網(wǎng)絡(luò)監(jiān)聽是指利用計算機的網(wǎng)絡(luò)接口截獲目的地為第三方計算機的數(shù)據(jù)報文的一種技術(shù)���。利用這種技術(shù)可以監(jiān)聽網(wǎng)絡(luò)的當(dāng)前流量狀況����;網(wǎng)絡(luò)程序的運行以及非法竊取網(wǎng)絡(luò)中傳輸?shù)臋C密信息����。在共享式以太網(wǎng)中,所有的通訊都是廣播的�����,也就是說通常在同一網(wǎng)段的所有網(wǎng)絡(luò)接口都可以訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù)���,使用ARP和RARP協(xié)議進行相互轉(zhuǎn)換����。
在正常的情況下�����,一個網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)兩種數(shù)據(jù)幀����,與自己硬件地址相匹配的數(shù)據(jù)幀和發(fā)向所有機器的廣播數(shù)據(jù)幀�。在一個實際的系統(tǒng)中�,數(shù)據(jù)的收發(fā)由網(wǎng)卡來完成。每個以太網(wǎng)卡擁有一個全球難一的以太網(wǎng)地址����。以太網(wǎng)地址是一個48位的二進制數(shù)。在以太網(wǎng)卡中內(nèi)建有一個數(shù)據(jù)報過濾器����。該數(shù)據(jù)包過濾器的作用是保留以本身網(wǎng)卡的MAC地址為通訊目的的數(shù)據(jù)包和廣播數(shù)據(jù)包,丟棄所有其它無關(guān)的數(shù)據(jù)包�,以免除CPU對無關(guān)的數(shù)據(jù)包做無謂的處理。這是以太網(wǎng)卡在一般情況下的工作方式���。在這種方式下�����,以太網(wǎng)卡只將接收到的數(shù)據(jù)包中與本機有關(guān)部分向上傳遞��。然而數(shù)據(jù)包過濾器是可以通過編程禁用的��。禁用數(shù)據(jù)包過濾器后��,網(wǎng)卡將把接收到的所有的數(shù)據(jù)包向上傳遞��,上一層軟件因此可以監(jiān)聽以太網(wǎng)中其它計算機之間的通訊�����。我們稱這種工作模式為“混雜模式”��。 如下圖在共享式hub網(wǎng)絡(luò)中應(yīng)用���。
共享式集線器(HUB)連接的網(wǎng)絡(luò)
還有一種竊聽方式是利用ARP欺騙達到的。ARP欺騙又被稱為ARP重定向技術(shù)���,ARP地址解析協(xié)議雖然是一個高效的數(shù)據(jù)鏈路層協(xié)議��,但是作為一個局域網(wǎng)的協(xié)議��,它是建立在各主機之間互相信任基礎(chǔ)之上的�����,因此存在一定的安全��,問題:
(1)主機地址映射表是基于高速緩存動態(tài)更新的�����,這是ARP協(xié)議的特色��,也是安全問題之一���。由于正常的主機間MAC地址刷新都是有時限的�����,這樣假冒者如果在下次更新之前成功的修改了被攻擊機器上的地址緩存�����,就可以進行假冒����。
(2)ARP請求以廣播方式進行���。
(3)可以隨意發(fā)送�����。
(4)ARP應(yīng)答無需認證���。
網(wǎng)卡的“混雜模式”使得采用普通網(wǎng)卡作為網(wǎng)絡(luò)探針�����,實現(xiàn)網(wǎng)絡(luò)的偵聽變得非常容易���。一方面方便了網(wǎng)絡(luò)管理�����,另一方面���,普通用戶也能輕易地偵聽網(wǎng)絡(luò)通訊�,對用戶的數(shù)據(jù)通訊保密是一個很大的威脅����。在進行此種方式的數(shù)據(jù)監(jiān)聽時,是在網(wǎng)絡(luò)的節(jié)點處設(shè)置網(wǎng)絡(luò)設(shè)備為混雜模式�����,進行數(shù)據(jù)監(jiān)聽管理網(wǎng)絡(luò)�;黑客則是利用ARP偵探網(wǎng)絡(luò)上出于混雜模式的網(wǎng)絡(luò)節(jié)點并將黑客軟件放置在節(jié)點處進行竊聽的�����。
