的話就會響應的。不過這種方法對很多系統是沒效果的，因為它依賴於系統的IPstack。

另一種就是向網上發大量不存在的物理地址的包，而監聽程序往往就會將這些包進行處理，這樣
就會導致機器性能下降，你可以用icmpechodelay來判斷和比較它。還可以通過搜索網內所有主機
上運行的程序，但這樣做其的難度可想而知，因為這樣不但是大的工作量，而且還不能完全同時檢查
所有主機上的進程。可是如果管理員這樣做也會有很大的必要性，那就是可以確定是否有一個進程是
從管理員機器上啟動的。

在Unix中可以通過ps–aun或ps–augx命令產生一個包括所有進程的清單：進程的屬主和這些
進程佔用的處理器時間和內存等。這些以標准表的形式輸出在STDOUT上。如果某一個進程正在運行，
那麼它將會列在這張清單之中。但很多黑客在運行監聽程序的時候會毫不客氣的把ps或其它運行中的
程序修改成TrojanHorse程序，因為他完全可以做到這一點的。如果真是這樣那麼上述辦法就不會有
結果的。但這樣做在一定程度上還是有所作為的。在Unix和WindowsNT上很容易就能得到當前進程的
清單了。但DOS、Windows9x好象很難做到哦，具體是不是我沒測試過不得而知。

還有一種方式，這種方式要靠足夠的運氣。因為往往黑客所用的監聽程序大都是免費在網上得到
的，他並非專業監聽。所以做為管理員用來搜索監聽程序也可以檢測。使用Unix可以寫這么一個搜索
的小工具了，不然的話要累死人的。呵呵。

有個叫Ifstatus的運行在Unix下的工具，它可以識別出網路介面是否正處於調試狀態下或者是在
進聽裝下。要是網路介面運行這樣的模式之下，那麼很有可能正在受到監聽程序的攻擊。Ifstatus一
般情況下不會產生任何輸出的，當它檢測到網路的介面處於監聽模式下的時候才回輸出。管理員可以
將系統的cron參數設置成定期運行Ifstatus，如果有好的cron進程的話可以將它產生的輸出用mail發
送給正在執行cron任務的人，要實現可以在crontab目錄下加****/usr/local/etc/ifstatus一行參數。
這樣不行的話還可以用一個腳本程序在crontab下00****/usr/local/etc/run-ifstatus。

抵禦監聽其實要看哪個方面了。一般情況下監聽只是對用戶口令信息比較敏感一點（沒有無聊的
黑客去監聽兩台機器間的聊天信息的那是個浪費時間的事情）。所以對用戶信息和口令信息進行加密
是完全有必要的。防止以明文傳輸而被監聽到。現代網路中，SSH（一種在應用環境中提供保密通信
的協議）通信協議一直都被沿用，SSH所使用的埠是22，它排除了在不安全信道上通信的信息，被
監聽的可能性使用到了RAS演算法，在授權過程結束後，所有的傳輸都用IDEA技術加密。但SSH並不就是
完全安全的。至少現在我們可以這么大膽評論了。

█著名的Sniffer監聽工具

Sniffer之所以著名，權因它在很多方面都做的很好，它可以監聽到（甚至是聽、看到）網上傳
輸的所有信息。Sniffer可以是硬體也可以是軟體。主要用來接收在網路上傳輸的信息。網路是可以
運行在各種協議之下的，包括乙太網Ethernet、TCP/IP、ZPX等等，也可以是集中協議的聯合體系。

Sniffer是個非常之危險的東西，它可以截獲口令，可以截獲到本來是秘密的或者專用信道內的
信息，截獲到信用卡號，經濟數據，E-mail等等。更加可以用來攻擊與己相臨的網路。

Sniffer可以使用在任何一種平台之中。而現在使用Sniffer也不可能別發現，這個足夠是對網
絡安全的最嚴重的挑戰。

在Sniffer中，還有「熱心人」編寫了它的Plugin，稱為TOD殺手，可以將TCP的連接完全切斷。
總之Sniffer應該引起人們的重視，否則安全永遠做不到最好。