所謂網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù),就是在互相通訊的兩臺(tái)設(shè)備之間通過(guò)技術(shù)手段插入一臺(tái)可以接收并記錄通訊內(nèi)容的設(shè)備,最終實(shí)現(xiàn)對(duì)通訊雙方的數(shù)據(jù)記錄。一般要求用作監(jiān)聽(tīng)的設(shè)備不能造成通訊雙方的行為異常或連接中斷等,即是說(shuō),監(jiān)聽(tīng)方不能參與通訊中任何一方的通訊行為,僅僅是“被動(dòng)”的接收記錄通訊數(shù)據(jù)而不能對(duì)其進(jìn)行篡改,一旦監(jiān)聽(tīng)方違反這個(gè)要求,這次行為就不是“監(jiān)聽(tīng)”,而是“劫持”了,顯然這就是針對(duì)網(wǎng)絡(luò)的惡意行為。網(wǎng)絡(luò)監(jiān)聽(tīng)是網(wǎng)絡(luò)運(yùn)維人員常用的技術(shù),通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng),技術(shù)人員可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)的情況以及網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ5牵W(wǎng)絡(luò)監(jiān)聽(tīng)也是黑客常用的攻擊手段,當(dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時(shí),便可以使用網(wǎng)絡(luò)監(jiān)聽(tīng)的方式來(lái)進(jìn)行攻擊,將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽(tīng)模式,便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@。網(wǎng)絡(luò)監(jiān)聽(tīng)可以在網(wǎng)上的任何一個(gè)位置實(shí)施,如局域網(wǎng)中的一臺(tái)主機(jī)、網(wǎng)關(guān)或遠(yuǎn)程網(wǎng)的調(diào)制解調(diào)器之間等,黑客用得最多的是截獲用戶(hù)的口令,嘗試登錄或奪取網(wǎng)絡(luò)中其它主機(jī)的控制權(quán),通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)往往可以截獲其它方法難以獲得的信息。網(wǎng)絡(luò)監(jiān)聽(tīng)的對(duì)象是線(xiàn)纜中傳輸?shù)臄?shù)據(jù)包,在網(wǎng)絡(luò)上交換的數(shù)據(jù)結(jié)構(gòu)在以太網(wǎng)中成為幀,這種數(shù)據(jù)包是由記錄著數(shù)據(jù)包發(fā)送給對(duì)方所必需信息的報(bào)頭部分和記錄著發(fā)送信息的報(bào)文部分構(gòu)成。報(bào)頭部分包含接收端地址、發(fā)送端地址、數(shù)據(jù)校驗(yàn)碼等信息。以太網(wǎng)協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機(jī),通常只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才能接收到信息包,但當(dāng)主機(jī)工作在監(jiān)聽(tīng)模式下,不管數(shù)據(jù)包中目標(biāo)地址是什么,主機(jī)都將可以接收到。
自網(wǎng)絡(luò)監(jiān)聽(tīng)這一技術(shù)誕生以來(lái),產(chǎn)生了大量的可工作在各種平臺(tái)上的相關(guān)軟硬件工具,其中有商用的,也有免費(fèi)的,還有很多是自創(chuàng)的,很多黑客都是自己編寫(xiě)監(jiān)聽(tīng)軟件,針對(duì)特定的數(shù)據(jù)中心發(fā)起網(wǎng)絡(luò)監(jiān)聽(tīng),獲取機(jī)密數(shù)據(jù)。在Windows環(huán)境下,常用的網(wǎng)絡(luò)監(jiān)聽(tīng)工具當(dāng)然是著名的netxray以及snifferpro了,實(shí)際上很多人都用它在Windows環(huán)境下抓包來(lái)分析。Iris是Eeye公司的一款付費(fèi)軟件,有試用期,完全圖形化界面,可以很方便地定制各種截獲控制語(yǔ)句,對(duì)截獲數(shù)據(jù)包進(jìn)行分析,還原等。技術(shù)水平高低不同的人都可以從這個(gè)工具上得到自己想要得東西,這個(gè)工具也運(yùn)行在Windows 95/98/ME/Windows NT/2000/XP平臺(tái)上。而在Unix環(huán)境下,監(jiān)聽(tīng)工具非常多,如Sniffit、Snoop、Tcp2dump、Dsniff等都是比較常見(jiàn)的,它們都能免費(fèi)發(fā)布源代碼,可用以研究。
除了網(wǎng)絡(luò)監(jiān)聽(tīng),很多數(shù)據(jù)中心最為關(guān)心的是自己有沒(méi)有被監(jiān)聽(tīng),畢竟自己在明處,而黑客都是在暗處,要時(shí)時(shí)保持警惕,看是否自己即將成為別人的盤(pán)中肉。由于運(yùn)行監(jiān)聽(tīng)程序的主機(jī)在進(jìn)行監(jiān)聽(tīng)的過(guò)程中只是被動(dòng)地接收以太網(wǎng)中傳輸?shù)男畔ⅲ粫?huì)占用其它主機(jī)交換信息,也不能修改在網(wǎng)絡(luò)中傳輸?shù)男畔虼艘獙?duì)網(wǎng)絡(luò)監(jiān)聽(tīng)進(jìn)行檢測(cè)很復(fù)雜。首先,可以對(duì)懷疑運(yùn)行監(jiān)聽(tīng)程序的服務(wù)器,用正確的IP地址和錯(cuò)誤的物理地址PING,運(yùn)行監(jiān)聽(tīng)程序的服務(wù)器都會(huì)有響應(yīng),這是因?yàn)檎5姆?wù)器不接收錯(cuò)誤的物理地址,處理監(jiān)聽(tīng)狀態(tài)的服務(wù)器能接收,從而發(fā)現(xiàn)監(jiān)聽(tīng)服務(wù)器;其次,可以向網(wǎng)上發(fā)大量不存在的物理地址的包,由于監(jiān)聽(tīng)程序要分析和處理大量的數(shù)據(jù)包會(huì)占用很多的CPU資源,這將導(dǎo)致性能下降,通過(guò)比較前后該服務(wù)器性能加以判斷;第三,可以使用反監(jiān)聽(tīng)工具如Antisniffer等進(jìn)行檢測(cè)。當(dāng)然,要在茫茫的網(wǎng)絡(luò)海洋里找到那個(gè)將槍眼瞄準(zhǔn)自己的狙擊手是非常困難的,猶如大海撈針。最好還是自練內(nèi)功,提升對(duì)網(wǎng)絡(luò)監(jiān)聽(tīng)的防御。從邏輯或物理上對(duì)網(wǎng)絡(luò)分段,將非法用戶(hù)與敏感的網(wǎng)絡(luò)資源相互隔離,防止可能的非法監(jiān)聽(tīng)。使用加密技術(shù),對(duì)傳遞的數(shù)據(jù)進(jìn)行加密,監(jiān)聽(tīng)仍然可以得到傳送的信息,但顯示的是亂碼。還可以運(yùn)用VLAN、端口隔離、VXLAN等技術(shù),將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信,可防止大部分基于網(wǎng)絡(luò)監(jiān)聽(tīng)的入侵。
網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)作為一種工具,總是扮演著正反兩方面的角色,數(shù)據(jù)中心對(duì)它是既愛(ài)又恨。對(duì)于入侵者黑客來(lái)說(shuō),通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)可以很容易地獲得機(jī)密數(shù)據(jù)信息,而對(duì)于入侵檢測(cè)和追蹤者來(lái)說(shuō),網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)又能夠在與入侵者的斗爭(zhēng)中發(fā)揮重要的作用。
京公網(wǎng)安備 11010502049343號(hào)