当前位置：首页 > 实用文档 > 其他范文> 网络监听技术概览

网络监听技术概览

时间：2023-05-17 07:53:24 其他范文收藏本文下载本文

网络监听技术概览（精选8篇）由网友“气泡膜”投稿提供，以下是小编精心整理的网络监听技术概览，仅供参考，希望能够帮助到大家。

网络监听技术概览

篇1：网络监听技术概览

网络监听，在网络安全上一直是一个比较敏感的话题，作为一种发展比较成熟的技术，监听在协助网络管理员监测网络传输数据，排除网络故障等方面具有不可替代的作用，因而一直倍受网络管理员的青睐，然而，在另一方面网络监听也给以太网安全带来了极大的隐患，许多的网络入侵往往都伴随着以太网内网络监听行为，从而造成口令失窃，敏感数据被截获等等连锁性安全事件。网络监听在安全领域引起人们普遍注意是在94年开始的，在那一年2月间，相网络监听常常会有一些有意思的问题，如：我现在有连在网上的计算机了，我也有了的软件了，那么我能不能到微软（或者美国国防部，新浪网等等）的密码？又如：我是公司的局域网管理员，我知道hub很不安全，使用hub这种网络结构将公司的计算计互连起来，会使网络监听变得非常容易，那么我们就换掉hub，使用交换机，不就能解决口令失窃这种安全问题了么？

这是两个很有意思的问题，我们在这里先不做回答，相信读者看完全文后会有自己正确的答案。

一些基本概念：

首先，我们知道，一台接在以太网内的计算机为了和其他主机进行通讯，在硬件上是需要网卡，在软件上是需要网卡驱动程序的。而每块网卡在出厂时都有一个唯一的不与世界上任何一块网卡重复的硬件地址，称为mac地址。同时，当网络中两台主机在实现tcp/ip通讯时，网卡还必须绑定一个唯一的ip地址。下面用一个常见的unix命令ifconfig来看一看作者本人的一台正常工作的机器的网卡：

[yiming@server/root]# ifconfig -a

hme0: flags=863 mtu 1500

inet 192.168.1.35 netmask ffffffe0

ether 8:0:20:c8:fe:15

从这个命令的输出中我们可以看到上面讲到的这些概念，如第二行的192.168.1.35是ip 地址，第三行的8:0:20:c8:fe:15是mac地址。请注意第一行的BROADCAST，MULTICAST，这是什么意思？一般而言，网卡有几种接收数据帧的状态，如unicast，broadcast，multicast，promiscuous等，unicast是指网卡在工作时接收目的地址是本机硬件地址的数据帧。Broadcast是指接收所有类型为广播报文的数据帧。Multicast是指接收特定的组播报文。Promiscuous则是通常说的混杂模式，是指对报文中的目的硬件地址不加任何检查，全部接收的工作模式。对照这几个概念，看看上面的命令输出，我们可以看到，正常的网卡应该只是接收发往自身的数据报文，广播和组播报文，请大家记住这个概念，

对网络使用者来说，浏览网页，收发邮件等都是很平常，很简便的工作，其实在后台这些工作是依靠tcp/ip协议族实现的，大家知道有两个主要的网络体系：OSI参考模型和TCP/IP参考模型，OSI模型即为通常说的7层协议，它由下向上分别为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层，而tcp/ip模型中去掉了会话层和表示层后，由剩下的5层构成了互联网的基础，在网络的后台默默的工作着。下面我们不妨从tcp/ip模型的角度来看数据包在局域网内发送的过程：当数据由应用层自上而下的传递时，在网络层形成ip数据报，再向下到达数据链路层，由数据链路层将ip数据报分割为数据帧，增加以太网包头，再向下一层发送。需要注意的是，以太网的包头中包含着本机和目标设备的mac地址，也即，链路层的数据帧发送时，是依靠48bits的以太网地址而非ip地址来确认的，以太网的网卡设备驱动程序不会关心ip数据报中的目的ip地址，它所需要的仅仅是mac地址。目标ip的mac地址又是如何获得的呢？发端主机会向以太网上的每个主机发送一份包含目的地的ip地址的以太网数据帧（称为arp数据包），并期望目的主机回复，从而得到目的主机对应的mac地址，并将这个mac地址存入自己的一个arp缓存内。当局域网内的主机都通过HUB等方式连接时，一般都称为共享式的连接，这种共享式的连接有一个很明显的特点：就是HUB会将接收到的所有数据向HUB上的每个端口转发，也就是说当主机根据mac地址进行数据包发送时，尽管发送端主机告知了目标主机的地址，但这并不意味着在一个网络内的其他主机听不到发送端和接收端之间的通讯，只是在正常状况下其他主机会忽略这些通讯报文而已！如果这些主机不愿意忽略这些报文，网卡被设置为promiscuous状态的话，那么，对于这台主机的网络接口而言，任何在这个局域网内传输的信息都是可以被听到的。

例子：

我们不妨举一个例子来看看：我们现在有A,B两台主机，通过hub相连在一个以太网内，现在A机上的一个用户想要访问B机提供的WWW服务，那么当A机上的用户在浏览器中键入B的ip地址，得到B机提供的web服务时，从7层结构的角度上来看都发生了什么呢？

1：首先，当A上的用户在浏览器中键入B机的地址，发出浏览请求后，A机的应用层得到请求，要求访问IP地址为B的主机，

2：应用层于是将请求发送到7层结构中的下一层传输层，由传输层实现利用tcp对ip建立连接。

3：传输层将数据报交到下一层网络层，由网络层来选路

4：由于A，B两机在一个共享网络中，IP路由选择很简单：IP数据报直接由源主机发送到目的主机。

5：由于A，B两机在一个共享网络中，所以A机必须将32bit的IP地址转换为48bit的以太网地址，请注意这一工作是由arp来完成的。

6：链路层的arp通过工作在物理层的hub向以太网上的每个主机发送一份包含目的地的ip地址的以太网数据帧，在这份请求报文中申明：谁是B机IP地址的拥有者，请将你的硬件地址告诉我。

篇2：网络监听技术概览

在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到,从而进行攻击，网络监听在网络中的任何一个位置模式下都可实施进行。而一般都是利用网络监听来截取用户口令。比如当有人占领了一台主机之后，那么他要再想将战果扩大到这个主机所在的整个局域网话，监听往往是他们选择的捷径。很多时候我在各类安全论坛上看到一些初学的爱好者，在他们认为如果占领了某主机之后那么想进入它的内部网应该是很简单的。其实非也，进入了某主机再想转入它的内部网络里的其它机器也都不是一件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径，当然了，这个路径的尽头必须是有写的权限了。在这个时候，运行已经被控制的主机上的监听程序就会有大收效。不过却是一件费神的事情，而且还需要当事者有足够的耐心和应变能力。

网络监听的原理

Ethernet（以太网，它是由施乐公司发明的一种比较流行的局域网技术，它包含一条所有计算机都连接到其上的一条电缆，每台计算机需要一种叫接口板的硬件才能连接到以太网）协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包的主机的正确地址，因为只有与数据包中目标地址一致的那台主机才能接收到信息包，但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么，主机都将可以接收到。许多局域网内有十几台甚至上百台主机是通过一个电缆、一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是所说的数据链路层.网络接口不会识别IP地址的。在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太祯的祯头的信息。在祯头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址，这个48位的地址是与IP地址相对应的，换句话说就是一个IP地址也会对应一个物理地址。对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的祯中继携带的就是网关的物理地址。

Ethernet中填写了物理地址的祯从网络接口中，也就是从网卡中发送出去传送到物理的线路上。如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据祯进行检查，如果数据祯中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据祯交给IP层软件。对于每个到达网络接口的数据祯都要进行这个过程的。但是当主机工作在监听模式下的话，所有的数据祯都将被交给上层协议软件处理。

当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候，那么要是有一台主机处于监听模式，它还将可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP地址和网关）的主机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。

在UNIX系统上，当拥有超级权限的用户要想使自己所控制的主机进入监听模式，只需要向Interface（网络接口）发送I/O控制命令，就可以使主机设置成监听模式了。而在Windows9x的系统中则不论用户是否有权限都将可以通过直接运行监听工具就可以实现了。

在网络监听时，常常要保存大量的信息（也包含很多的垃圾信息），并将对收集的信息进行大量的整理，这样就会使正在监听的机器对其它用户的请求响应变的很慢。同时监听程序在运行的时候需要消耗大量的处理器时间，如果在这个时候就详细的分析包中的内容，许多包就会来不及接收而被漏走。所以监听程序很多时候就会将监听得到的包存放在文件中等待以后分析。分析监听到的数据包是很头疼的事情。因为网络中的数据包都非常之复杂。两台主机之间连续发送和接收数据包，在监听到的结果中必然会加一些别的主机交互的数据包。监听程序将同一TCP会话的包整理到一起就相当不容易了，如果你还期望将用户详细信息整理出来就需要根据协议对包进行大量的分析。Internet上那么多的协议，运行进起的话这个监听程序将会十分的大哦。

现在网络中所使用的协议都是较早前设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础。在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网上传输的，因此进行网络监听从而获得用户信息并不是一件难点事情，只要掌握有初步的TCP/IP协议知识就可以轻松的监听到你想要的信息的。前些时间美籍华人China-babble曾提出将望路监听从局域网延伸到广域网中，但这个想法很快就被否定了。如果真是这样的话我想网络必将天下大乱了。而事实上现在在广域网里也可以监听和截获到一些用户信息。只是还不够明显而已。在整个Internet中就更显得微不足道了。

下面是一些系统中的著名的监听程序，你可以自己尝试一下的。

Windows9x/NT NetXRay semxa.kstar.com/hacking/netxray.zip

DEC Unix/Linux Tcpdump semxa.kstar.com/hacking/management.zip

Solaris Nfswatch semxa.kstar.com/hacking/nfswatch.zip

SunOS Etherfind semxa.kstar.com/hacking/etherfind012.zip

检测网络监听的方法

网络监听在上述中已经说明了，

它是为了系统管理员管理网络，监视网络状态和数据流动而设计的。但是由于它有着截获网络数据的功能所以也是所惯用的伎俩之一。

一般检测网络监听的方法通过以下来进行：

►网络监听说真的，是很难被发现的。当运行监听程序的主机在进听的过程中只是被动的接收在以太网中传输的信息，它不会跟其它的主机交换信息的，也不能修改在网络中传输的信息包。这就说明了网络监听的检测是比较麻烦的事情。

一般情况下可以通过ps-ef或者ps-aux来检测。但大多实施监听程序的人都会通过修改ps的命令来防止被ps-ef的。修改ps只需要几个shell把监听程序的名称过滤掉就OK了。一能做到启动监听程序的人也绝对不是个菜的连这个都不懂的人了，除非是他懒。

上边提到过。当运行监听程序的时候主机响应一般会受到影响变的会慢，所以也就有人提出来通过响应的速率来判断是否受到监听。如果真是这样判断的话我想世界真的会大乱了，说不准一个时间段内会发现无数个监听程序在运行呢。呵呵。

如果说当你怀疑网内某太机器正在实施监听程序的话（怎么个怀疑？那要看你自己了），可以用正确的IP地址和错误的物理地址去ping它，这样正在运行的监听程序就会做出响应的。这是因为正常的机器一般不接收错误的物理地址的ping信息的。但正在进听的机器就可以接收，要是它的IP stack不再次反向检查的话就会响应的。不过这种方法对很多系统是没效果的，因为它依赖于系统的IP stack。

另一种就是向网上发大量不存在的物理地址的包，而监听程序往往就会将这些包进行处理，这样就会导致机器性能下降，你可以用icmp echo delay来判断和比较它。还可以通过搜索网内所有主机上运行的程序，但这样做其的难度可想而知，因为这样不但是大的工作量，而且还不能完全同时检查所有主机上的进程。可是如果管理员这样做也会有很大的必要性，那就是可以确定是否有一个进程是从管理员机器上启动的。

在Unix中可以通过ps Caun或ps Caugx命令产生一个包括所有进程的清单：进程的属主和这些进程占用的处理器时间和内存等。

这些以标准表的形式输出在STDOUT上。如果某一个进程正在运行，那么它将会列在这张清单之中。但很多在运行监听程序的时候会毫不客气的把ps或其它运行中的程序修改成Trojan Horse程序，因为他完全可以做到这一点的。如果真是这样那么上述办法就不会有结果的。但这样做在一定程度上还是有所作为的。在Unix和Windows NT上很容易就能得到当前进程的清单了。但DOS、

Windows9x好象很难做到哦，具体是不是我没测试过不得而知。

还有一种方式，这种方式要靠足够的运气。因为往往所用的监听程序大都是免费在网上得到的，他并非专业监听。所以做为管理员用来搜索监听程序也可以检测。使用Unix可以写这么一个搜索的小工具了，不然的话要累死人的。呵呵。

有个叫Ifstatus的运行在Unix下的工具，它可以识别出网络接口是否正处于调试状态下或者是在进听装下。要是网络接口运行这样的模式之下，那么很有可能正在受到监听程序的攻击。Ifstatus一般情况下不会产生任何输出的，当它检测到网络的接口处于监听模式下的时候才回输出。管理员可以将系统的cron参数设置成定期运行Ifstatus，如果有好的cron进程的话可以将它产生的输出用mail发送给正在执行cron任务的人，要实现可以在crontab目录下加****/usr/local/etc/ifstatus一行参数。这样不行的话还可以用一个脚本程序在crontab下00****/usr/local/etc/run-ifstatus。

抵御监听其实要看哪个方面了。一般情况下监听只是对用户口令信息比较敏感一点（没有无聊的去监听两台机器间的聊天信息的那是个浪费时间的事情）。所以对用户信息和口令信息进行加密是完全有必要的。防止以明文传输而被监听到。现代网络中，SSH（一种在应用环境中提供保密通信的协议）通信协议一直都被沿用，SSH所使用的端口是22，它排除了在不安全信道上通信的信息，被监听的可能性使用到了RAS算法，在授权过程结束后，所有的传输都用IDEA技术加密。但SSH并不就是完全安全的。至少现在我们可以这么大胆评论了。

著名的Sniffer监听工具

Sniffer之所以著名，权因它在很多方面都做的很好，它可以监听到（甚至是听、看到）网上传输的所有信息。Sniffer可以是硬件也可以是软件。主要用来接收在网络上传输的信息。网络是可以运行在各种协议之下的，包括以太网Ethernet、TCP/IP、ZPX等等，也可以是集中协议的联合体系。

Sniffer是个非常之危险的东西，它可以截获口令，可以截获到本来是秘密的或者专用信道内的信息，截获到信用卡号，经济数据，E-mail等等。更加可以用来攻击与己相临的网络。

Sniffer可以使用在任何一种平台之中。而现在使用Sniffer也不可能别发现，这个足够是对网络安全的最严重的挑战。

在Sniffer中，还有“热心人”编写了它的Plugin，称为TOD杀手，可以将TCP的连接完全切断。总之Sniffer应该引起人们的重视,否则安全永远做不到最好。

篇3：网络监听讲解

网络监听工具的提供给管理员的一类管理工具，

网络监听讲解

，

使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。但是网络监听工具也是们常用的工具。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听

篇4：网络监听概念及原理

网络监听工具是提供给管理员的一类管理工具，

网络监听概念及原理

，

篇5：如何防止网络监听与端口扫描

1.使用安全工具

有许多工具可以让我们发现系统中的漏洞，如SATAN等，

如何防止网络监听与端口扫描

。SATAN是一个分析网络的管理、测试和报告许多信息，识别一些与网络相关的安全问题。

对所发现的问题，SATAN提供对这个问题的解释以及可能对系统和网络安全造成影响的程度，并且通过工具所附的资料，还能解释如何处理这些问题。

当然还有很多像这样的安全工具。包括对TCP端口的扫描或者对多台主机的所有TCP端口实现监听；分析网络协议、监视控制多个网段等，正确使用这些安全工具，及时发现系统漏洞，才能防患于未然。

而对于WindowsNT系统平台，可定期检查EventLog中的SECLog记录，查看是否有可疑的情况，防止网络监听与端口扫描。

2.安装防火墙

防火墙型安全保障技术是基于被保护网络具有明确定义的边界和服务、并且网络安全的威胁仅来自外部的网络。通过监测、限制以及更改跨越“防火墙”的数据流，尽可能的对外部网络屏蔽有关被保护网络的信息、结构，实现对网络的安全保护，因此比较适合于相对独立，与外部网络互连途径有限并且网络服务种类相对单一、集中的网络系统，如Internet，“防火墙”型系统在技术原理上对来自内部网络系统的安全威胁不具备防范作用，对网络安全功能的加强往往以网络服务的灵活行、多样性和开放性为代价，且需要较大的网络管理开销。

防火墙型网络安全保障系统实施相当简单，是目前应用较广的网络安全技术，但是其基本特征及运行代价限制了其开放型的大规模网络系统中应用的潜力。由于防火墙型网络安全保障系统只在网络边界上具有安全保障功能，实际效力范围相当有限，因此“防火墙”型安全技术往往是针对特定需要而专门设计实施的系统。

对于个人用户，安装一套好的个人防火墙是非常实际而且有效的方法。现在许多公司都开发了个人防火墙，这些防火墙往往具有智能防御核心，攻击，并进行自动防御，保护内部网络的安全。

比如蓝盾防火墙系统在内核设计中引入自动反扫描机制，当用扫描器扫描防火墙或防火墙保护的服务器时，将扫描不到任何端口，使无从下手；同进还具有实时告警功能，系统对受到的攻击设有完备的纪录功能，纪录方式有简短纪录、详细记录、发出警告、纪录统计（包括流量、连接时间、次数等）等记录，当系统发生警告时，还可以把警告信息传到呼机和手机上来，让系统管理员及得到通知。

3.对络上传输的信息进行加密，可以有效的防止网络监听等攻击

目前有许多软件包可用于加密连接，使入侵者即使捕获到数据，但无法将数据解密而失去的意义。

最后给系统及网络管理员的一些建议：

（1）及时安装各种防火墙；

（2）关注国内一些有实力的安全站点，以得到最新网络系统漏洞的消息。

篇6：网络监听的原理、实现技术与防范方法

局域网具有设备共享、信息共享、可进行高速数据通讯和多媒体信息通信、分布式处理、具有较高的兼容性和安全性等基本功能和特点，目前局域网主要用于办公室自动化和校园教学及管理，一般可根据具体情况采用总线形、环形、树形及星形的拓扑结构。

一、网络监听

网络监听技术本来是提供给网络安全管理人员进行管理的工具，可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时，使用监听技术进行攻击并不是一件难事，只要将网络接口设置成监听模式，便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。

二、在局域网实现监听的基本原理

对于目前很流行的以太网协议，其工作方式是：将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。但是，当主机工作监听模式下，无论数据包中的目标地址是什么，主机都将接收(当然只能监听经过自己网络接口的那些包)。

在因特网上有很多使用以太网协议的局域网，许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送，必须从TCP/IP协议的IP层交给网络接口，也就是数据链路层，而网络接口是不会识别IP地址的，因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域，分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个与IP地址相对应的48位的地址。

传输数据时，包含物理地址的帧从网络接口(网卡)发送到物理的线路上，如果局域网是由一条粗缆或细缆连接而成，则数字信号在电缆上传输，能够到达线路上的每一台主机。当使用集线器时，由集线器再发向连接在集线器上的每一条线路，数字信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主机的网络接口时，正常情况下，网络接口读入数据帧，进行检查，如果数据帧中携带的物理地址是自己的或者是广播地址，则将数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。

然而，当主机工作在监听模式下，所有的数据帧都将被交给上层协议软件处理。而且，当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监听模式下，它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。另外，现在网络中使用的大部分协议都是很早设计的，许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上，许多信息以明文发送。因此，如果用户的账户名和口令等信息也以明文的方式在网上传输，而此时一个或网络攻击者正在进行网络监听，只要具有初步的网络和TCP/IP协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分。同理，正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位，在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段。

三、局域网监听的简单实现

要使主机工作在监听模式下，需要向网络接口发出I/O控制命令，将其设置为监听模式。在Unix系统中，发送这些命令需要超级用户的权限。在Windows系列操作系统中，则没有这个限制。要实现网络监听，可以自己用相关的计算机语言和函数编写出功能强大的网络监听程序，也可以使用一些现成的监听软件，在很多网站或从事网络安全管理的网站都有。

1. 一个使用sniffer pro进行监听并解析IPv4协议头部的例子

(1)IP头部概述

对于上图中各个字段的含义以及IPv4和IPv6报头的区别，RFC文档和一些计算机网络基础的书籍中都有详细的说明，在此不再赘述。

(2)实例解析

是用sniffer pro进行监听时捕获的IPv4协议报头。

第一部分显示的是关于IP的版本信息，它的当前版本号为4;然后是头部的长度，其单位是32-bit的字，本例中值为20bytes，

第二部分是有关服务类型的信息。

第三部分为头部长度字段，本例中IP报头长为56字节。

第四部分是关于分段的内容。

第五部分是生存时间字段，一般为64或128，本例为128seconds/hops。

第六部分是协议部分，说明了上层使用的服务类型，本例中为UDP。

第七部分以下各字段分别为校验和、源地址、目的地址等。

2. 一个使用sniffer pro进行监听获取邮箱密码的例子

通过对用监听工具捕获的数据帧进行分析，可以很容易的发现敏感信息和重要信息。例如，对一些明码传输的邮箱用户名和口令可以直接显示出来。

gao-jian为邮箱用户名，12345为邮箱密码，都以明码显示，由此也可以看到局域网监听技术如果用于不正当的目的会有多大的危害。

在以上各部分中还有更详细的信息，在此不作更多的分析。通过这个例子想说明的是通过网络监听可以获得网络上实时传输的数据中的一些非常重要的信息，而这些信息对于网络入侵或入侵检测与追踪都会是很关键的。

四、如何检测并防范网络监听

网络监听是很难被发现的，因为运行网络监听的主机只是被动地接收在局域局上传输的信息，不主动的与其他主机交换信息，也没有修改在网上传输的数据包。

1. 对可能存在的网络监听的检测

(1)对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处理监听状态的机器能接收，但如果他的IP stack不再次反向检查的话，就会响应。

(2)向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降。通过比较前后该机器性能加以判断。这种方法难度比较大。

(3)使用反监听工具如antisniffer等进行检测

2. 对网络监听的防范措施

(1)从逻辑或物理上对网络分段

网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。

(2)以交换式集线器代替共享式集线器

对局域网的中心交换机进行网络分段后，局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所监听。

因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法监听。当然，交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。但广播包和多播包内的关键信息，要远远少于单播包。

(3)使用加密技术

数据经过加密后，通过监听仍然可以得到传送的信息,但显示的是乱码。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在网络速度和安全性上进行折中。

(4)划分VLAN

运用VLAN(虚拟局域网)技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵。

五、结束语

网络监听技术作为一种工具，总是扮演着正反两方面的角色。对于入侵者来说，最喜欢的莫过于用户的口令，通过网络监听可以很容易地获得这些关键信息。而对于入侵检测和追踪者来说，网络监听技术又能够在与入侵者的斗争中发挥重要的作用。鉴于目前的网络安全现状，我们应该进一步挖掘网络监听技术的细节，从技术基础上掌握先机，才能在与入侵者的斗争中取得胜利。

篇7：熟悉频段――短波监听的基本技术网络知识

作者：于淦无线电监测主要是利用监测天线、接收机和各类终端解调设备，通过对无线电频谱的不断监测发现和分析来掌握各频段的情况，短波频段具有以下几个特点:信号密度大;同一个信道有时会有好几个信号同时存在;同一个信号可能会用不同的频率同时发送（同信

作者：于淦

无线电监测主要是利用监测天线、接收机和各类终端解调设备，通过对无线电频谱的不断监测发现和分析来掌握各频段的情况。

短波频段具有以下几个特点:信号密度大;同一个信道有时会有好几个信号同时存在;同一个信号可能会用不同的频率同时发送（同信号异频同播）;同一个频率同一个内容会在不同地方同时播出（同频异地同播）;两个不同地方的固定电台利用短波通信（天波）在白天和晚上、夏天和冬天需要用不同的频率才能正常通联。

熟悉短波频段，是监听员根据所控短波频段的需要，是熟悉和掌握频段内各类电台的一项技术方法。它是发现新电台和不明电台的重要措施。频段熟悉得好，对各类电台的频率分布、通信特点和出联规律有了底数，在监听过程中就能做到“胸中有数”，掌握主动，提高效率。

熟悉频段的内容

熟悉频段的内容应包括所控短波频段内所有电台，即通常所说的全面熟悉，熟悉的内容首先要掌握频段内具体通信业务和各频段的功能。

1.1短波的具体通信业务

短波的具体通信业务，从电台的具体业务种类来分，有广播业务、固定业务、移动业务、水上移动业务、航空移动业务、业余业务等。

（1）广播业务:供公众直接接收而进行发射的无线电通信业务，包括声音的发射、电视信号的发射或其它方式的发射。

（2）固定业务:特定的固定点之间的无线电通信，是无线电主要业务种类业务。

（3）移动业务:移动电台与陆地电台之间或各移动电台之间的无线电通信业务。

（4）水上移动业务:海岸电台之间与船舶电台之间、船舶电台之间，或相关的船上通信电台之间的一种移动通信业务;营救器电台和应急示位无线电信标电台也可参与此种业务。

（5）航空移动业务:在航空电台和航空器电台之间或各航空器电台之间的一种移动通信业务。营救器发信机可参与此种业务，应急示位无线电信标电台在指定的遇险与应急频率上也可参与此种业务。

（6）业余业务:供业余无线电爱好者进行自我训练、相互通信和技术研究的无线电通信业务。业余无线电爱好者是指经正式批准的、对无线电技术有兴趣的人，其兴趣纯系个人爱好而不涉及谋求利润。

1.2熟悉各频段的功能

(1)短波通信实际使用的频率范围:1.6MHz～30MHz。

（2）短波通信频率功能划分：

1600kHz～1800kHz:主要是些灯塔和导航信号，用来给鱼船和海上油井勘探的定位信号。

1800kHz～kHz:160米的业余无线电波段，在秋冬季节的夜晚有最好的接收效果。

2000kHz～2300kHz:此波段用于海事通信，其中2182kHz保留为紧急救难频率。

2300kHz～2498kHz:120米的广播波段。

2498kHz～2850kHz:此波段有很多海事电台。

2850kHz～3150kHz:主要是航空电台使用。

3150kHz～3200kHz:分配给固定台。

3200kHz～3400kHz:90米的广播波段，主要是一些热带地区的电台使用。

3400kHz～3500kHz:用于航空通信。

3500kHz～4000kHz:80米的业余无线电波段。

4000kHz～4063kHz:固定电台波段。

4063kHz～4438kHz:用于海事通信。

4438kHz～4650kHz:用于固定台和移动台的通信。

4750kHz～4995kHz:60米的广播波段，主要由热带地区的一些电台使用。最好的接收时间是秋冬季节的傍晚和夜晚。

4995kHz～5005kHz:有国际性的标准时间频率发播台。可在5000kHz听到。

5005kHz～5450kHz:此频段非常混乱，低端有些广播电台，还有固定台和移动台。

5450kHz～5730kHz:航空波段。

5730kHz～5950kHz:此波段被某些固定台占用，这里也可以找到几个广播电台。

5950kHz～6200kHz:49米的广播波段。

6200kHz～6525kHz:非常拥挤的海事通信波段。

6525kHz～6765kHz:航空通信波段。

6765kHz～7000kHz:由固定台使用。

7000kHz～7300kHz:全世界的业余无线电波段，偶尔有些广播也会在这里出现。

7300kHz～8195kHz:主要由固定台使用，也有些广播电台在这里播音。

8195kHz～8815kHz:海事通信频段。

8815kHz～9040kHz:航空通信波段，还可以听到一些航空气象预报电台。

9040kHz～9500kHz:固定电台使用，也有些国际广播电台的信号。

9500kHz～9900kHz:31米的国际广播波段。

9900kHz～9995kHz:有些国际广播电台和固定台使用。

9995kHz～10005kHz:标准时间标准频率发播台。可在10000kHz听到。

10005kHz～10100kHz:用于航空通信。

10100kHz～10150kHz:30米的业余无线电波段。

10150kHz～11175kHz:固定台使用这个频段。

11175kHz～11400kHz:用于航空通信。

11400kHz～11650kHz:主要是固定电台使用，但是也有些国际广播电台的信号。

11650kHz～11975kHz:25米的国际广播波段，整天可以听到有电台播音。

11975kHz～12330kHz:主要是由一些固定电台使用，但是也有些国际广播电台的信号。

12330kHz～13200kHz:繁忙的海事通信波段。

13200kHz～13360kHz:航空通信波段。

13360kHz～13600kHz:主要是由一些固定电台使用。

13600kHz～13800kHz:22米的国际广播波段。

13800kHz～14000kHz:由固定台使用。

14000kHz～14350kHz:20米的业余无线电波段。

14350kHz～14490kHz:主要是由一些固定电台使用。

14990kHz～15010kHz:标准时间标准频率发播台。可在15000kHz听到。

15010kHz～15100kHz:用于航空通信，也可以找到一些国际广播电台。

15100kHz～15600kHz:19米的国际广播波段，整天可以听到有电台播音。

15600kHz～16460kHz:主要是由固定电台使用。

16460kHz～17360kHz:由海事电台和固定电台共享，

17360kHz～17550kHz:由航空电台和固定电台共享。

17550kHz～17900kHz:16米的国际广播波段，最佳的接收时间是在白天。

17900kHz～18030kHz:用于航空通信。

18030kHz～18068kHz:主要是由固定电台使用。

18068kHz～18168kHz:17米的业余无线电波段。

18168kHz～0kHz:用于固定电台，也可以找到一些海事电台。

19990kHz～20010kHz:标准时间标准频率发播台，可在20000kHz听到，接收的最佳时间在白天。

20010kHz～21000kHz:主要用于固定台，也有些航空电台。

21000kHz～21450kHz:15米的业余无线电波段。

21450kHz～21850kHz:13米的国际广播波段，最佳的接收时间是在白天。

21850kHz～22000kHz:由航空电台和固定电台共享。

22000kHz～22855kHz:主要是由一些海事电台使用。

22855kHz～23200kHz:主要是由一些固定电台使用。

23200kHz～23350kHz:由航空台使用。

23350kHz～24890kHz:主要是由一些固定电台使用。

24890kHz～24990kHz:15米的业余无线电波段。

24990kHz～25010kHz:用于标准时间标准频率发播台，目前还没有电台在这个频段上操作。

25010kHz～25550kHz:用于固定、移动、海事电台。

25550kHz～25670kHz:此频段保留给天文广播，目前还没有电台。

25670kHz～26100kHz:13米的国际广播波段。

26100kHz～28000kHz:用于固定、移动、海事电台。

28000kHz～29700kHz:10米的业余无线电波段。

29700kHz～30000kHz:固定和移动台使用此波段。

熟悉频段的方法

熟悉频段就是监听员在工作中通过具体的听测和对电台研究，来不断加深对频段的熟悉，具体方法主要有如下几点:

(1)反复听。所谓听，主要是通过耳朵听，进行感性体会。反复听，就能体会得深，熟悉得好。听的途径，主要是在审查每个信号、守听每个电台和抄录每个电台情况过程中，体会声音手法和熟悉特点。听多了，就会印象深，达到“一触即知”。在反复听的过程中应注意如下两点：

一是分析特点。各类电台或每个电台，其机器音响和报务员手法都具有不同的特点，在听的过程中要仔细分析、深入体会。如晶体机声音钢圆，在各类电台中比较特殊。再如MORSE，音响单一，有明显的节奏感等等。抓住电台的具体特点，就能更深入地熟悉它。

二是对比体会。对那些特点不易区分的电台，可用两部接收机同时听，或者录下来同时放听，对比体会，从中寻找不同点。如：有人常将8FSK和MFSK的电台弄混，对比听后，就能感到MFSK比8FSK音调要丰富一些。

(2)常分析。常分析，就是经常对各种类型信号的中频频谱、音频频谱和时频分析图等进行分析，加深理解信号的特征，尤其是对那些用耳朵不容易区分的信号。

如:图1是8路QPSK信号的中频频谱，此信号听起来似“嗡嗡”的风声，与其它一些QPSK信号的音响难以区分，但通过中频频谱可看到有8个包络，即可分辨出是8路QPSK信号。

图1 8路QPSK信号的中频谱

图2是2FSK信号的中频频谱，此信号是频移键控信号，用两个不同频率的载波来传递数字消息。速度慢时能听出两个频率交替发报的“嘟”声，若速度太快，则难以听出，但通过中频频谱就容易看出两个频率交替发报，从而判断出是2FSK信号。

图2 2FSK信号的中频谱

再如:图3和图5分别是12路QPSK和16路QPSK的时频分析图，这两个信号从声响上区别不大，从时频分析图上能看出一些差别，但不能判断是多少路的信号。进一步解调分析后，我们就可从图4和图6中得出结论:图4有12个包络，是12路QPSK;图6有16个包络，是16路QPSK。

图3 12路QPSK时频分析图

图4 12路QPSK频谱

图5 16路QPSK时频分析图

图6 12路QPSK频谱

(3)多研究。经常研究分析频段情况是熟悉频段的一个重要措施。由于各类电台常有变化，要结合所控的频段经常翻看和学习各种材料。如频段内发现了新的电台，及时研究熟悉，就能加强追证和控制；频段内已知电台中有了变化，及时研究就能及时熟悉掌握。从而加深对频段的熟悉。

(4)勤总结。频段总结是多年来熟悉频段的一种好方法。通过总结可以较全面深入地加强对频段的熟悉。按照总结的具体范围不同，频段总结大致可分为三种形式:

一是电台鉴定。为了加强对某一电台或某一网络电台的熟悉掌握，在搜集材料的基础上，对其声音手法、通信特点、联络关系、出联规律、台址分布和业务性质等进行鉴定。这是对单个电台或单个网络电台的一种总结方式。

二是类型台小结。当频段内发现了新的类型台，并搜集到一定的材料之后，可按其呼号或性质定一个名称，然后进行综合整理。

三是频段总结。一般应每个月或每个季度总结一次。每次总结的内容可结合工作需要有所侧重，如重点总结航空电台的情况，或重点总结广播电台的情况等等。

总结的方法:

①搜集材料。有了材料，总结就有了内容。总结时，首先按照总结的项目，从各方面着手搜集材料。材料的来源主要来自于日常监测。

②集体研究。即对所搜集的材料，分类或分台进行研究。研究时，要紧紧围绕所控频段的需要，着重分析搞清各类电台的主要特点和出联规律。

③归纳整理，即整理出频段总结材料。可按照电台性质和类别名称排列，然后按电台特征的几个方面具体综合。

(5)认真记。为了更好地熟悉频段，必须通过各种途径熟记频段内的电台，在脑子里形成一幅活的频段图。记得熟就能提高监听效率。如果记得不熟，只靠查对数据库，就会延误时间，影响监听的进度。记忆的主要方法有:

①按频率记。以频率为序排列记忆，就能直接掌握电台的分布情况。记忆电台，要紧密结合工作需要，既要记呼号、频率，又应记声音手法和通信特点，做到“记为所用，记用结合”。为了帮助记忆，可以自制一个表，把各类电台按频率排列在表上，经常看，经常查，就能加深记忆。

②按系统记。即对频段内的电台，分系分类进行记忆，具体方法可整理排列频段内有哪些系统类别，各类系统有那些联络关系，以及其声音手法、通信特点等。这样记忆，比较有头绪，容易记住。

③按时间记。这种方法适合于对不明电台的记忆，按时间排列整理，熟悉掌握，这样有利于加强追证不明电台。

原文转自：www.ltesting.net

篇8：局域网嗅探与监听技术

一. 网络日记并不安全

检察员小洁从小就有写日记的习惯，毕业后上了工作岗位也不曾改变，无论工作多忙多累，每天晚上临近睡觉前她总会把今日发生的事情记录进日记本里，例如一些工作问题、心情想法、同事和上级的事情等等，小洁使用的是一个网站提供的网络日记本服务，她很喜欢那个宁静简洁的文字界面，偶尔没任务要忙或者心情不好的时候，她就会用院里的网络上去看自己以前写的日记。

这天小洁和往常一样来到办公室，却发现气氛不同往常了：同事们面对她的时候笑容很不自然，有几个女同事还偷偷对她指指点点的，小洁看过去时她们却又不说话了，她只好竖起耳朵偷听，隐隐约约听到一句“……连别人还欠着50元没还她都写上去，这个人真……”，小洁的脸瞬间变得煞白：这不是她某天的日记内容吗？……

究竟是谁把小洁的日记偷看了呢？你正在使用的局域网，又能真的很安全吗？小洁不知道，大院的局域网里，有一双耳朵正在悄悄的记录着她的电脑上发送和接收的一切信息……

这双耳朵的名词被称为“网络嗅探”（Network Sniffing）或“网络监听”（Network Listening），它并不是最近才出现的技术，也并非专门用在黑道上的技术，监听技术作为一种辅助手段，在协助网络管理员监测网络传输数据、排除网络故障等方面具有不可替代的作用，因此一直倍受网络管理员的青睐并逐渐发展完善，所谓“监听”技术，就是在互相通讯的两台计算机之间通过技术手段插入一台可以接收并记录通讯内容的设备，最终实现对通讯双方的数据记录。一般都要求用作监听途径的设备不能造成通讯双方的行为异常或连接中断等，即是说，监听方不能参与通讯中任何一方的通讯行为，仅仅是“被动”的接收记录通讯数据而不能对其进行篡改，一旦监听方违反这个要求，这次行为就不是“监听”，而是“劫持”（Hijacking）了。

看了以上对于“监听”概念的描述，有人也许已经跃跃欲试了：我有网络，也有电脑，还有网络嗅探工具，那我能不能把某个收费电影站甚至国防部网站的账号密码记录下来呢？当然这也不是不可能，但是前提是你有足够能力在相关站点实体服务器的网关或路由设备上接入一个监听设备，否则凭一台你自己家里的计算机是无法实现的。这就是“监听”的弱点：它要求监听设备的物理传输介质与被监听设备的物理传输介质存在直接联系或者数据包能经过路由选择到达对方，即一个逻辑上的三方连接。能实现这个条件的只有以下情况：

1. 监听方与通讯方位于同一物理网络，如局域网

2. 监听方与通讯方存在路由或接口关系，例如通讯双方的同一网关、连接通讯双方的路由设备等

因此，直接用自己家里的计算机去嗅探国防部网站的数据是不可能的，你看到的只能是属于你自己领域的数据包，那些害怕自己在家里上网被远方的入侵者监听的朋友大可以松口气了（你机器上有安全的情况除外），除非入侵者控制了你的网关设备，但这需要入侵者具有高级的入侵技术，而一个有高级技术的入侵者会稀罕普通家庭用户是的一台计算机吗？

不可否认，“监听”行为是会对通讯方造成损失的，一个典型例子是在1994年的美国网络事件，一个不知名的人在众多的主机和骨干网络设备上安装了网络监听软件，利用它对美国骨干互联网和军方网窃取了超过100000个有效的用户名和口令，引发了重大损失，而“监听”技术，就是在那次事件以后才从地下走向公开化的，

下面，我们来更深入一层了解如今最常见的网络监听。

二. 活跃在局域网里的“耳朵”们

由于前面说过的原因，嗅探技术不太能在公共网络设备上使用（仅指入侵行为的安装方式，因为网络管理员要在某个路由设备上设置监听是简单的事情），所以当今最普遍的嗅探行为并不是发生在Internet上的，而是各个或大或小的局域网，因为它很显然满足监听技术需要的条件：监听方与通讯方位于同一物理网络。

1.写在前面：局域网内计算机通讯的概念和寻址

要发生监听事件，就必须有至少两台计算机处于通讯状态，而监听的实质也是数据的传输，这就要求者自身也处于通讯网络中，而实现局域网通讯的基础是以太网模型（Ethernet），它包括物理上的数据传输设备如网卡、集线器和交换机等，除此之外还需要逻辑上的软件、网络协议和操作系统支持，如网卡驱动程序、TCP/IP协议、NetBIOS协议、多种寻址和底层协议等，具备了这些条件，计算机才可以实现完整的通讯过程。

那么局域网内的计算机通讯是怎么进行的呢？计算机系统要传输数据时，是严格按照IEEE802.3标准的局域网协议进行的，而且还要结合TCP/IP和OSI模型7层规范实施，所以数据是经过打包封装的，从高层到低层被分别加上相关数据头和地址，直至物理层把其转化为电平信号传送出去，而另一台计算机则是通过逆向操作把数据还原的，这就引发了一个问题：寻址问题。

在局域网里，计算机要查找彼此并不是通过IP进行的，而是通过网卡MAC地址（也被称为以太网地址），它是一组在生产时就固化的全球唯一标识号，根据协议规范，当一台计算机要查找另一台计算机时，它必须把目标计算机的IP通过ARP协议（地址解析协议）在物理网络中广播出去，“广播”是一种让任意一台计算机都能收到数据的数据发送方式，计算机收到数据后就会判断这条信息是不是发给自己的，如果是，就会返回应答，在这里，它会返回自身地址，这一步被称为“ARP寻址”。当源计算机收到有效的回应时，它就得知了目标计算机的MAC地址并把结果保存在系统的地址缓冲池里，下次传输数据时就不需要再次发送广播了，这个地址缓冲池会定时刷新重建，以免造成数据老旧和错误。当前活动的ARP表可以使用arp –a命令查看。

话题回到数据被打包成为比特流的最后两层，在这里有一个关键部分被称为“数据链路层”，数据在网络层形成IP数据报，再向下到达数据链路层，由数据链路层将IP数据报分割为数据帧，增加以太网包头，再向下一层发送。以太网包头中包含着本机和目标设备的MAC地址，也就是说，链路层的数据帧发送时，是依靠以太网地址而非IP地址来确认的，网卡驱动程序不会关心IP数据报中的目标地址，它所需要的仅仅是MAC地址，而MAC地址就是通过前面提到的ARP寻址获得的。简单的说，数据在局域网内的最终传输目标地址是对方网卡的MAC地址，而不是IP地址，IP地址在局域网里只是为了协助系统找到MAC地址而已。