网络反监听.doc

以太局域网的监听检测原理与实现 1 引言计算机局域网和 的发展给个人、企事业单位带来了革命性的改革和发展。同时又要面对网络开放带来的数据安全的新挑战和新危险: 网络的安全访问、黑客的攻击等。一旦网络安全问题发生, 通常会造成严重的后果, 19 94年曾发生过黑客在众多的主机和骨干网络设备上安装了网络监听软件, 利用它对美国骨干互联网和军方网窃取了超过 10000 0 个有效的用户名和口令。所以必须加强网络安全意识, 并及早发现防范。特别是企业更应该加强网络的安全控制。计算机网络监听和检测软件就是在这种情况下而产生发展起来。 2 监听与检测概述 监听概述一个简单的监听程序的大体结构如图 1 所示, 大体上来说, 可以将监听程序分为两个组成部分: (1 )内核空间部分:负责从网络重捕获以及过滤数据包。(2 )用户空间部分:负责处理用户界面的显示、协议分析, 此外如果核心层没有进行过滤的话,还必须负责过滤部分工作。图1监听程序基本结构监听的实施是有条件的, 不可能在网络上的任意某一台主机装上监听软件, 就可以看到整个的网络的状况。在以太局域网内, 主机间的通信采用了广播机制。广播机制使得整个子网内的数据分组都将到达监听者的网卡接口。这样, 只需要将某台主机的网卡设置为“混杂”模式, 所有到达网卡的数据都将送给系统进行处理分析, 就可以实施对整个网段内的监听。如果需要监听特定的数据,监听者必须在监听软件中设置过滤器。因为混杂模式下网卡式不会自己过滤数据。图2、3 是网卡的正常工作模式和混杂模式的比较示意图。图2正常网卡的工作流程图图3混杂模式下网卡的工作流程图 检测概述由于产生网络监听行为的主机在工作时总是不做声的收集数据包, 几乎不会主动发出任何信息, 所以, 一直都没有很有效好的检测方法。常见的监听方法主要有以下四种。(1) 根据主机的反应时间: 因为处在监听状况下的主机的负荷量会比较大, 所以对任何请求的延迟都会比较大。(2) 检测主机上运行的进程: 因为监听软件都有特定的进程在运行, 不过网络监听软件太多,这种方法不一定有效。(3) 利用 Ping 模式进行监测:就是向被怀疑有监听系统的目标主机发送一个含有错误的 MA C 地址和正确的IP 地址的数据帧。正确的 IP 地址使数据包可以到达主机, 错误的 MA C 地址只有处在监听状况下的主机才可能接收。 3 程序的总体设计先分析一下准备设计的程序需要实现的主要功能。(1 )友好的界面:便于与用户进行交互,用户可以方便的对程序进行操作。(2 )以太网的数据报捕获:直接读取以太网数据包,而不在高层获得 IP 包。使得到的数据信息更加完整, 并且网卡需要工作在“混杂”模式。(3 )数据报的过滤:可以根据监听者的需要, 过滤掉不需要的信息, 只捕获想得到的信息,避免太多垃圾信息。(4 )数据报的解码:对数据包的包头进行分析, 显示出包头的具体含义。使监听者很容易分析网络的状态等。(5 )监听检测功能:向网络中各个可疑主机发送检测数据包, 检查对方是否正在监听。避免信息被窃取,维护网络安全。可以看出, 整个监听检测程序主要分为两大部分: 程序驱动程序部分和应用程序部分。驱动程序工作在核心态, 负责网络数据的接受和发送;应用程序工作在用户态,除了与驱动程序进行正常的通信外, 还需要将有关信息显示