攻防:局域網監聽的原理、實現與防範
【編者按】
隨著電腦技術的發展,網路已日益成為生活中不可或缺的工具,但伴之而來的非法入侵也一直威脅著電腦網路系統的安全。由於局域網中採用廣播方式,因此,在某個廣播域中可以監聽到所有的資訊包。而駭客通過對資訊包進行分析,就能獲取局域網上傳輸的一些重要資訊。事實上,很多駭客入侵時都把局域網掃描和偵聽作為其最基本的步驟和手段,原因是想用這種方法獲取其想要的口令等資訊。但另一方面,我們對駭客入侵活動和其他網路犯罪進行偵查、取證時,也可以使用網路監聽技術來獲取必要的資訊。因此,了解乙太網監聽技術的原理、實現方法和防範措施就顯得尤為重要。
一、引言
隨著電腦技術的發展,網路已日益成為生活中不可或缺的工具,但伴之而來的非法入侵也一直威脅著電腦網路系統的安全。由於局域網中採用廣播方式,因此,在某個廣播域中可以監聽到所有的資訊包。而駭客通過對資訊包進行分析,就能獲取局域網上傳輸的一些重要資訊。事實上,很多駭客入侵時都把局域網掃描和偵聽作為其最基本的步驟和手段,原因是想用這種方法獲取其想要的口令等資訊。但另一方面,我們對駭客入侵活動和其他網路犯罪進行偵查、取證時,也可以使用網路監聽技術來獲取必要的資訊。因此,了解乙太網監聽技術的原理、實現方法和防範措施就顯得尤為重要。
二、局域網監聽的基本原理
根據IEEE的描述,局域網技術是"把分散在一個建築物或相鄰幾個建築物中的電腦、終端、大容量存儲器的週邊設備、控制器、顯示器、以及為連接其他網路而使用的網路連接器等相互連接起來,以很高的速度進行通訊的手段"。
局域網具有設備共用、資訊共用、可進行高速數據通訊和多媒體資訊通信、分佈式處理、具有較高的相容性和安全性等基本功能和特點。目前局域網主要用於辦公室自動化和校園教學及管理,一般可根據具體情況採用總線形、環形、樹形及星形的拓撲結構。
1. 網路監聽
網路監聽技術本來是提供給網路安全管理人員進行管理的工具,可以用來監視網路的狀態、數據流動情況以及網路上傳輸的資訊等。當資訊以明文的形式在網路上傳輸時,使用監聽技術進行攻擊並不是一件難事,只要將網路介面設置成監聽模式,便可以源源不斷地將網上傳輸的資訊截獲。網路監聽可以在網上的任何一個位置實施,如局域網中的一台主機、網關上或遠程網的數據機之間等。
2. 在局域網實現監聽的基本原理
對於目前很流行的乙太網協議,其工作方式是:將要發送的數據包發往連接在一起的所有主機,包中包含著應該接收數據包主機的正確地址,只有與數據包中目標地址一致的那臺主機才能接收。但是,當主機工作監聽模式下,無論數據包中的目標地址是什麼,主機都將接收(當然只能監聽經過自己網路介面的那些包)。
在因特網上有很多使用乙太網協議的局域網,許多主機通過電纜、集線器連在一起。當同一網路中的兩台主機通信的時候,源主機將寫有目的的主機地址的數據包直接發向目的主機。但這種數據包不能在IP層直接發送,必須從TCP/IP協議的IP層交給網路介面,也就是數據鏈路層,而網路介面是不會識別IP地址的,因此在網路介面數據包又增加了一部分乙太幀頭的資訊。在幀頭中有兩個域,分別為只有網路介面才能識別的源主機和目的主機的物理地址,這是一個與IP地址相對應的48位的地址。
傳輸數據時,包含物理地址的幀從網路介面(網卡)發送到物理的線路上,如果局域網是由一條粗纜或細纜連接而成,則數字信號在電纜上傳輸,能夠到達線路上的每一台主機。當使用集線器時,由集線器再發向連接在集線器上的每一條線路,數字信號也能到達連接在集線器上的每一台主機。當數字信號到達一台主機的網路介面時,正常情況下,網路介面讀入數據幀,進行檢查,如果數據幀中攜帶的物理地址是自己的或者是廣播地址,則將數據幀交給上層協議軟體,也就是IP層軟體,否則就將這個幀丟棄。對於每一個到達網路介面的數據幀,都要進行這個過程。
然而,當主機工作在監聽模式下,所有的數據幀都將被交給上層協議軟體處理。而且,當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網時,如果一台主機處於監聽模式下,它還能接收到發向與自己不在同一子網(使用了不同的掩碼、IP地址和網關)的主機的數據包。也就是說,在同一條物理信道上傳輸的所有資訊都可以被接收到。另外,現在網路中使用的大部分協議都是很早設計的,許多協議的實現都是基於一種非常友好的、通信的雙方充分信任的基礎之上,許多資訊以明文發送。因此,如果用戶的賬戶名和口令等資訊也以明文的方式在網上傳輸,而此時一個駭客或網路攻擊者正在進行網路監聽,只要具有初步的網路和TCP/IP協議知識,便能輕易地從監聽到的資訊中提取出感興趣的部分。同理,正確的使用網路監聽技術也可以發現入侵並對入侵者進行追蹤定位,在對網路犯罪進行偵查取證時獲取有關犯罪行為的重要資訊,成為打擊網路犯罪的有力手段。
