识别网络监听主机的手段有哪些

识别网络监听主机的手段有以下这些：

• 采用Ping主机的方法：向可能运行监听软件的主机发送定制的Ping数据包，目的IP地址是可疑主机的IP地址，目的MAC地址是随机填入的数值。如果目的主机的网卡处于正常工作模式，这种数据包将在数据链路层被丢弃。如果主机网卡处于混杂模式，它将接收错误的MAC地址，主机会对这个错误的Ping数据包产生回应。

• 发送垃圾数据包的方法：向网络中发送大量目的MAC地址不存在的数据包，正常的主机会忽略这些数据包，而运行监听软件的主机将对这些数据包进行分析和处理。如果这种垃圾数据包数量众多，将占用监听主机大量的CPU资源，导致计算机性能下降。通过向可疑计算机发送正常的Ping命令，比较主机在垃圾数据包发送之前及之后对Ping命令的响应速度，如果可疑主机的响应明显变慢，可以推断主机正在实施网络监听。

• 利用ARP数据包进行检测：在局域网中发送非广播方式的ARP请求数据包，包中所查询的IP地址是局域网中不存在的地址，如果网络中有主机响应此ARP请求，并以自己的MAC地址作为被查询IP地址的解析结果，那么可以推断该主机在实施ARP欺骗，很可能处于网络监听模式。

• 观察DNS服务器的解析请求：一些网络监听工具能够对IP地址进行反向DNS解析，从而帮助黑客根据域名搜寻具有攻击价值的主机。在此过程中，监听工具会主动发送DNS反向查询数据包。可以在网络中针对一些实际不存在的IP地址发送Ping数据包，如果有主机对这些IP地址进行DNS反向查询，可以推断这些主机运行了监听程序。

• 从逻辑或物理上对网络分段：网络分段常常被用于控制网络广播风暴，这种方法也是保证网络安全的一项重要措施。网络监听只能在局域网中实施，即被监听的主机与实施监听的主机必须同属一个网络。黑客无法直接对远程主机实施监听。如果需要对远程主机实施监听，唯一可行的方法是在目标主机所在的局域网中控制一台主机，并在该主机中安装网络监听软件，利用它来实施监听。网络分段有助于将非法用户与敏感的网络资源相隔离，一般将网络划分得越精细，网络监听软件能够收集到的信息越少。

• 交换机端口绑定：计算机固定的网络，尽量将IP地址或MAC地址与交换机的端口相关联，使得端口盗用、ARP欺骗等网络监听所依赖的攻击手段难以实施。

• 采用加密技术：对网络中传输的数据进行加密是对付监听的有效办法。数据经过加密后再进行传输，即使在传输过程中有黑客实施监听，所获取的也只是密文信息，黑客必须能够破译密文才能获取具体的传输内容。加密技术能够提升网络安全，但它会在一定程度上减缓数据传输速度。因为发送方需要进行数据加密，接收方需要进行数据解密。通信中使用的密码算法越复杂，造成的传输迟延就越明显。通常只有比较重要的信息才会采用加密技术进行保护。例如，目前网上银行大都使用SSL协议对通信数据进行加密，但是绝大部分普通网站在页面浏览时通信数据都是明文传输。

• 采用加密技术：对网络中传输的数据进行加密是对付监听的有效办法。数据经过加密后再进行传输，即使在传输过程中有黑客实施监听，所获取的也只是密文信息，黑客必须能够破译密文才能获取具体的传输内容。加密技术能够提升网络安全，但它会在一定程度上减缓数据传输速度。因为发送方需要进行数据加密，接收方需要进行数据解密。通信中使用的密码算法越复杂，造成的传输迟延就越明显。通常只有比较重要的信息才会采用加密技术进行保护。例如，目前网上银行大都使用SSL协议对通信数据进行加密，但是绝大部分普通网站在页面浏览时通信数据都是明文传输。