@南馆潇湘
2年前 提问
1个回答

识别网络监听主机的手段有哪些

趣能一姐
2年前

识别网络监听主机的手段有以下这些:

  • 采用Ping主机的方法:向可能运行监听软件的主机发送定制的Ping数据包,目的IP地址是可疑主机的IP地址,目的MAC地址是随机填入的数值。如果目的主机的网卡处于正常工作模式,这种数据包将在数据链路层被丢弃。如果主机网卡处于混杂模式,它将接收错误的MAC地址,主机会对这个错误的Ping数据包产生回应。

  • 发送垃圾数据包的方法:向网络中发送大量目的MAC地址不存在的数据包,正常的主机会忽略这些数据包,而运行监听软件的主机将对这些数据包进行分析和处理。如果这种垃圾数据包数量众多,将占用监听主机大量的CPU资源,导致计算机性能下降。通过向可疑计算机发送正常的Ping命令,比较主机在垃圾数据包发送之前及之后对Ping命令的响应速度,如果可疑主机的响应明显变慢,可以推断主机正在实施网络监听。

  • 利用ARP数据包进行检测:在局域网中发送非广播方式的ARP请求数据包,包中所查询的IP地址是局域网中不存在的地址,如果网络中有主机响应此ARP请求,并以自己的MAC地址作为被查询IP地址的解析结果,那么可以推断该主机在实施ARP欺骗,很可能处于网络监听模式。

  • 观察DNS服务器的解析请求:一些网络监听工具能够对IP地址进行反向DNS解析,从而帮助黑客根据域名搜寻具有攻击价值的主机。在此过程中,监听工具会主动发送DNS反向查询数据包。可以在网络中针对一些实际不存在的IP地址发送Ping数据包,如果有主机对这些IP地址进行DNS反向查询,可以推断这些主机运行了监听程序。

  • 从逻辑或物理上对网络分段:网络分段常常被用于控制网络广播风暴,这种方法也是保证网络安全的一项重要措施。网络监听只能在局域网中实施,即被监听的主机与实施监听的主机必须同属一个网络。黑客无法直接对远程主机实施监听。如果需要对远程主机实施监听,唯一可行的方法是在目标主机所在的局域网中控制一台主机,并在该主机中安装网络监听软件,利用它来实施监听。网络分段有助于将非法用户与敏感的网络资源相隔离,一般将网络划分得越精细,网络监听软件能够收集到的信息越少。

  • 交换机端口绑定:计算机固定的网络,尽量将IP地址或MAC地址与交换机的端口相关联,使得端口盗用、ARP欺骗等网络监听所依赖的攻击手段难以实施。

  • 采用加密技术:对网络中传输的数据进行加密是对付监听的有效办法。数据经过加密后再进行传输,即使在传输过程中有黑客实施监听,所获取的也只是密文信息,黑客必须能够破译密文才能获取具体的传输内容。加密技术能够提升网络安全,但它会在一定程度上减缓数据传输速度。因为发送方需要进行数据加密,接收方需要进行数据解密。通信中使用的密码算法越复杂,造成的传输迟延就越明显。通常只有比较重要的信息才会采用加密技术进行保护。例如,目前网上银行大都使用SSL协议对通信数据进行加密,但是绝大部分普通网站在页面浏览时通信数据都是明文传输。

  • 采用加密技术:对网络中传输的数据进行加密是对付监听的有效办法。数据经过加密后再进行传输,即使在传输过程中有黑客实施监听,所获取的也只是密文信息,黑客必须能够破译密文才能获取具体的传输内容。加密技术能够提升网络安全,但它会在一定程度上减缓数据传输速度。因为发送方需要进行数据加密,接收方需要进行数据解密。通信中使用的密码算法越复杂,造成的传输迟延就越明显。通常只有比较重要的信息才会采用加密技术进行保护。例如,目前网上银行大都使用SSL协议对通信数据进行加密,但是绝大部分普通网站在页面浏览时通信数据都是明文传输。