如何是在交换式网络中实施监听

1. 网络监听原理

网络监听原理：
Ethernet（以太网，它是由施乐公司发明的一种比较流行的局域网技术，它包含一条所有计算机都连接到其上的一条电缆，每台计算机需要一种叫接口板的硬件才能连接到以太网）协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包的主机的正确地址，因为只有与数据包中目标地址一致的那台主机才能接收到信息包，但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么，主机都将可以接收到。许多局域网内有十几台甚至上百台主机是通过一个电缆、一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是所说的数据链路层。网络接口不会识别IP地址的。在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太祯的祯头的信息。在祯头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址，这个48位的地址是与IP地址相对应的，换句话说就是一个IP地址也会对应一个物理地址。对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的祯中继携带的就是网关的物理地址。

Ethernet中填写了物理地址的祯从网络接口中，也就是从网卡中发送出去传送到物理的线路上。如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据祯进行检查，如果数据祯中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据祯交给IP层软件。对于每个到达网络接口的数据祯都要进行这个过程的。但是当主机工作在监听模式下的话，所有的数据祯都将被交给上层协议软件处理。

当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候，那么要是有一台主机处于监听模式，它还将可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP地址和网关）的主机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。

在UNIX系统上，当拥有超级权限的用户要想使自己所控制的主机进入监听模式，只需要向Interface（网络接口）发送I/O控制命令，就可以使主机设置成监听模式了。而在Windows9x的系统中则不论用户是否有权限都将可以通过直接运行监听工具就可以实现了。

在网络监听时，常常要保存大量的信息（也包含很多的垃圾信息），并将对收集的信息进行大量的整理，这样就会使正在监听的机器对其它用户的请求响应变的很慢。同时监听程序在运行的时候需要消耗大量的处理器时间，如果在这个时候就详细的分析包中的内容，许多包就会来不及接收而被漏走。所以监听程序很多时候就会将监听得到的包存放在文件中等待以后分析。分析监听到的数据包是很头疼的事情。因为网络中的数据包都非常之复杂。两台主机之间连续发送和接收数据包，在监听到的结果中必然会加一些别的主机交互的数据包。监听程序将同一TCP会话的包整理到一起就相当不容易了，如果你还期望将用户详细信息整理出来就需要根据协议对包进行大量的分析。Internet上那么多的协议，运行进起的话这个监听程序将会十分的大哦。

现在网络中所使用的协议都是较早前设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础。在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网上传输的，因此进行网络监听从而获得用户信息并不是一件难点事情，只要掌握有初步的TCP/IP协议知识就可以轻松的监听到你想要的信息的。前些时间美籍华人China-babble曾提出将望路监听从局域网延伸到广域网中，但这个想法很快就被否定了。如果真是这样的话我想网络必将天下大乱了。而事实上现在在广域网里也可以监听和截获到一些用户信息。只是还不够明显而已。在整个Internet中就更显得微不足道了。

2. 固定电话在交换机上面的监听是怎么实现的，具体的方案有哪些

直接并联电话线的。
1、固定电话是模拟信号传输的，监听很容易。
2、直接在交换机上找到对应的电话线路。并且可以挨个查询线路分机号码的。
3、在来电时，电压会升高，监听线路也有反应的，接通后，在开启监听设备就可以了。

3. 网络连接器的状态的监听是什么

不知道你是不是想了解以太网监听的原理
如果是你可以看看这篇技术文章：
以太网监听的原理与防范
随着计算机网络应用的普及，网络已日益成为生活中不可或缺的工具，但伴之而来的非法入侵也一直威胁着计算机网络系统的安全。由于以太网中采用广播方式，因此，在某个广播域中可以监听到所有的信息包。网络监听是黑客们常用的一种方法。当成功地登录进一台网络上的主机，并取得了这台主机的超级用户的权限之后，往往要扩大战果，尝试登录或者夺取网络中其他主机的控制。而网络监听则是一种最简单而且最有效的方法，他常常能轻易地获得用其他方法很难获得的信息。 在网络上，监听效果最好的地方是在网关、路由器、防火墙一类的设备处，通常由网络管理员来操作。使用最方便的是在一个以太网中的任何一台上网的主机上，这是大多数黑客的做法。 事实上，很多黑客入侵时都把以太网扫描和侦听作为其最基本的步骤和手段，原因是想用这种方法获取其想要的密码等信息。但另一方面，我们对黑客入侵活动和其他网络犯罪进行侦查、取证时，也可以使用网络监听技术来获取必要的信息。因此，了解以太网监听技术的原理、实现方法和防范措施就显得尤为重要。 �
1网络监听的基本原理
以太网可以把相邻的计算机、终端、大容量存储器的外围设备、控制器、显示器以及为连接其他网络而使用的网络连接器等相互连接起来，具有设备共享、信息共享、高速数据通讯等特点。以太网这种工作方式，如同有很多人在一个大房间内，大房间就像是一个共享的信道，里面的每个人好像是一台主机。人们所说的话是信息包，在大房间中到处传播。当我们对其中某个人说话时，所有的人都能听到。正常情况下只有名字相同的那个人才会做出反应，并进行回应。其他人了解谈话的内容，也可对所有谈话内容做出反应。因此，网络监听用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时，使用监听技术进行攻击并不是一件难事，只要将网络接口设置成监听模式，便可以源源不断地将网上传输的信息截获。
1.1广播式以太网中的网络监听
广播式以太网在逻辑上由一条总线和一群挂在总线上的节点组成。任何一个节点主机发出的数据包都是在共享的以太网传输介质上进行传输的，每个数据包的包头部分都包含了源地址和目的地址。网络上所有节点都通过网络接口（网卡）负责检查每一个数据包，如果发现其目的地址是本机，则接收该数据包并向上层传递，以进行下一步的处理；如果目的地址不是本机，则数据包将被丢弃不作处理。以太网数据包过滤机制分为链路层、网络层和传输层。在链路层，网卡驱动程序判断收到包的目标MAC地址是否是自己的MAC地址；在网络层判断目标IP地址是否为本机所绑定的IP地址；在传输层如TCP层或者UDP层判断目标端口是否在本机已经打开。如果以上判断否定，数据包将被丢弃。
在进行网络数据包的“监听”时，首先通过将系统的网络接口设定为“混杂模式”，网络监听程序绕过系统正常工作的处理机制，直接访问网络底层。不论数据包的目的地址是否是本机，都能够截获并传递给上层进行处理（只能监听经过自己网络接口的那些包），通过相应的软件进一步地分析处理，就能够得到数据包的一些基本属性，如包类型、包大小、目的地址、源地址等，可以实时分析这些数据的内容，如用户名、口令以及所感兴趣的内容。
同理，正确地使用网络监听技术也可以发现入侵并对入侵者进行追踪定位，在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段。
1.2交换式以太网中的监听
交换机的工作原理不同于HUB的共享式报文方式，交换机转发的报文是一一对应的，能够隔离冲突域和有效的抑制广播风暴的产生。由此看来，交换环境下再采用传统的共享式以太网下网络监听是不可能了，由于报文是一一对应转发的，普通的网络监听软件此时无法监听到交换环境下其他主机任何有价值的数据。但是，以太网内主机数据包的传送完成不是依靠IP地址，而是依靠ARP找出IP地址对应的MAC地址实现的。而ARP协议是不可靠和无连接的，通常即使主机没有发出ARP请求，也会接受发给他的ARP回应，并将回应的MAC和IP对应关系放入自己的ARP缓存中。因此利用ARP协议，交换机的安全性也面临着严峻的考验。
1.2.1交换机缓冲区溢出攻击
交换机大多使用存贮转发技术，工作时维护着一张MAC地址与端口的映射表，这个表中记录着交换机每个端口绑定的MAC地址。他的工作原理是对某一段数据包进行分析判别寻址，并进行转发，在发出前均存贮在交换机的缓冲区内。但是，交换机缓冲区是有限的。如用大量无效IP包，包含错误MAC地址的数据帧对交换机进行攻击。该交换机将接收到大量的不符合分装原则的包，造成交换机处理器工作繁忙，从而导致数据包来不及转发，进而导致缓冲区溢出产生丢包现象。这时交换机就会退回到HUB的广播方式，向所有的端口发送数据包。这样，监听就变得非常容易了。
1.2.2ARP协议和欺骗
在以太网中传输的数据包是以太包，而以太包的寻址是依据其首部的物理地址（MAC地址）。仅仅知道某主机的逻辑地址（IP地址）并不能让内核发送一帧数据给此主机，内核必须知道目的主机的物理地址才能发送数据。ARP协议的作用就是在于把逻辑地址变换成物理地址，也既是把32 b的IP地址变换成48 b的以太地址。每一个主机都有一个ARP高速缓存，此缓存中记录了最近一段时间内其他IP地址与其MAC地址的对应关系。如果本机想与某台主机通信，则首先在ARP高速缓存中查找此台主机的IP和MAC信息，如果存在，则直接利用此MAC地址构造以太包；如果不存在，则向本网络上每一个主机广播一个ARP请求包。其意义是“如果你有此IP地址，请告诉我你的MAC地址”，目的主机收到此请求包后，发送一个ARP响应包，本机收到此响应包后，把相关信息记录在ARP高速缓存中。可以看出，ARP协议是有缺点的，第三方主机可以构造一个ARP欺骗包，而源主机却无法分辨真假。
假定A为进行监听的主机，B为被监听的主机，C为其他网络主机。当A收到B向C发出的ARP请求包后，向B回应一个ARP应答。向C主动发送一个应答，修改C缓存中的关于B的IPMAC映射。当A收到C向B发出的ARP请求时，向B主动发送一个应答，修改B缓存中的关于C的 IPMAC映射。这样，构造了ARP欺骗包（欺骗B对C的连接）。事实上，A成了B的代理可以全部捕获到B和C的相关数据。

2网络监听的检测及防范
网络监听是很难被发现的，因为运行网络监听的主机只是被动地接收在局域网上传输的信息，不主动与其他主机交换信息，也没有修改在网上传输的数据包。
2.1网络监听的检测
(1)对于怀疑运行监听程序的机器，向局域网内的主机发送非广播方式的ARP包（错误的物理地址），如果局域网内的某个主机响应了这个ARP请求，我们就可以判断该机器处于杂乱模式。而正常的机器不处于杂乱模式，对于错误的物理地址不会得到响应。
（2）网络和主机响应时间测试。向网上发大量不存在的物理地址的包，处于混杂模式下的机器则缺乏此类底层的过滤，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，骤然增加的网络通讯流量会对该机器造成较明显的影响，这将导致性能下降。通过比较前后该机器性能加以判断是否存在网络监听。
（3）使用反监听工具如antisniffer等进行检测。
2.2网络监听的防范
2.2.1网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是防范网络监听的一项重要措施。将网络划分为不同的网段，其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。
2.2.2以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后，局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包(单播包)还是会被同一台集线器上的其他用户监听。因此，应该以交换式集线器代替共享式集线器，使 单播包仅在两个节点之间传送，从而防止非法监听。
2.2.3使用加密技术
数据经过加密后，通过监听仍然可以得到传送的信息,但显示的是乱码。使用加密技术的 缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。
2.2.4划分VLAN
运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，VLAN子网隔离了广播风暴 ，可以防止大部分基于网络监听的侵入，对一些重要部门实施了安全保护。且当某一部门物 理位置发生变化时，只需对交换机进行设置，就可以实现网络的重组，非常方便、快捷，同 时节约了成本。为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性，可 采用VLAN技术进行虚拟网络划分。

3结语
网络监听技术在信息安全领域中显得非常重要，他又是一把双刃剑，总是扮演着正反两方 面的角色。对于网络管理员来说，网络监听技术可以用来分析网络性能，检查网络是否被入 侵发挥着重要的作用；对于入侵者来说，网络监听技术可以很容易地获得明文传输的密码和 各种机密数据。为了保护网络信息的安全，必须采用网络监听技术进行反跟踪，时刻探明现 有网络的安全现状，掌握先机，才能保证网络的信息安全。

4. 监听技术

推荐用木马
ARP协议肯定不行了
抓包试试
arpsniffer
xsniffer
supersniffer
试试这些
再尝试下IPC连接
net use \\000.000.000.000(目标IP)\ipc$ "密码" /user:“用户名”
建立空连接后提权，或者用字典破对方的口令
一般默认的有administrator,密码为空
user,密码空
admin，密码空其他的自己破
强烈推荐用SNIFFER侦测开机帐户，再种入木马
漏洞扫描也可以
如果是DHCP服务器就用DDOS溢出攻击，疯狂发送MAC地址导致瘫痪，然后自己用软件做个服务器，广播DHCP，如此你就成了网管
可以监听任何人

5. 共享式网络与交换式网络中，网络监听有何不同

.发生在共享式局域网内的窃听 所谓的“共享式”局域网(Hub-Based Lan)，指的是早期采用集线器HUB作为网络连接设备的传统以太网的结构，在这个结构里，所有机器都是共享同一条传输线路的，集线器没有端口的概念，它的数据发送方式是“广播”， 集线器接收到相应数据时是单纯的把数据往它所连接的每一台设备线路上发送的，例如一台机器发送一条“我要和小金说话”的报文，那么所有连接这个集线器的设备都会收到这条报文，但是只有名字为“小金”的计算机才会接收处理这条报文，而其他无关的计算机则会“不动声色”的抛弃掉该报文。因此，共享以太网结构里的数据实际上是没有隐私性的，只是网卡会“君子”化的忽略掉与自己无关的“闲言碎语”罢了，但是很不巧，网卡在设计时是加入了“工作模式”的选项的，正是这个特性导致了噩梦。每块网卡基本上都会有以下工作模式：Unicast、Broadcast、Multicast、Promiscuous，一般情况下，操作系统会把网卡设置为Broadcast(广播)模式，在Broadcast模式下，网卡可以接收所有类型为广播报文的数据帧——例如ARP寻址，此外它会忽略掉目标地址并非自己MAC地址的报文，即只接收发往自身的数据报文、广播和组播报文，这才是网卡的正常工作模式;如果一块网卡被设置为Unicast或Multicast模式，在局域网里可能会引发异常，因为这两个模式限制了它的接收报文类型;而Promiscuous(混杂)模式，则是罪恶的根源。在混杂模式里，网卡对报文中的目标MAC地址不加任何检查而全部接收，这样就造成无论什么数据，只要是路过的都会被网卡接收的局面，监听就是从这里开始的。一般情况下，网卡的工作模式是操作系统设置好的，而且没有公开模式给用户选择，这就限制了普通用户的监听实现，但是自从嗅探器(Sniffer)家族发展到一定程度后，开始拥有了设置网卡工作模式的权力，而且矛头直指Promiscuous，任何用户只要在相应选择上打个勾，他的机器就变成了可以记录局域网内任何机器传输的数据的耳朵，由于共享式局域网的特性，所有人都是能收到数据的，这就造成了不可防御的信息泄漏。可是，最终这种监听方式还是被基本消灭了，人们用了什么手段呢?很简单，局域网结构升级了，变成“交换式局域网”。2、发生在交换式局域网内的窃听作为与“共享式”相对的“交换式”局域网(Switched Lan)，它的网络连接设备被换成了交换机(Switch)，交换机比集线器聪明的一点是它连接的每台计算机是独立的，交换机引入了“端口”的概念，它会产生一个地址表用于存放每台与之连接的计算机的MAC地址，从此每个网线接口便作为一个独立的端口存在，除了声明为广播或组播的报文，交换机在一般情况下是不会让其他报文出现类似共享式局域网那样的广播形式发送行为的，这样即使你的网卡设置为混杂模式，它也收不到发往其他计算机的数据，因为数据的目标地址会在交换机中被识别，然后有针对性的发往表中对应地址的端口，决不跑到别人家里去。这一改进迅速扼杀了传统的局域网监听手段，但是历史往往证明了人是难以被征服的……(1)、对交换机的攻击：MAC洪水不知道是谁第一个发现了这种攻击模式，大概是因为交换机的出现破坏了嗅探器的工作，所以一肚子气泄到了交换机身上，另一种看法则是精明的技术人员设想交换机的处理器在超过所能承受信息量的时候会发生什么情况而进行的试验，无论是从什么论点出发的，至少这个攻击模式已经成为现实了：所谓MAC洪水攻击，就是向交换机发送大量含有虚假MAC地址和IP地址的IP包，使交换机无法处理如此多的信息而引起设备工作异常，也就是所谓的“失效”模式，在这个模式里，交换机的处理器已经不能正常分析数据报和构造查询地址表了，然后，交换机就会成为一台普通的集线器，毫无选择的向所有端口发送数据，这个行为被称作“泛洪发送”，这样一来攻击者就能嗅探到所需数据了。不过使用这个方法会为网络带来大量垃圾数据报文，对于监听者来说也不是什么好事，因此MAC洪水使用的案例比较少，而且设计了端口保护的交换机可能会在超负荷时强行关闭所有端口造成网络中断，所以如今，人们都偏向于使用地址解析协议ARP进行的欺骗性攻击。(2)、地址解析协议带来的噩梦回顾前面提到的局域网寻址方式，我们已经知道两台计算机完成通讯依靠的是MAC地址而与IP地址无关，而目标计算机MAC地址的获取是通过ARP协议广播得到的，而获取的地址会保存在MAC地址表里并定期更新，在这个时间里，计算机是不会再去广播寻址信息获取目标MAC地址的，这就给了入侵者以可乘之机。当一台计算机要发送数据给另一台计算机时，它会以IP地址为依据首先查询自身的ARP地址表，如果里面没有目标计算机的MAC信息，它就触发ARP广播寻址数据直到目标计算机返回自身地址报文，而一旦这个地址表里存在目标计算机的MAC信息，计算机就直接把这个地址作为数据链路层的以太网地址头部封装发送出去。为了避免出现MAC地址表保持着错误的数据，系统在一个指定的时期过后会清空MAC地址表，重新广播获取一份地址列表，而且新的ARP广播可以无条件覆盖原来的MAC地址表。假设局域网内有两台计算机A和B在通讯，而计算机C要作为一个窃听者的身份得到这两台计算机的通讯数据，那么它就必须想办法让自己能插入两台计算机之间的数据线路里，而在这种一对一的交换式网络里，计算机C必须成为一个中间设备才能让数据得以经过它，要实现这个目标，计算机C就要开始伪造虚假的ARP报文。ARP寻址报文分两种，一种是用于发送寻址信息的ARP查询包，源机器使用它来广播寻址信息，另一种则是目标机器的ARP应答包，用于回应源机器它的MAC地址，在窃听存在的情况下，如果计算机C要窃听计算机A的通讯，它就伪造一个IP地址为计算机B而MAC地址为计算机C的虚假ARP应答包发送给计算机A，造成计算机A的MAC地址表错误更新为计算机B的IP对应着计算机C的MAC地址的情况，这样一来，系统通过IP地址获得的MAC地址都是计算机C的，数据就会发给以监听身份出现的计算机C了。但这样会造成一种情况就是作为原目标方的计算机B会接收不到数据，因此充当假冒数据接收角色的计算机C必须担当一个转发者的角色，把从计算机A发送的数据返回给计算机B，让两机的通讯正常进行，这样，计算机C就和计算机AB形成了一个通讯链路，而对于计算机A和B而言，计算机C始终是透明存在的，它们并不知道计算机C在偷听数据的传播。只要计算机C在计算机A重新发送ARP查询包前及时伪造虚假ARP应答包就能维持着这个通讯链路，从而获得持续的数据记录，同时也不会造成被监听者的通讯异常。计算机C为了监听计算机A和B数据通讯而发起的这种行为，就是“ARP欺骗”(ARP Spoofing)或称“ARP攻击”(ARP Attacking)，实际上，真实环境里的ARP欺骗除了嗅探计算机A的数据，通常也会顺便把计算机B的数据给嗅探了去，只要计算机C在对计算机A发送伪装成计算机B的ARP应答包的同时也向计算机B发送伪装成计算机A的ARP应答包即可，这样它就可作为一个双向代理的身份插入两者之间的通讯链路。

6. 怎么样知道网络监听

这个要非常技术的，监视网络状态、数据流程以及网络上信息传输的管理工具，它可以将网络界面设定成监听模式，并且可以截获网络上所传输的信息。也就是说，当黑客登录网络主机并取得超级用户权限后，若要登录其它主机，使用网络监听便可以有效地截获网络上的数据，这是黑客使用最好的方法。但是网络监听只能应用于连接同一网段的主机，通常被用来获取用户密码等。
技术是通过将对数据库系统的访问流镜像到交换机某一个端口，然后通过专用硬件设备对该端口流量进行分析和还原，从而实现对数据库访问的审计。
网络监听说真的，是很难被发现的。当运行监听程序的主机在监听的过程中只是被动的接收在以太网中传输的信息，它不会跟其它的主机交换信息的，也不能修改在网络中传输的信息包，这就说明了网络监听的检测是比较麻烦的事情，说白了普通人哪里能做这些犯法的事，做人本本分分。

7. 在交换式局域网中能不能监听到密码

1、做ARP欺骗，让自己的计算机成为“网关”。
2、很多交换机可以设置一个端口作为监控端口，也就是HUB的端口，所有数据都转发。

8. 如何检测并防范网络监听

1．对可能存在的网络监听的检测 （1）对于怀疑运行监听程序的计算机，用正确的IP地址和错误的物理地址Ping，运行监听程序的计算机都会有响应。这是因为正常的计算机不接收错误的物理地址，处理监听状态的计算机能接收，但如果对方的Ipstack不再次反向检查的话，就会响应。 （2）向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降。通过比较前后该计算机性能加以判断，这种方法难度比较大。 （3）使用反监听工具如Antisniffer等进行检测。 2．对网络监听的防范措施 （1）从逻辑或物理上对网络分段 网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。 （2）以交换式集线器代替共享式集线器对局域网的中心交换机进行网络分段后，局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包Unicast Packet）还是会被同一台集线器上的其他用户所监听。因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法监听。当然，交换式集线器只能控制单播包而无法控制广播包（Broadcast Packet）和多播包（Multicast Packet）。但广播包和多播包内的关键信息，要远远少于单播包。 （3）使用加密技术 数据经过加密后，通过监听仍然可以得到传送的信息,但显示的是乱码。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在网络速度和安全性上进行折中。 （4）划分VLAN 运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵。 网络监听技术作为一种工具，总是扮演着正反两方面的角色。对于入侵者来说，最喜欢的莫过于用户的口令，通过网络监听可以很容易地获得这些关键信息。而对于入侵检测和追踪者来说，网络监听技术又能够在与入侵者的斗争中发挥重要的作用。鉴于目前的网络安全现状，我们应该进一步挖掘网络监听技术的细节，从技术基础上掌握先机，才能在与入侵者的斗争中取得胜利。

9. 怎样进行交换机连接网络中的网络监听

计算机安装网络监听软件；
将计算机连接到交换机网络；
交换机配置镜像端口，将所有端口流量镜像到连接计算机的端口。

10. 如何解决网络监听您有几中解决方案

在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络
中正在传播的信息截获或者捕获到，从而进行攻击。网络监听在网络中的任何一个位置模式下都可实
施进行。而黑客一般都是利用网络监听来截取用户口令。比如当有人占领了一台主机之后，那么他要
再想将战果扩大到这个主机所在的整个局域网话，监听往往是他们选择的捷径。很多时候我在各类安
全论坛上看到一些初学的爱好者，在他们认为如果占领了某主机之后那么想进入它的内部网应该是很
简单的。其实非也，进入了某主机再想转入它的内部网络里的其它机器也都不是一件容易的事情。因
为你除了要拿到他们的口令之外还有就是他们共享的绝对路径，当然了，这个路径的尽头必须是有写
的权限了。在这个时候，运行已经被控制的主机上的监听程序就会有大收效。不过却是一件费神的事
情，而且还需要当事者有足够的耐心和应变能力。

█网络监听的原理

Ethernet（以太网，它是由施乐公司发明的一种比较流行的局域网技术，它包含一条所有计算机
都连接到其上的一条电缆，每台计算机需要一种叫接口板的硬件才能连接到以太网）协议的工作方式
是将要发送的数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包的主机的正确地址，
因为只有与数据包中目标地址一致的那台主机才能接收到信息包，但是当主机工作在监听模式下的话
不管数据包中的目标物理地址是什么，主机都将可以接收到。许多局域网内有十几台甚至上百台主机
是通过一个电缆、一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机
通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同
外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。但这种数据包并不能在协议
栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是所说的数据
链路层。网络接口不会识别IP地址的。在网络接口由IP层来的带有IP地址的数据包又增加了一部分以
太祯的祯头的信息。在祯头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地
址这是一个48位的地址，这个48位的地址是与IP地址相对应的，换句话说就是一个IP地址也会对应一
个物理地址。对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每
个网络中它都有一个。而发向网络外的祯中继携带的就是网关的物理地址。

Ethernet中填写了物理地址的祯从网络接口中，也就是从网卡中发送出去传送到物理的线路上。
如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一
台主机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每
一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号
到达一台主机的网络接口时，正常状态下网络接口对读入数据祯进行检查，如果数据祯中携带的物理
地址是自己的或者物理地址是广播地址，那么就会将数据祯交给IP层软件。对于每个到达网络接口的
数据祯都要进行这个过程的。但是当主机工作在监听模式下的话，所有的数据祯都将被交给上层协议
软件处理。

当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候，那么要是有一台主机处于
监听模式，它还将可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP地址和网关）的主
机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。

在UNIX系统上，当拥有超级权限的用户要想使自己所控制的主机进入监听模式，只需要向
Interface（网络接口）发送I/O控制命令，就可以使主机设置成监听模式了。而在Windows9x的系统
中则不论用户是否有权限都将可以通过直接运行监听工具就可以实现了。

在网络监听时，常常要保存大量的信息（也包含很多的垃圾信息），并将对收集的信息进行大量
的整理，这样就会使正在监听的机器对其它用户的请求响应变的很慢。同时监听程序在运行的时候需
要消耗大量的处理器时间，如果在这个时候就详细的分析包中的内容，许多包就会来不及接收而被漏
走。所以监听程序很多时候就会将监听得到的包存放在文件中等待以后分析。分析监听到的数据包是
很头疼的事情。因为网络中的数据包都非常之复杂。两台主机之间连续发送和接收数据包，在监听到
的结果中必然会加一些别的主机交互的数据包。监听程序将同一TCP会话的包整理到一起就相当不容
易了，如果你还期望将用户详细信息整理出来就需要根据协议对包进行大量的分析。Internet上那么
多的协议，运行进起的话这个监听程序将会十分的大哦。

现在网络中所使用的协议都是较早前设计的，许多协议的实现都是基于一种非常友好的，通信的
双方充分信任的基础。在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网上传输的，
因此进行网络监听从而获得用户信息并不是一件难点事情，只要掌握有初步的TCP/IP协议知识就可以
轻松的监听到你想要的信息的。前些时间美籍华人China-babble曾提出将望路监听从局域网延伸到广
域网中，但这个想法很快就被否定了。如果真是这样的话我想网络必将天下大乱了。而事实上现在在
广域网里也可以监听和截获到一些用户信息。只是还不够明显而已。在整个Internet中就更显得微不
足道了。

下面是一些系统中的着名的监听程序，你可以自己尝试一下的。

Windows9x/NT NetXRay http://semxa.kstar.com/hacking/netxray.zip

DECUnix/Linux Tcpmp http://semxa.kstar.com/hacking/management.zip

Solaris Nfswatch http://semxa.kstar.com/hacking/nfswatch.zip

SunOS Etherfind http://semxa.kstar.com/hacking/etherfind012.zip

█检测网络监听的方法

网络监听在上述中已经说明了。它是为了系统管理员管理网络，监视网络状态和数据流动而设计
的。但是由于它有着截获网络数据的功能所以也是黑客所惯用的伎俩之一。

一般检测网络监听的方法通过以下来进行：

►网络监听说真的，是很难被发现的。当运行监听程序的主机在进听的过程中只是被动的
接收在以太网中传输的信息，它不会跟其它的主机交换信息的，也不能修改在网络中传输的信息包。
这就说明了网络监听的检测是比较麻烦的事情。

一般情况下可以通过ps-ef或者ps-aux来检测。但大多实施监听程序的人都会通过修改ps的命令
来防止被ps-ef的。修改ps只需要几个shell把监听程序的名称过滤掉就OK了。一能做到启动监听程
序的人也绝对不是个菜的连这个都不懂的人了，除非是他懒。

上边提到过。当运行监听程序的时候主机响应一般会受到影响变的会慢，所以也就有人提出来通
过响应的速率来判断是否受到监听。如果真是这样判断的话我想世界真的会大乱了，说不准一个时间
段内会发现无数个监听程序在运行呢。呵呵。

如果说当你怀疑网内某太机器正在实施监听程序的话（怎么个怀疑？那要看你自己了），可以用
正确的IP地址和错误的物理地址去ping它，这样正在运行的监听程序就会做出响应的。这是因为正常
的机器一般不接收错误的物理地址的ping信息的。但正在进听的机器就可以接收，要是它的IPstack
不再次反向检查的话就会响应的。不过这种方法对很多系统是没效果的，因为它依赖于系统的IPstack。

另一种就是向网上发大量不存在的物理地址的包，而监听程序往往就会将这些包进行处理，这样
就会导致机器性能下降，你可以用icmpechodelay来判断和比较它。还可以通过搜索网内所有主机
上运行的程序，但这样做其的难度可想而知，因为这样不但是大的工作量，而且还不能完全同时检查
所有主机上的进程。可是如果管理员这样做也会有很大的必要性，那就是可以确定是否有一个进程是
从管理员机器上启动的。

在Unix中可以通过ps–aun或ps–augx命令产生一个包括所有进程的清单：进程的属主和这些
进程占用的处理器时间和内存等。这些以标准表的形式输出在STDOUT上。如果某一个进程正在运行，
那么它将会列在这张清单之中。但很多黑客在运行监听程序的时候会毫不客气的把ps或其它运行中的
程序修改成TrojanHorse程序，因为他完全可以做到这一点的。如果真是这样那么上述办法就不会有
结果的。但这样做在一定程度上还是有所作为的。在Unix和WindowsNT上很容易就能得到当前进程的
清单了。但DOS、Windows9x好象很难做到哦，具体是不是我没测试过不得而知。

还有一种方式，这种方式要靠足够的运气。因为往往黑客所用的监听程序大都是免费在网上得到
的，他并非专业监听。所以做为管理员用来搜索监听程序也可以检测。使用Unix可以写这么一个搜索
的小工具了，不然的话要累死人的。呵呵。

有个叫Ifstatus的运行在Unix下的工具，它可以识别出网络接口是否正处于调试状态下或者是在
进听装下。要是网络接口运行这样的模式之下，那么很有可能正在受到监听程序的攻击。Ifstatus一
般情况下不会产生任何输出的，当它检测到网络的接口处于监听模式下的时候才回输出。管理员可以
将系统的cron参数设置成定期运行Ifstatus，如果有好的cron进程的话可以将它产生的输出用mail发
送给正在执行cron任务的人，要实现可以在crontab目录下加****/usr/local/etc/ifstatus一行参数。
这样不行的话还可以用一个脚本程序在crontab下00****/usr/local/etc/run-ifstatus。

抵御监听其实要看哪个方面了。一般情况下监听只是对用户口令信息比较敏感一点（没有无聊的
黑客去监听两台机器间的聊天信息的那是个浪费时间的事情）。所以对用户信息和口令信息进行加密
是完全有必要的。防止以明文传输而被监听到。现代网络中，SSH（一种在应用环境中提供保密通信
的协议）通信协议一直都被沿用，SSH所使用的端口是22，它排除了在不安全信道上通信的信息，被
监听的可能性使用到了RAS算法，在授权过程结束后，所有的传输都用IDEA技术加密。但SSH并不就是
完全安全的。至少现在我们可以这么大胆评论了。

█着名的Sniffer监听工具

Sniffer之所以着名，权因它在很多方面都做的很好，它可以监听到（甚至是听、看到）网上传
输的所有信息。Sniffer可以是硬件也可以是软件。主要用来接收在网络上传输的信息。网络是可以
运行在各种协议之下的，包括以太网Ethernet、TCP/IP、ZPX等等，也可以是集中协议的联合体系。

Sniffer是个非常之危险的东西，它可以截获口令，可以截获到本来是秘密的或者专用信道内的
信息，截获到信用卡号，经济数据，E-mail等等。更加可以用来攻击与己相临的网络。

Sniffer可以使用在任何一种平台之中。而现在使用Sniffer也不可能别发现，这个足够是对网
络安全的最严重的挑战。

在Sniffer中，还有“热心人”编写了它的Plugin，称为TOD杀手，可以将TCP的连接完全切断。
总之Sniffer应该引起人们的重视，否则安全永远做不到最好。