高级电子工程师浅析网络管理的监听技术

所属分类：电子论文阅读282次时间：2015-09-28 17:13

本文摘要：发表学术论文网办的非常成功，极具口碑。在这里，你可以找到最具时事性的文章和最具代表性的各类文章。当然，因为免费和开源，大家都可以学习、借鉴和共同使用，如果你需要专属于个人的原创文章，请点击链接获得专业文秘写作服务。摘要：本文主要对网络管理

　　发表学术论文网办的非常成功，极具口碑。在这里，你可以找到最具时事性的文章和最具代表性的各类文章。当然，因为免费和开源，大家都可以学习、借鉴和共同使用，如果你需要专属于个人的原创文章，请点击链接获得专业文秘写作服务。

　　摘要：本文主要对网络管理中的网络监听技术进行了探讨。首先介绍了网络监听的双面性;其次，介绍了网络监听的定义和基本原理;再次，对网络监听的用途进行了分析;最后，对当前的一些网络监听工具进行了分析

　　关键词：网络监听入侵检测

　　在网络安全上，网络监听一直被认为是一个比较敏感的话题，作为一个已经发展相对成熟的技术，网络监听在协助管理员进行网络数据检测、网络故障排除等方面都具有不可替代的作用，从而深受广大网络管理员的青睐。但是，从另外一个方面来讲，网络监听也给网络安全带来了巨大的隐患，在网络监听行为的同时往往会伴随着大量的网络若亲，从而导致了一系列的敏感数据被盗等安全事件的发生。

　　一、网络监听的定义

　　网络监听(英文名称Sniffer)是通过利用计算机的网络接口将网络上的传输数据进行截获的一种工具。我们一般认为网络监听是指在运行以太网协议、TCP/IP协议、IPX协议或者其他协议的网络上，可以攫取网络信息流的软件或硬件。网络监听早期主要是分析网络的流量，以便找出所关心的网络中潜在的问题。网络监听的存在对网络系统管理员是至关重要的，网络系统管理员通过网络监听可以诊断出大量的不可见模糊问题(如网络瓶颈、错误配置等)，监视网络活动，完善网络安全策略，进行行之有效的网络管理。

　　二、网络监听的工作原理

　　Internet是由众多的局域网所组成，这些局域网一般是以太网、令牌网的结构。数据在这些网络上是以很小的称为帧(Frame)的单位传输的，帧通过特定的网络驱动程序进行成型，然后通过网卡发送到网线上。由于以太网等很多网络(常见共享HUB连接的内部网)是基于总线方式，物理上是广播的，同一物理网段的所有主机的网卡都能接收到这些以太网帧。当网络接口处于正常状态时，网卡收到传输来的数据帧，网卡内的芯片程序先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，如果认为是目的地址为本机地址的数据帧或是广播帧，则接收并在接收后产生中断信号通知CUP，否则就丢弃不管，CUP得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。通过修改网卡存在一种特殊的工作模式，在这种工作模式下，网卡不对目的地址进行判断，而直接将它收到的所有报文都传递给操作系统进行处理。这种特殊的工作模式，称之为混杂模式。网络监听就是通过将网卡设置为混杂模式，它对遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。网络监听工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。

　　三、网络监听的用途

　　在网络安全领域中，网络监听占有极其重要的作用。网络监听程序通常有两种形式：一是商业网络监听，二是黑客所使用的。商业网络监听用于维护网络，对于网络管理者，监听也是监控本地网络状况的直接手段，监听还是基于网络的入侵检测系统的必要基础。具体来说就是：

　　1.把网络中的数据流转化成可读格式。2.进行性能分析以发现网络瓶颈。

　　3.入侵检测以发现外界入侵者。4.生成网络活动日志和安全审计。

　　5.进行故障分析以发现网络中潜在的问题。例如，假设网络的某一段运行得不是很好，报文的发送比较慢，而我们又不知道问题出在什么地方，此时就可以用嗅探器做出精确的问题判断。借助于网络监听，系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪一台主机、报文发送占用多少时间、或者相互主机的报文传送间隔时间等等，这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。对于黑客攻击而言，网络监听是一种有效信息收集手段，并且可以辅助进行IP欺骗，如收集科技情报、个人资料、技术成果、系统信息、用户的帐号和密码，一些商用机密数据等，目的是为进一步入侵系统做准备，或者是为了其他不可告人的目的。

　　四、常用的网络监听工具

　　Network General：Network General开发了多种产品。最重要的是Expert Sniffer，它不仅仅可以sniffing，还能够通过高性能的专门系统发送/接收数据包。还有一个增强产品Distributed Snuffer System，可以将UNIX工作站作为Sniffer控制台，而将Sniffer Agents分布到远程主机上。

　　Microsoft’s Net Monitor：对于某些商业站点，可能同时需要运行多种协议如NetBEUI、IPX/SPX、TCP/IP、802.3和SNA等。这时很难找到一种Sniffer帮助解决网络问题，因为许多Sniffer往往将某些正确的协议数据包当成了错误数据包。Microsoft的Net Monitor可以解决这个难题。它能够正确区分诸如Netware控制数据包、NetBios名字服务广播等独特的数据包。这个工具运行在MS Windows平台上。它甚至能够按MAC地址(或主机名)进行网络统计和会话信息监视。只需简单地单击某个会话即可获得tcpdump标准的输出。过滤器设置也是最为简单的，只要在一个对话框中单击需要监视的主机即可。

　　小编推荐优秀电子期刊　《信息技术与信息化》

　　《信息技术与信息化》从信息技术的研究、应用角度展现IT行业与科技发展与进步，是全国高校、科研院所、企业发表信息科学研究、技术应用成果的园地。杂志内容以科技论文为主，并设有评论与综述、信息化论坛、网络通讯、信息处理与模式识别、研究与探索、方案与应用等栏目。