參與評論

評論

登錄后參與評論

全部評論(2條)

• 

  0蕾蕾l0 2010-05-19 00:00:00

  我也是這樣的，不知道是怎么回事。。今天晚上突然就這樣了

  贊(6)

  回復(fù)(0)

  評論

  評論

  登錄后參與評論

• 

  xmxmsham 2016-02-10 00:00:00

  不知道你是不是想了解以太網(wǎng)監(jiān)聽的原理 如果是你可以看看這篇技術(shù)文章： 以太網(wǎng)監(jiān)聽的原理與防范 隨著計算機(jī)網(wǎng)絡(luò)應(yīng)用的普及，網(wǎng)絡(luò)已日益成為生活中不可或缺的工具，但伴之而來的非法入侵也一直威脅著計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。由于以太網(wǎng)中采用廣播方式，因此，在某個廣播域中可以監(jiān)聽到所有的信息包。網(wǎng)絡(luò)監(jiān)聽是黑客們常用的一種方法。當(dāng)成功地登錄進(jìn)一臺網(wǎng)絡(luò)上的主機(jī)，并取得了這臺主機(jī)的超級用戶的權(quán)限之后，往往要擴(kuò)大戰(zhàn)果，嘗試登錄或者奪取網(wǎng)絡(luò)中其他主機(jī)的控制。而網(wǎng)絡(luò)監(jiān)聽則是一種Z簡單而且Z有效的方法，他常常能輕易地獲得用其他方法很難獲得的信息。 在網(wǎng)絡(luò)上，監(jiān)聽效果Z好的地方是在網(wǎng)關(guān)、路由器、防火墻一類的設(shè)備處，通常由網(wǎng)絡(luò)管理員來操作。使用Z方便的是在一個以太網(wǎng)中的任何一臺上網(wǎng)的主機(jī)上，這是大多數(shù)黑客的做法。 事實上，很多黑客入侵時都把以太網(wǎng)掃描和偵聽作為其Z基本的步驟和手段，原因是想用這種方法獲取其想要的密碼等信息。但另一方面，我們對黑客入侵活動和其他網(wǎng)絡(luò)犯罪進(jìn)行偵查、取證時，也可以使用網(wǎng)絡(luò)監(jiān)聽技術(shù)來獲取必要的信息。因此，了解以太網(wǎng)監(jiān)聽技術(shù)的原理、實現(xiàn)方法和防范措施就顯得尤為重要。 ? 1網(wǎng)絡(luò)監(jiān)聽的基本原理 以太網(wǎng)可以把相鄰的計算機(jī)、終端、大容量存儲器的外圍設(shè)備、控制器、顯示器以及為連接其他網(wǎng)絡(luò)而使用的網(wǎng)絡(luò)連接器等相互連接起來，具有設(shè)備共享、信息共享、高速數(shù)據(jù)通訊等特點。以太網(wǎng)這種工作方式，如同有很多人在一個大房間內(nèi)，大房間就像是一個共享的信道，里面的每個人好像是一臺主機(jī)。人們所說的話是信息包，在大房間中到處傳播。當(dāng)我們對其中某個人說話時，所有的人都能聽到。正常情況下只有名字相同的那個人才會做出反應(yīng)，并進(jìn)行回應(yīng)。其他人了解談話的內(nèi)容，也可對所有談話內(nèi)容做出反應(yīng)。因此，網(wǎng)絡(luò)監(jiān)聽用來監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌取．?dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時，使用監(jiān)聽技術(shù)進(jìn)行攻擊并不是一件難事，只要將網(wǎng)絡(luò)接口設(shè)置成監(jiān)聽模式，便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@。 1.1廣播式以太網(wǎng)中的網(wǎng)絡(luò)監(jiān)聽 廣播式以太網(wǎng)在邏輯上由一條總線和一群掛在總線上的節(jié)點組成。任何一個節(jié)點主機(jī)發(fā)出的數(shù)據(jù)包都是在共享的以太網(wǎng)傳輸介質(zhì)上進(jìn)行傳輸?shù)?，每個數(shù)據(jù)包的包頭部分都包含了源地址和目的地址。網(wǎng)絡(luò)上所有節(jié)點都通過網(wǎng)絡(luò)接口（網(wǎng)卡）負(fù)責(zé)檢查每一個數(shù)據(jù)包，如果發(fā)現(xiàn)其目的地址是本機(jī)，則接收該數(shù)據(jù)包并向上層傳遞，以進(jìn)行下一步的處理；如果目的地址不是本機(jī)，則數(shù)據(jù)包將被丟棄不作處理。以太網(wǎng)數(shù)據(jù)包過濾機(jī)制分為鏈路層、網(wǎng)絡(luò)層和傳輸層。在鏈路層，網(wǎng)卡驅(qū)動程序判斷收到包的目標(biāo)MAC地址是否是自己的MAC地址；在網(wǎng)絡(luò)層判斷目標(biāo)IP地址是否為本機(jī)所綁定的IP地址；在傳輸層如TCP層或者UDP層判斷目標(biāo)端口是否在本機(jī)已經(jīng)打開。如果以上判斷否定，數(shù)據(jù)包將被丟棄。 在進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的“監(jiān)聽”時，首先通過將系統(tǒng)的網(wǎng)絡(luò)接口設(shè)定為“混雜模式”，網(wǎng)絡(luò)監(jiān)聽程序繞過系統(tǒng)正常工作的處理機(jī)制，直接訪問網(wǎng)絡(luò)底層。不論數(shù)據(jù)包的目的地址是否是本機(jī)，都能夠截獲并傳遞給上層進(jìn)行處理（只能監(jiān)聽經(jīng)過自己網(wǎng)絡(luò)接口的那些包），通過相應(yīng)的軟件進(jìn)一步地分析處理，就能夠得到數(shù)據(jù)包的一些基本屬性，如包類型、包大小、目的地址、源地址等，可以實時分析這些數(shù)據(jù)的內(nèi)容，如用戶名、口令以及所感興趣的內(nèi)容。 同理，正確地使用網(wǎng)絡(luò)監(jiān)聽技術(shù)也可以發(fā)現(xiàn)入侵并對入侵者進(jìn)行追蹤定位，在對網(wǎng)絡(luò)犯罪進(jìn)行偵查取證時獲取有關(guān)犯罪行為的重要信息，成為打擊網(wǎng)絡(luò)犯罪的有力手段。 1.2交換式以太網(wǎng)中的監(jiān)聽 交換機(jī)的工作原理不同于HUB的共享式報文方式，交換機(jī)轉(zhuǎn)發(fā)的報文是一一對應(yīng)的，能夠隔離沖突域和有效的YZ廣播風(fēng)暴的產(chǎn)生。由此看來，交換環(huán)境下再采用傳統(tǒng)的共享式以太網(wǎng)下網(wǎng)絡(luò)監(jiān)聽是不可能了，由于報文是一一對應(yīng)轉(zhuǎn)發(fā)的，普通的網(wǎng)絡(luò)此時無法監(jiān)聽到交換環(huán)境下其他主機(jī)任何有價值的數(shù)據(jù)。但是，以太網(wǎng)內(nèi)主機(jī)數(shù)據(jù)包的傳送完成不是依靠IP地址，而是依靠ARP找出IP地址對應(yīng)的MAC地址實現(xiàn)的。而ARP協(xié)議是不可靠和無連接的，通常即使主機(jī)沒有發(fā)出ARP請求，也會接受發(fā)給他的ARP回應(yīng)，并將回應(yīng)的MAC和IP對應(yīng)關(guān)系放入自己的ARP緩存中。因此利用ARP協(xié)議，交換機(jī)的安全性也面臨著嚴(yán)峻的考驗。 1.2.1交換機(jī)緩沖區(qū)溢出攻擊 交換機(jī)大多使用存貯轉(zhuǎn)發(fā)技術(shù)，工作時維護(hù)著一張MAC地址與端口的映射表，這個表中記錄著交換機(jī)每個端口綁定的MAC地址。他的工作原理是對某一段數(shù)據(jù)包進(jìn)行分析判別尋址，并進(jìn)行轉(zhuǎn)發(fā)，在發(fā)出前均存貯在交換機(jī)的緩沖區(qū)內(nèi)。但是，交換機(jī)緩沖區(qū)是有限的。如用大量無效IP包，包含錯誤MAC地址的數(shù)據(jù)幀對交換機(jī)進(jìn)行攻擊。該交換機(jī)將接收到大量的不符合分裝原則的包，造成交換機(jī)處理器工作繁忙，從而導(dǎo)致數(shù)據(jù)包來不及轉(zhuǎn)發(fā)，進(jìn)而導(dǎo)致緩沖區(qū)溢出產(chǎn)生丟包現(xiàn)象。這時交換機(jī)就會退回到HUB的廣播方式，向所有的端口發(fā)送數(shù)據(jù)包。這樣，監(jiān)聽就變得非常容易了。 1.2.2ARP協(xié)議和欺騙 在以太網(wǎng)中傳輸?shù)臄?shù)據(jù)包是以太包，而以太包的尋址是依據(jù)其首部的物理地址（MAC地址）。僅僅知道某主機(jī)的邏輯地址（IP地址）并不能讓內(nèi)核發(fā)送一幀數(shù)據(jù)給此主機(jī)，內(nèi)核必須知道目的主機(jī)的物理地址才能發(fā)送數(shù)據(jù)。ARP協(xié)議的作用就是在于把邏輯地址變換成物理地址，也既是把32 b的IP地址變換成48 b的以太地址。每一個主機(jī)都有一個ARP高速緩存，此緩存中記錄了Z近一段時間內(nèi)其他IP地址與其MAC地址的對應(yīng)關(guān)系。如果本機(jī)想與某臺主機(jī)通信，則首先在ARP高速緩存中查找此臺主機(jī)的IP和MAC信息，如果存在，則直接利用此MAC地址構(gòu)造以太包；如果不存在，則向本網(wǎng)絡(luò)上每一個主機(jī)廣播一個ARP請求包。其意義是“如果你有此IP地址，請告訴我你的MAC地址”，目的主機(jī)收到此請求包后，發(fā)送一個ARP響應(yīng)包，本機(jī)收到此響應(yīng)包后，把相關(guān)信息記錄在ARP高速緩存中?？梢钥闯?，ARP協(xié)議是有缺點的，第三方主機(jī)可以構(gòu)造一個ARP欺騙包，而源主機(jī)卻無法分辨真假。 假定A為進(jìn)行監(jiān)聽的主機(jī)，B為被監(jiān)聽的主機(jī)，C為其他網(wǎng)絡(luò)主機(jī)。當(dāng)A收到B向C發(fā)出的ARP請求包后，向B回應(yīng)一個ARP應(yīng)答。向C主動發(fā)送一個應(yīng)答，修改C緩存中的關(guān)于B的IPMAC映射。當(dāng)A收到C向B發(fā)出的ARP請求時，向B主動發(fā)送一個應(yīng)答，修改B緩存中的關(guān)于C的 IPMAC映射。這樣，構(gòu)造了ARP欺騙包（欺騙B對C的連接）。事實上，A成了B的代理可以全部捕獲到B和C的相關(guān)數(shù)據(jù)。 2網(wǎng)絡(luò)監(jiān)聽的檢測及防范 網(wǎng)絡(luò)監(jiān)聽是很難被發(fā)現(xiàn)的，因為運行網(wǎng)絡(luò)監(jiān)聽的主機(jī)只是被動地接收在局域網(wǎng)上傳輸?shù)男畔ⅲ恢鲃优c其他主機(jī)交換信息，也沒有修改在網(wǎng)上傳輸?shù)臄?shù)據(jù)包。 2.1網(wǎng)絡(luò)監(jiān)聽的檢測 (1)對于懷疑運行監(jiān)聽程序的機(jī)器，向局域網(wǎng)內(nèi)的主機(jī)發(fā)送非廣播方式的ARP包（錯誤的物理地址），如果局域網(wǎng)內(nèi)的某個主機(jī)響應(yīng)了這個ARP請求，我們就可以判斷該機(jī)器處于雜亂模式。而正常的機(jī)器不處于雜亂模式，對于錯誤的物理地址不會得到響應(yīng)。 （2）網(wǎng)絡(luò)和主機(jī)響應(yīng)時間測試。向網(wǎng)上發(fā)大量不存在的物理地址的包，處于混雜模式下的機(jī)器則缺乏此類底層的過濾，由于監(jiān)聽程序要分析和處理大量的數(shù)據(jù)包會占用很多的CPU資源，驟然增加的網(wǎng)絡(luò)通訊流量會對該機(jī)器造成較明顯的影響，這將導(dǎo)致性能下降。通過比較前后該機(jī)器性能加以判斷是否存在網(wǎng)絡(luò)監(jiān)聽。 （3）使用反監(jiān)聽工具如antisniffer等進(jìn)行檢測。 2.2網(wǎng)絡(luò)監(jiān)聽的防范 2.2.1網(wǎng)絡(luò)分段 網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實也是防范網(wǎng)絡(luò)監(jiān)聽的一項重要措施。將網(wǎng)絡(luò)劃分為不同的網(wǎng)段，其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法監(jiān)聽。 2.2.2以交換式集線器代替共享式集線器 對局域網(wǎng)的ZX交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，局域網(wǎng)監(jiān)聽的危險仍然存在。這是因為網(wǎng)絡(luò)Z終用戶的接入往往是通過分支集線器而不是ZX交換機(jī)，而使用Z廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時，兩臺機(jī)器之間的數(shù)據(jù)包(單播包)還是會被同一臺集線器上的其他用戶監(jiān)聽。因此，應(yīng)該以交換式集線器代替共享式集線器，使 單播包僅在兩個節(jié)點之間傳送，從而防止非法監(jiān)聽。 2.2.3使用加密技術(shù) 數(shù)據(jù)經(jīng)過加密后，通過監(jiān)聽仍然可以得到傳送的信息，但顯示的是亂碼。使用加密技術(shù)的 缺點是影響數(shù)據(jù)傳輸速度以及使用一個弱加密術(shù)比較容易被攻破。 2.2.4劃分VLAN 運用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c到點通信，VLAN子網(wǎng)隔離了廣播風(fēng)暴 ，可以防止大部分基于網(wǎng)絡(luò)監(jiān)聽的侵入，對一些重要部門實施了安全保護(hù)。且當(dāng)某一部門物 理位置發(fā)生變化時，只需對交換機(jī)進(jìn)行設(shè)置，就可以實現(xiàn)網(wǎng)絡(luò)的重組，非常方便、快捷，同 時節(jié)約了成本。為保證不同職能部門管理的方便性和安全性以及整個網(wǎng)絡(luò)運行的穩(wěn)定性，可 采用VLAN技術(shù)進(jìn)行虛擬網(wǎng)絡(luò)劃分。 3結(jié)語 網(wǎng)絡(luò)監(jiān)聽技術(shù)在信息安全領(lǐng)域中顯得非常重要，他又是一把雙刃劍，總是扮演著正反兩方 面的角色。對于網(wǎng)絡(luò)管理員來說，網(wǎng)絡(luò)監(jiān)聽技術(shù)可以用來分析網(wǎng)絡(luò)性能，檢查網(wǎng)絡(luò)是否被入 侵發(fā)揮著重要的作用；對于入侵者來說，網(wǎng)絡(luò)監(jiān)聽技術(shù)可以很容易地獲得明文傳輸?shù)拿艽a和 各種機(jī)密數(shù)據(jù)。為了保護(hù)網(wǎng)絡(luò)信息的安全，必須采用網(wǎng)絡(luò)監(jiān)聽技術(shù)進(jìn)行反跟蹤，時刻探明現(xiàn) 有網(wǎng)絡(luò)的安全現(xiàn)狀，掌握先機(jī)，才能保證網(wǎng)絡(luò)的信息安全。 ?

  贊(5)

  回復(fù)(0)

  評論

  評論

  登錄后參與評論