網路監聽的原理是什麼

A. 監聽技術的網路監聽的原理

Ethernet協議的工作方式是將要發送的數據包發往連接在一起的所有主機。在包頭中包括有應該接收數據包的主機的正確地址，因為只有與數據包中目標地址一致的那台主機才能接收到信息包，但是當主機工作在監聽模式下的話不管數據包中的目標物理地址是什麼，主機都將可以接收到。許多區域網內有十幾台甚至上百台主機是通過一個電纜、一個集線器連接在一起的，在協議的高層或者用戶來看，當同一網路中的兩台主機通信的時候，源主機將寫有目的的主機地址的數據包直接發向目的主機，或者當網路中的一台主機同外界的主機通信時，源主機將寫有目的的主機IP地址的數據包發向網關。但這種數據包並不能在協議棧的高層直接發送出去，要發送的數據包必須從TCP/IP協議的IP層交給網路介面，也就是所說的數據鏈路層。網路介面不會識別IP地址的。在網路介面由IP層來的帶有IP地址的數據包又增加了一部分以太禎的禎頭的信息。在禎頭中，有兩個域分別為只有網路介面才能識別的源主機和目的主機的物理地址這是一個48位的地址，這個48位的地址是與IP地址相對應的，換句話說就是一個IP地址也會對應一個物理地址。對於作為網關的主機，由於它連接了多個網路，它也就同時具備有很多個IP地址，在每個網路中它都有一個。而發向網路外的禎中繼攜帶的就是網關的物理地址。Ethernet中填寫了物理地址的禎從網路介面中，也就是從網卡中發送出去傳送到物理的線路上。如果區域網是由一條粗網或細網連接成的，那麼數字信號在電纜上傳輸信號就能夠到達線路上的每一台主機。再當使用集線器的時候，發送出去的信號到達集線器，由集線器再發向連接在集線器上的每一條線路。這樣在物理線路上傳輸的數字信號也就能到達連接在集線器上的每個主機了。當數字信號到達一台主機的網路介面時，正常狀態下網路介面對讀入數據禎進行檢查，如果數據禎中攜帶的物理地址是自己的或者物理地址是廣播地址，那麼就會將數據禎交給IP層軟體。對於每個到達網路介面的數據禎都要進行這個過程的。但是當主機工作在監聽模式下的話，所有的數據禎都將被交給上層協議軟體處理。當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網的時候，那麼要是有一台主機處於監聽模式，它還將可以接收到發向與自己不在同一個子網（使用了不同的掩碼、IP地址和網關）的主機的數據包，在同一個物理信道上傳輸的所有信息都可以被接收到。在UNIX系統上，當擁有超級許可權的用戶要想使自己所控制的主機進入監聽模式，只需要向Interface（網路介面）發送I/O控制命令，就可以使主機設置成監聽模式了。而在Windows9x的系統中則不論用戶是否有許可權都將可以通過直接運行監聽工具就可以實現了。在網路監聽時，常常要保存大量的信息（也包含很多的垃圾信息），並將對收集的信息進行大量的整理，這樣就會使正在監聽的機器對其它用戶的請求響應變的很慢。同時監聽程序在運行的時候需要消耗大量的處理器時間，如果在這個時候就詳細的分析包中的內容，許多包就會來不及接收而被漏走。所以監聽程序很多時候就會將監聽得到的包存放在文件中等待以後分析。分析監聽到的數據包是很頭疼的事情。因為網路中的數據包都非常之復雜。兩台主機之間連續發送和接收數據包，在監聽到的結果中必然會加一些別的主機交互的數據包。監聽程序將同一TCP會話的包整理到一起就相當不容易了，如果你還期望將用戶詳細信息整理出來就需要根據協議對包進行大量的分析。Internet上那麼多的協議，運行進起的話這個監聽程序將會十分的大哦。網路中所使用的協議都是較早前設計的，許多協議的實現都是基於一種非常友好的，通信的雙方充分信任的基礎。在通常的網路環境之下，用戶的信息包括口令都是以明文的方式在網上傳輸的，因此進行網路監聽從而獲得用戶信息並不是一件難點事情，只要掌握有初步的TCP/IP協議知識就可以輕松的監聽到你想要的信息的。前些時間美籍華人China-babble曾提出將望路監聽從區域網延伸到廣域網中，但這個想法很快就被否定了。如果真是這樣的話我想網路必將天下大亂了。而事實上在廣域網里也可以監聽和截獲到一些用戶信息。只是還不夠明顯而已。在整個Internet中就更顯得微不足道了。監聽的協議分析我們的研究從監聽程序的編寫開始，用linux C語言設計實現。

B. 網路監控原理！

網路監控採用的主要技術為網路監聽和通信分析技術，網路監控系統的具體構成可以分為以下幾個部分。
1.硬體
盡管有一些產品需要特殊的硬體，但大多數的產品工作在標準的網路適配器上。如果用的是特殊的網路適配器，就能分析例如CRC錯誤，電壓錯誤，電纜問題，協商錯誤等。
2.捕包驅動
這是最重要的部分，它從線路上捕獲網路通信，並根據需要進行過濾，接下來將它存儲在緩沖區中。
3.緩沖區
一旦從網路上捕獲數據幀，它們被存在緩沖區中。存在幾種的捕獲方式：捕獲通信，直到緩沖區被添滿，或用循環的緩沖區，就是用新的數據替代老的數據。有一些產品(就像BlackIce的Sentry IDS)能以100兆比特秒的速度在硬碟上維持一個循環捕包的緩沖區。這將允許擁有數百個成G的緩沖區而不是基於內存的不足1G的緩沖區。
4.實時分析
這個特性是網路監控所倡導的，就是在數據幀離線進行一定的分析。這能發現網路性能問題和在通信捕獲中的錯誤。一些廠家正沿著這條路線在它們的產品中加入一些新的功能。網路入侵檢測系統就是這樣做的，但是它們是對於通信中黑客的行為標記進行詳細的審核而不是對錯誤/性能問題進行處理。
5.解碼
就是顯示網路通信的內容，這樣一名分析者將會十分容易地獲得相關信息並依據這些信息分析出網路上究竟發生了什麼。

C. 網路監聽技術的原理是什麼

在區域網實現監聽的基本原理

對於目前很流行的乙太網協議，其工作方式是：將要發送的數據包發往連接在一起的所有主機，包中包含著應該接收數據包主機的正確地址，只有與數據包中目標地址一致的那台主機才能接收。但是，當主機工作監聽模式下，無論數據包中的目標地址是什麼，主機都將接收(當然只能監聽經過自己網路介面的那些包)。

在網際網路上有很多使用乙太網協議的區域網，許多主機通過電纜、集線器連在一起。當同一網路中的兩台主機通信的時候，源主機將寫有目的的主機地址的數據包直接發向目的主機。但這種數據包不能在IP層直接發送，必須從TCP/IP協議的IP層交給網路介面，也就是數據鏈路層，而網路介面是不會識別IP地址的，因此在網路介面數據包又增加了一部分以太幀頭的信息。在幀頭中有兩個域，分別為只有網路介面才能識別的源主機和目的主機的物理地址，這是一個與IP地址相對應的48位的地址。

傳輸數據時，包含物理地址的幀從網路介面(網卡)發送到物理的線路上，如果區域網是由一條粗纜或細纜連接而成，則數字信號在電纜上傳輸，能夠到達線路上的每一台主機。當使用集線器時，由集線器再發向連接在集線器上的每一條線路，數字信號也能到達連接在集線器上的每一台主機。當數字信號到達一台主機的網路介面時，正常情況下，網路介面讀入數據幀，進行檢查，如果數據幀中攜帶的物理地址是自己的或者是廣播地址，則將數據幀交給上層協議軟體，也就是IP層軟體，否則就將這個幀丟棄。對於每一個到達網路介面的數據幀，都要進行這個過程。

然而，當主機工作在監聽模式下，所有的數據幀都將被交給上層協議軟體處理。而且，當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網時，如果一台主機處於監聽模式下，它還能接收到發向與自己不在同一子網(使用了不同的掩碼、IP地址和網關)的主機的數據包。也就是說，在同一條物理信道上傳輸的所有信息都可以被接收到。另外，現在網路中使用的大部分協議都是很早設計的，許多協議的實現都是基於一種非常友好的、通信的雙方充分信任的基礎之上，許多信息以明文發送。因此，如果用戶的賬戶名和口令等信息也以明文的方式在網上傳輸，而此時一個黑客或網路攻擊者正在進行網路監聽，只要具有初步的網路和TCP/IP協議知識，便能輕易地從監聽到的信息中提取出感興趣的部分。同理，正確的使用網路監聽技術也可以發現入侵並對入侵者進行追蹤定位，在對網路犯罪進行偵查取證時獲取有關犯罪行為的重要信息，成為打擊網路犯罪的有力手段。

D. 什麼是監聽

網路監聽是黑客們常用的一種方法。當成功地登錄進一台網路上的主機，並取得了這台主機的超級用戶的許可權之後，往往要擴大戰果，嘗試登錄或者奪取網路中其他主機的控制友。而網路監聽則是一種最簡單而且最有效的方法，它常常能輕易地獲得用其他方法很難獲得的信息。

在網路上，監聽效果最好的地方是在網關、路由器、防火牆一類的設備處，通常由網路管理員來操作。使用最方便的是在一個乙太網中的任何一台上網的主機上，這是大多數黑客的做法。

乙太網中可以監聽的原因

在電話線路和無線電、微波中監聽傳輸的信息比較好理解，但是人們常常不太理解為什麼區域網中可以進行監聽。甚至有人問：能不能監聽不在同一網段的信息。下面就講述在乙太網中進行監聽的一些原理。在令牌環中，道理是相似的。

對於一個施行網路攻擊的人來說，能攻破網關、路由器、防火牆的情況極為少見，在這里完全可以由安全管理員安裝一些設備，對網路進行監控，或者使用一些專門的設備，運行專門的監聽軟體，並防止任何非法訪關。然而，潛入一台不引人注意的計算機中，悄悄地運行一個監聽程序，一個黑客是完全可以做到的。監聽是非常消耗CPU資源的，在一個擔負繁忙任務的計算機中進行監聽，可以立即被管理員發現，因為他發現計算機的響應速度令人驚奇慢。

對於一台連網的計算機，最方便的是在乙太網中進行監聽，只須安裝一個監聽軟體，然後就可以坐在機器旁瀏覽監聽到的信息了。

乙太網協議的工作方式為將要發送的數據包發往連在一起的所有主機。在包頭中包含著應該接收數據包的主機的正確地址。因此，只有與數據包中目標地址一致的那台主機才能接收信包。但是，當主機工在監聽模式下，無論數據包中的目標物理地址是什麼，主機都將接收。

在Internet上 行磯嗾庋�木鍾蟯�＜柑ㄉ踔潦�柑ㄖ骰�ü�惶醯繢亂桓黽�咂髁�諞黃稹T諦�櫚母卟慊蠐沒Э蠢矗�蓖�煌�韁械牧教ㄖ骰�ㄐ攀保�粗骰��從心康鬧骰鶬P地址的數據包發向網關。但是，這種數據包並不能在協議棧的高層直接發送出去。要發送的數據包必須從TCP/IP協議的IP層交給網路介面，即數據鏈路層。

網路介面不能識別IP地址。在網路介面，由IP層來的帶有IP地址的數據包又增加了一部分信息：以太幀的幀頭。在帖頭中，有兩個域分別為只有網路介面才能識別的源主機和目的主機的物理地址，這是一個48位的地址。這個48位的地址是與IP地址對應的。也就是說，一個IP地址，必然對應一個物理地址。對於作為網關的主機，由於它連接了多個網路，因此它同時具有多個IP地址，在每個網路中，它都有一個。發向區域網之外的幀中攜帶的是網關的物理地址。

在乙太網中，填寫了物理地址的幀從網路介面中，也就是從網卡中發送出去，傳送到物理的線路上。如果區域網是由一條粗纜或細纜連接機而成，則數字信號在電纜上傳輸，信號能夠到達線路上的每一台主機。當使用集線器時，發送出去的信號到達集線器，由集線器再發向連接在信線器上的每一條線路。於是，在物理線路上傳輸的數字信號也能到達連接在集線器上的每一主機。

E. 什麼是網路監聽網路監聽的作用是什麼

網路監聽是一種監視網路狀態、數據流程以及網路上信息傳輸的管理工具，它可以將網路界面設定成監聽模式，並且可以截獲網路上所傳輸的信息。

也就是說，當黑客登錄網路主機並取得超級用戶許可權後，若要登錄其它主機，使用網路監聽便可以有效地截獲網路上的數據，這是黑客使用最好的方法。但是網路監聽只能應用於連接同一網段的主機，通常被用來獲取用戶密碼等。

(5)網路監聽的原理是什麼擴展閱讀：

網路監聽技術意義：

1、我國的網路正在快速發展中，相應的問題也就顯現出來，網路管理及相應應用自然將越發重要，而監聽技術正是網路管理和應用的基礎，其意義當然重要；

放眼當前相關工具linux 有snort tcpmp ,snift 等，window 有nexray, sniffer等無一不是國外軟體，隨著中國網路的發展，監聽系統必將大有用武之地，因此監聽技術的研究已是時事的要求。

2、為什麼選擇linux作為環境？中國入世，各種針對盜版的打擊力度和對於正版軟體的保護力度都將大大加強，windows的盜版軟體隨處可見的現象將會一去不返，面對這樣的情況，大部分的公司只有兩種選擇：

要麼花大價錢向微軟購買正版軟體，要麼是用自由操作系統linux，特別是重要部門，如國家機關，政府部門，難道要把自己的辦公系統操縱在國外大公司手裡；

北京的政府辦公系統已經轉用紅旗linux，而且linux的界面也在不但的改進，更加友好易操作，我們有理由相信.linux將在我國大有作為，這也是研究Linux下網路監聽的原因。

F. 網路連接器的狀態的監聽是什麼

不知道你是不是想了解乙太網監聽的原理
如果是你可以看看這篇技術文章：
乙太網監聽的原理與防範
隨著計算機網路應用的普及，網路已日益成為生活中不可或缺的工具，但伴之而來的非法入侵也一直威脅著計算機網路系統的安全。由於乙太網中採用廣播方式，因此，在某個廣播域中可以監聽到所有的信息包。網路監聽是黑客們常用的一種方法。當成功地登錄進一台網路上的主機，並取得了這台主機的超級用戶的許可權之後，往往要擴大戰果，嘗試登錄或者奪取網路中其他主機的控制。而網路監聽則是一種最簡單而且最有效的方法，他常常能輕易地獲得用其他方法很難獲得的信息。 在網路上，監聽效果最好的地方是在網關、路由器、防火牆一類的設備處，通常由網路管理員來操作。使用最方便的是在一個乙太網中的任何一台上網的主機上，這是大多數黑客的做法。 事實上，很多黑客入侵時都把乙太網掃描和偵聽作為其最基本的步驟和手段，原因是想用這種方法獲取其想要的密碼等信息。但另一方面，我們對黑客入侵活動和其他網路犯罪進行偵查、取證時，也可以使用網路監聽技術來獲取必要的信息。因此，了解乙太網監聽技術的原理、實現方法和防範措施就顯得尤為重要。 �
1網路監聽的基本原理
乙太網可以把相鄰的計算機、終端、大容量存儲器的外圍設備、控制器、顯示器以及為連接其他網路而使用的網路連接器等相互連接起來，具有設備共享、信息共享、高速數據通訊等特點。乙太網這種工作方式，如同有很多人在一個大房間內，大房間就像是一個共享的信道，裡面的每個人好像是一台主機。人們所說的話是信息包，在大房間中到處傳播。當我們對其中某個人說話時，所有的人都能聽到。正常情況下只有名字相同的那個人才會做出反應，並進行回應。其他人了解談話的內容，也可對所有談話內容做出反應。因此，網路監聽用來監視網路的狀態、數據流動情況以及網路上傳輸的信息等。當信息以明文的形式在網路上傳輸時，使用監聽技術進行攻擊並不是一件難事，只要將網路介面設置成監聽模式，便可以源源不斷地將網上傳輸的信息截獲。
1.1廣播式乙太網中的網路監聽
廣播式乙太網在邏輯上由一條匯流排和一群掛在匯流排上的節點組成。任何一個節點主機發出的數據包都是在共享的乙太網傳輸介質上進行傳輸的，每個數據包的包頭部分都包含了源地址和目的地址。網路上所有節點都通過網路介面（網卡）負責檢查每一個數據包，如果發現其目的地址是本機，則接收該數據包並向上層傳遞，以進行下一步的處理；如果目的地址不是本機，則數據包將被丟棄不作處理。乙太網數據包過濾機制分為鏈路層、網路層和傳輸層。在鏈路層，網卡驅動程序判斷收到包的目標MAC地址是否是自己的MAC地址；在網路層判斷目標IP地址是否為本機所綁定的IP地址；在傳輸層如TCP層或者UDP層判斷目標埠是否在本機已經打開。如果以上判斷否定，數據包將被丟棄。
在進行網路數據包的「監聽」時，首先通過將系統的網路介面設定為「混雜模式」，網路監聽程序繞過系統正常工作的處理機制，直接訪問網路底層。不論數據包的目的地址是否是本機，都能夠截獲並傳遞給上層進行處理（只能監聽經過自己網路介面的那些包），通過相應的軟體進一步地分析處理，就能夠得到數據包的一些基本屬性，如包類型、包大小、目的地址、源地址等，可以實時分析這些數據的內容，如用戶名、口令以及所感興趣的內容。
同理，正確地使用網路監聽技術也可以發現入侵並對入侵者進行追蹤定位，在對網路犯罪進行偵查取證時獲取有關犯罪行為的重要信息，成為打擊網路犯罪的有力手段。
1.2交換式乙太網中的監聽
交換機的工作原理不同於HUB的共享式報文方式，交換機轉發的報文是一一對應的，能夠隔離沖突域和有效的抑制廣播風暴的產生。由此看來，交換環境下再採用傳統的共享式乙太網下網路監聽是不可能了，由於報文是一一對應轉發的，普通的網路監聽軟體此時無法監聽到交換環境下其他主機任何有價值的數據。但是，乙太網內主機數據包的傳送完成不是依靠IP地址，而是依靠ARP找出IP地址對應的MAC地址實現的。而ARP協議是不可靠和無連接的，通常即使主機沒有發出ARP請求，也會接受發給他的ARP回應，並將回應的MAC和IP對應關系放入自己的ARP緩存中。因此利用ARP協議，交換機的安全性也面臨著嚴峻的考驗。
1.2.1交換機緩沖區溢出攻擊
交換機大多使用存貯轉發技術，工作時維護著一張MAC地址與埠的映射表，這個表中記錄著交換機每個埠綁定的MAC地址。他的工作原理是對某一段數據包進行分析判別定址，並進行轉發，在發出前均存貯在交換機的緩沖區內。但是，交換機緩沖區是有限的。如用大量無效IP包，包含錯誤MAC地址的數據幀對交換機進行攻擊。該交換機將接收到大量的不符合分裝原則的包，造成交換機處理器工作繁忙，從而導致數據包來不及轉發，進而導致緩沖區溢出產生丟包現象。這時交換機就會退回到HUB的廣播方式，向所有的埠發送數據包。這樣，監聽就變得非常容易了。
1.2.2ARP協議和欺騙
在乙太網中傳輸的數據包是以太包，而以太包的定址是依據其首部的物理地址（MAC地址）。僅僅知道某主機的邏輯地址（IP地址）並不能讓內核發送一幀數據給此主機，內核必須知道目的主機的物理地址才能發送數據。ARP協議的作用就是在於把邏輯地址變換成物理地址，也既是把32 b的IP地址變換成48 b的以太地址。每一個主機都有一個ARP高速緩存，此緩存中記錄了最近一段時間內其他IP地址與其MAC地址的對應關系。如果本機想與某台主機通信，則首先在ARP高速緩存中查找此台主機的IP和MAC信息，如果存在，則直接利用此MAC地址構造以太包；如果不存在，則向本網路上每一個主機廣播一個ARP請求包。其意義是「如果你有此IP地址，請告訴我你的MAC地址」，目的主機收到此請求包後，發送一個ARP響應包，本機收到此響應包後，把相關信息記錄在ARP高速緩存中。可以看出，ARP協議是有缺點的，第三方主機可以構造一個ARP欺騙包，而源主機卻無法分辨真假。
假定A為進行監聽的主機，B為被監聽的主機，C為其他網路主機。當A收到B向C發出的ARP請求包後，向B回應一個ARP應答。向C主動發送一個應答，修改C緩存中的關於B的IPMAC映射。當A收到C向B發出的ARP請求時，向B主動發送一個應答，修改B緩存中的關於C的 IPMAC映射。這樣，構造了ARP欺騙包（欺騙B對C的連接）。事實上，A成了B的代理可以全部捕獲到B和C的相關數據。

2網路監聽的檢測及防範
網路監聽是很難被發現的，因為運行網路監聽的主機只是被動地接收在區域網上傳輸的信息，不主動與其他主機交換信息，也沒有修改在網上傳輸的數據包。
2.1網路監聽的檢測
(1)對於懷疑運行監聽程序的機器，向區域網內的主機發送非廣播方式的ARP包（錯誤的物理地址），如果區域網內的某個主機響應了這個ARP請求，我們就可以判斷該機器處於雜亂模式。而正常的機器不處於雜亂模式，對於錯誤的物理地址不會得到響應。
（2）網路和主機響應時間測試。向網上發大量不存在的物理地址的包，處於混雜模式下的機器則缺乏此類底層的過濾，由於監聽程序要分析和處理大量的數據包會佔用很多的CPU資源，驟然增加的網路通訊流量會對該機器造成較明顯的影響，這將導致性能下降。通過比較前後該機器性能加以判斷是否存在網路監聽。
（3）使用反監聽工具如antisniffer等進行檢測。
2.2網路監聽的防範
2.2.1網路分段
網路分段通常被認為是控制網路廣播風暴的一種基本手段，但其實也是防範網路監聽的一項重要措施。將網路劃分為不同的網段，其目的是將非法用戶與敏感的網路資源相互隔離，從而防止可能的非法監聽。
2.2.2以交換式集線器代替共享式集線器
對區域網的中心交換機進行網路分段後，區域網監聽的危險仍然存在。這是因為網路最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行數據通信時，兩台機器之間的數據包(單播包)還是會被同一台集線器上的其他用戶監聽。因此，應該以交換式集線器代替共享式集線器，使 單播包僅在兩個節點之間傳送，從而防止非法監聽。
2.2.3使用加密技術
數據經過加密後，通過監聽仍然可以得到傳送的信息,但顯示的是亂碼。使用加密技術的 缺點是影響數據傳輸速度以及使用一個弱加密術比較容易被攻破。
2.2.4劃分VLAN
運用VLAN（虛擬區域網）技術，將乙太網通信變為點到點通信，VLAN子網隔離了廣播風暴 ，可以防止大部分基於網路監聽的侵入，對一些重要部門實施了安全保護。且當某一部門物 理位置發生變化時，只需對交換機進行設置，就可以實現網路的重組，非常方便、快捷，同 時節約了成本。為保證不同職能部門管理的方便性和安全性以及整個網路運行的穩定性，可 採用VLAN技術進行虛擬網路劃分。

3結語
網路監聽技術在信息安全領域中顯得非常重要，他又是一把雙刃劍，總是扮演著正反兩方 面的角色。對於網路管理員來說，網路監聽技術可以用來分析網路性能，檢查網路是否被入 侵發揮著重要的作用；對於入侵者來說，網路監聽技術可以很容易地獲得明文傳輸的密碼和 各種機密數據。為了保護網路信息的安全，必須採用網路監聽技術進行反跟蹤，時刻探明現 有網路的安全現狀，掌握先機，才能保證網路的信息安全。