5.4 网络监听

网络监听是黑客在局域网中常用的一种手段，它能在网络中接收别人的数据包，目的就是分析和处理这些数据包，从而获得一些有用的信息，如账号和密码等。其实网络监听原本是网络管理员经常使用的一个工具，主要用来监视网络的流量、状态、数据等信息，比如Sniffer Pro和Wireshark就是许多系统管理员手中必备的两个工具。

1.网络监听原理

为了更好地说明网络监听的工作原理，先介绍一下网卡的工作原理。以太网是现在应用最广泛的计算机联网方式，下面都基于以太网来讲解。

网卡工作在数据链路层，计算机之间通过网卡交换数据时，这些数据是以帧的方式进行传输。一般帧结构由前导码、帧首定界符、目的MAC地址、源MAC地址、长度、逻辑链路层协议数据单元和帧检验序列组成，各个部分都有特定的功能。当目的机器的网卡收到传输来的数据时，网卡先接收数据头的目的MAC地址，通常情况下，像收信一样，只有收信人才去打开信件，同样网卡只接收和自己地址有关的信息包，即只有目的MAC地址与本地MAC地址相同的数据包或者是广播包，网卡才接收，否则，这些数据包就直接被网卡抛弃。网络还可以工作在另一种模式中，即“混杂”模式。此时网络进行数据包过滤。不同于普通模式，混杂模式不理会数据包头内容，把所有经过的数据包都传递给操作系统去处理，这时计算机就可以轻松获取所有经过该网卡的数据帧了。如果一台计算机的网卡被配置成这种方式，那么它就具有网络监听功能。

网络监听的作用如下：

●可以截获用户口令。

●可以截获秘密的或专用的信息。

●可以用来攻击相邻的网络。

●可以对数据包进行详细的分析。

●可以分析出目标主机采用了哪些协议。

图5-23所示为Sniffer Pro网络监听工具。图5-24所示为Wireshark网络监听工具。图5-25所示为使用网络监听工具截获的数据，据此可分析出账号和口令。

图5-23 Sniffer Pro网络监听工具

2.网络监听的检测

一般来说网络监听很难发现，因为它只是接收来自网络上的数据，并没有向其他主机发送或修改数据。对可能存在网络监听的网络可以采取以下的检测办法。

（1）通过专业的软件检查一下网络是否存在处于混杂模式的网卡，如AntiSniff反黑客软件等。

（2）对怀疑有监听工具的主机，可以用正确的IP地址和错误的IP地址进行Ping，如果这两个地址都有反应，则说明该主机运行了监听软件，因为正常主机只会接收正确的IP地址并做出反应，对错误的IP地址则不会接收，而运行监听软件的主机则全部接收，并做出反应。

图5-24 Wireshark网络监听工具

图5-25 使用网络监听工具截获账号和口令

（3）由于监听软件要分析和处理大量数据包，会占用大量CPU资源，导致主机性能下降，所以可以向网络发送大量无用数据，以检查和对比该计算机的前后性能，来推测查找监听主机。

3.网络监听的防范

对于公共网络，如公司或企业的局域网、校园网和网吧等，计算机网络安全的防范工作非常重要，除安装必需的杀毒软件、木马检测程序、防火墙等，对网络监听的防范可以采取以下措施。

（1）对网络进行分段。对不同功能的网络，从物理上或逻辑上可以进行分段，将可能存在的非法用户与敏感的网络资源隔离开来，从而可以防止可能的网络监听行为。

（2）用交换机代替共享式集线器。交换机端口与MAC地址有对应关系，在交换环境下很难进行网络的监听，除非网络管理员对交换机进行端口映射设置。

（3）对网络数据进行加密。对数据进行加密，即使被网络监听到，如果不知道加密方法和解密密钥，得到的数据没有用，显示出来的还是一堆乱码。