2.2.2 网络监听的基本原理
局域网中的数据是以广播方式发送的,局域网中的每台主机都时刻在监听网络中传输的数据,主机中的网卡将监听到的数据帧中的MAC地址与自己的MAC地址进行比较,如果两者相同就接收该帧,否则就丢掉该帧。如果把对网卡进行适当的设置和修改,将它设置为混杂模式,在这种状态下它就能接收网络中的每一个信息包。网络监听就是依据这种原理来监测网络中流动的数据。
2.2.3 网络监听的检测
2.2.3.1 在本地计算机上进行检测
(1)检查网卡是否处于混杂模式。可以利用一些现成的工具软件来发现,例如:AntiSniff,ARP 探测技术。也可以编写一些程序来实现。在Linux 下,有现成的函数,比较容易实现,而在Windows平台上,并没有现成的函数来实现这个功能,要自己编写程序来实现。可以利用一些现成的工具软件来发现,例如:AntiSniff,ARP探测技术。也可以编写一些程序来实现。在Linux下,有现成的函数,比较容易实现,而在Windows 平台上,并没有现成的函数来实现这个功能,要自己编写程序来实现。
(2)搜索法。在本地主机上搜索所有运行的进程,就可以知道是否有人在进行网络监听。在Windows系统下,按下Ctrl+Alt+Del可以得到任务列表,查看是否有监听程序在运行。如果有不熟悉的进程,或者通过跟另外一台机器比较,看哪些进程是有可能是监听进程。
2.2.3.2 在其它计算机上进行检测
(1)观察法。如果某台电脑没有监听的话,无论是信息的传送还是电脑对信息的响应时间等方面都是正常的,如果被监听的话,就会出现异常情况。我们可以通过观察一些异常情况来判断电脑是否有被监听。
网络通讯掉包率是否反常地高。例如ping命令会显示掉了百分几的信息包。如果网络中有人在监听,就会拦截每个信息包,从而导致信息包丢包率提高。
网络带宽是否出现反常。如果某台计算机长时间的占用了较大的带宽,对外界的响应很慢,这台计算机就有可能被监听。
机器性能是否下降。向网上发大量不存在的物理地址的包,而监听程序往往就会将这些包进行处理,这样就会导致机器性能下降,可以用icmp echo delay 来判断和比较它。
(2)PING 法。这种检测原理基于以太网的数据链路层和TCP/IP 网络层的实现,是一种非常有效的测试方法。
ping法的原理:如果一个以太网的数据包的目的MAC 地址不属于本机,该包会在以太网的数据链路层上被抛弃,无法进入TCP/IP 网络层;进入TCP/IP 网络层的数据包,如果解析该包后,发现这是一个包含本机ICMP 回应请示的TCP 包(PING 包),则网络层向该包的发送主机发送ICMP 回应。
我们可以构造一个PING 包,包含正确的IP 地址和错误的MAC 地址,其中IP 地址是可疑主机的IP地址,MAC 地址是伪造的,这样如果可疑主机的网卡工作在正常模式,则该包将在可疑主机的以太网的数据链路层上被丢弃,TCP/IP 网络层接收不到数据因而也不会有什么反应。如果可疑主机的网卡工作在混杂模式,它就能接收错误的MAC 地址,该非法包会被数据链路层接收而进入上层的TCP/IP 网络层,TCP/IP 网络层将对这个非法的PING 包产生回应,从而暴露其工作模式。
使用 PING 方法的具体步骤及结论如下:
① 假设可疑主机的IP 地址为192.168.10.11,MAC 地址是00-E0-4C-3A-4B-A5,检测者和可疑主机位于同一网段。
② 稍微修改可疑主机的MAC 地址,假设改成00-E0-4C-3A-4B-A4。
百度搜索“70edu”或“70教育网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,70教育网,提供经典计算机局域网环境下若干安全问题及对策(4)在线全文阅读。
