网络监听的原理是什么

A. 监听技术的网络监听的原理

Ethernet协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包的主机的正确地址，因为只有与数据包中目标地址一致的那台主机才能接收到信息包，但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么，主机都将可以接收到。许多局域网内有十几台甚至上百台主机是通过一个电缆、一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是所说的数据链路层。网络接口不会识别IP地址的。在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太祯的祯头的信息。在祯头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址，这个48位的地址是与IP地址相对应的，换句话说就是一个IP地址也会对应一个物理地址。对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的祯中继携带的就是网关的物理地址。Ethernet中填写了物理地址的祯从网络接口中，也就是从网卡中发送出去传送到物理的线路上。如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据祯进行检查，如果数据祯中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据祯交给IP层软件。对于每个到达网络接口的数据祯都要进行这个过程的。但是当主机工作在监听模式下的话，所有的数据祯都将被交给上层协议软件处理。当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候，那么要是有一台主机处于监听模式，它还将可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP地址和网关）的主机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。在UNIX系统上，当拥有超级权限的用户要想使自己所控制的主机进入监听模式，只需要向Interface（网络接口）发送I/O控制命令，就可以使主机设置成监听模式了。而在Windows9x的系统中则不论用户是否有权限都将可以通过直接运行监听工具就可以实现了。在网络监听时，常常要保存大量的信息（也包含很多的垃圾信息），并将对收集的信息进行大量的整理，这样就会使正在监听的机器对其它用户的请求响应变的很慢。同时监听程序在运行的时候需要消耗大量的处理器时间，如果在这个时候就详细的分析包中的内容，许多包就会来不及接收而被漏走。所以监听程序很多时候就会将监听得到的包存放在文件中等待以后分析。分析监听到的数据包是很头疼的事情。因为网络中的数据包都非常之复杂。两台主机之间连续发送和接收数据包，在监听到的结果中必然会加一些别的主机交互的数据包。监听程序将同一TCP会话的包整理到一起就相当不容易了，如果你还期望将用户详细信息整理出来就需要根据协议对包进行大量的分析。Internet上那么多的协议，运行进起的话这个监听程序将会十分的大哦。网络中所使用的协议都是较早前设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础。在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网上传输的，因此进行网络监听从而获得用户信息并不是一件难点事情，只要掌握有初步的TCP/IP协议知识就可以轻松的监听到你想要的信息的。前些时间美籍华人China-babble曾提出将望路监听从局域网延伸到广域网中，但这个想法很快就被否定了。如果真是这样的话我想网络必将天下大乱了。而事实上在广域网里也可以监听和截获到一些用户信息。只是还不够明显而已。在整个Internet中就更显得微不足道了。监听的协议分析我们的研究从监听程序的编写开始，用linux C语言设计实现。

B. 网络监控原理！

网络监控采用的主要技术为网络监听和通信分析技术，网络监控系统的具体构成可以分为以下几个部分。
1.硬件
尽管有一些产品需要特殊的硬件，但大多数的产品工作在标准的网络适配器上。如果用的是特殊的网络适配器，就能分析例如CRC错误，电压错误，电缆问题，协商错误等。
2.捕包驱动
这是最重要的部分，它从线路上捕获网络通信，并根据需要进行过滤，接下来将它存储在缓冲区中。
3.缓冲区
一旦从网络上捕获数据帧，它们被存在缓冲区中。存在几种的捕获方式：捕获通信，直到缓冲区被添满，或用循环的缓冲区，就是用新的数据替代老的数据。有一些产品(就像BlackIce的Sentry IDS)能以100兆比特秒的速度在硬盘上维持一个循环捕包的缓冲区。这将允许拥有数百个成G的缓冲区而不是基于内存的不足1G的缓冲区。
4.实时分析
这个特性是网络监控所倡导的，就是在数据帧离线进行一定的分析。这能发现网络性能问题和在通信捕获中的错误。一些厂家正沿着这条路线在它们的产品中加入一些新的功能。网络入侵检测系统就是这样做的，但是它们是对于通信中黑客的行为标记进行详细的审核而不是对错误/性能问题进行处理。
5.解码
就是显示网络通信的内容，这样一名分析者将会十分容易地获得相关信息并依据这些信息分析出网络上究竟发生了什么。

C. 网络监听技术的原理是什么

在局域网实现监听的基本原理

对于目前很流行的以太网协议，其工作方式是：将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。但是，当主机工作监听模式下，无论数据包中的目标地址是什么，主机都将接收(当然只能监听经过自己网络接口的那些包)。

在因特网上有很多使用以太网协议的局域网，许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送，必须从TCP/IP协议的IP层交给网络接口，也就是数据链路层，而网络接口是不会识别IP地址的，因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域，分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个与IP地址相对应的48位的地址。

传输数据时，包含物理地址的帧从网络接口(网卡)发送到物理的线路上，如果局域网是由一条粗缆或细缆连接而成，则数字信号在电缆上传输，能够到达线路上的每一台主机。当使用集线器时，由集线器再发向连接在集线器上的每一条线路，数字信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主机的网络接口时，正常情况下，网络接口读入数据帧，进行检查，如果数据帧中携带的物理地址是自己的或者是广播地址，则将数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。

然而，当主机工作在监听模式下，所有的数据帧都将被交给上层协议软件处理。而且，当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监听模式下，它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。另外，现在网络中使用的大部分协议都是很早设计的，许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上，许多信息以明文发送。因此，如果用户的账户名和口令等信息也以明文的方式在网上传输，而此时一个黑客或网络攻击者正在进行网络监听，只要具有初步的网络和TCP/IP协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分。同理，正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位，在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段。

D. 什么是监听

网络监听是黑客们常用的一种方法。当成功地登录进一台网络上的主机，并取得了这台主机的超级用户的权限之后，往往要扩大战果，尝试登录或者夺取网络中其他主机的控制友。而网络监听则是一种最简单而且最有效的方法，它常常能轻易地获得用其他方法很难获得的信息。

在网络上，监听效果最好的地方是在网关、路由器、防火墙一类的设备处，通常由网络管理员来操作。使用最方便的是在一个以太网中的任何一台上网的主机上，这是大多数黑客的做法。

以太网中可以监听的原因

在电话线路和无线电、微波中监听传输的信息比较好理解，但是人们常常不太理解为什么局域网中可以进行监听。甚至有人问：能不能监听不在同一网段的信息。下面就讲述在以太网中进行监听的一些原理。在令牌环中，道理是相似的。

对于一个施行网络攻击的人来说，能攻破网关、路由器、防火墙的情况极为少见，在这里完全可以由安全管理员安装一些设备，对网络进行监控，或者使用一些专门的设备，运行专门的监听软件，并防止任何非法访关。然而，潜入一台不引人注意的计算机中，悄悄地运行一个监听程序，一个黑客是完全可以做到的。监听是非常消耗CPU资源的，在一个担负繁忙任务的计算机中进行监听，可以立即被管理员发现，因为他发现计算机的响应速度令人惊奇慢。

对于一台连网的计算机，最方便的是在以太网中进行监听，只须安装一个监听软件，然后就可以坐在机器旁浏览监听到的信息了。

以太网协议的工作方式为将要发送的数据包发往连在一起的所有主机。在包头中包含着应该接收数据包的主机的正确地址。因此，只有与数据包中目标地址一致的那台主机才能接收信包。但是，当主机工在监听模式下，无论数据包中的目标物理地址是什么，主机都将接收。

在Internet上 行矶嗾庋�木钟蛲�＜柑ㄉ踔潦�柑ㄖ骰�ü�惶醯缋乱桓黾�咂髁�谝黄稹T谛�榈母卟慊蛴没Э蠢矗�蓖�煌�缰械牧教ㄖ骰�ㄐ攀保�粗骰��从心康闹骰鶬P地址的数据包发向网关。但是，这种数据包并不能在协议栈的高层直接发送出去。要发送的数据包必须从TCP/IP协议的IP层交给网络接口，即数据链路层。

网络接口不能识别IP地址。在网络接口，由IP层来的带有IP地址的数据包又增加了一部分信息：以太帧的帧头。在帖头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个48位的地址。这个48位的地址是与IP地址对应的。也就是说，一个IP地址，必然对应一个物理地址。对于作为网关的主机，由于它连接了多个网络，因此它同时具有多个IP地址，在每个网络中，它都有一个。发向局域网之外的帧中携带的是网关的物理地址。

在以太网中，填写了物理地址的帧从网络接口中，也就是从网卡中发送出去，传送到物理的线路上。如果局域网是由一条粗缆或细缆连接机而成，则数字信号在电缆上传输，信号能够到达线路上的每一台主机。当使用集线器时，发送出去的信号到达集线器，由集线器再发向连接在信线器上的每一条线路。于是，在物理线路上传输的数字信号也能到达连接在集线器上的每一主机。

E. 什么是网络监听网络监听的作用是什么

网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具，它可以将网络界面设定成监听模式，并且可以截获网络上所传输的信息。

也就是说，当黑客登录网络主机并取得超级用户权限后，若要登录其它主机，使用网络监听便可以有效地截获网络上的数据，这是黑客使用最好的方法。但是网络监听只能应用于连接同一网段的主机，通常被用来获取用户密码等。

(5)网络监听的原理是什么扩展阅读：

网络监听技术意义：

1、我国的网络正在快速发展中，相应的问题也就显现出来，网络管理及相应应用自然将越发重要，而监听技术正是网络管理和应用的基础，其意义当然重要；

放眼当前相关工具linux 有snort tcpmp ,snift 等，window 有nexray, sniffer等无一不是国外软件，随着中国网络的发展，监听系统必将大有用武之地，因此监听技术的研究已是时事的要求。

2、为什么选择linux作为环境？中国入世，各种针对盗版的打击力度和对于正版软件的保护力度都将大大加强，windows的盗版软件随处可见的现象将会一去不返，面对这样的情况，大部分的公司只有两种选择：

要么花大价钱向微软购买正版软件，要么是用自由操作系统linux，特别是重要部门，如国家机关，政府部门，难道要把自己的办公系统操纵在国外大公司手里；

北京的政府办公系统已经转用红旗linux，而且linux的界面也在不但的改进，更加友好易操作，我们有理由相信.linux将在我国大有作为，这也是研究Linux下网络监听的原因。

F. 网络连接器的状态的监听是什么

不知道你是不是想了解以太网监听的原理
如果是你可以看看这篇技术文章：
以太网监听的原理与防范
随着计算机网络应用的普及，网络已日益成为生活中不可或缺的工具，但伴之而来的非法入侵也一直威胁着计算机网络系统的安全。由于以太网中采用广播方式，因此，在某个广播域中可以监听到所有的信息包。网络监听是黑客们常用的一种方法。当成功地登录进一台网络上的主机，并取得了这台主机的超级用户的权限之后，往往要扩大战果，尝试登录或者夺取网络中其他主机的控制。而网络监听则是一种最简单而且最有效的方法，他常常能轻易地获得用其他方法很难获得的信息。 在网络上，监听效果最好的地方是在网关、路由器、防火墙一类的设备处，通常由网络管理员来操作。使用最方便的是在一个以太网中的任何一台上网的主机上，这是大多数黑客的做法。 事实上，很多黑客入侵时都把以太网扫描和侦听作为其最基本的步骤和手段，原因是想用这种方法获取其想要的密码等信息。但另一方面，我们对黑客入侵活动和其他网络犯罪进行侦查、取证时，也可以使用网络监听技术来获取必要的信息。因此，了解以太网监听技术的原理、实现方法和防范措施就显得尤为重要。 �
1网络监听的基本原理
以太网可以把相邻的计算机、终端、大容量存储器的外围设备、控制器、显示器以及为连接其他网络而使用的网络连接器等相互连接起来，具有设备共享、信息共享、高速数据通讯等特点。以太网这种工作方式，如同有很多人在一个大房间内，大房间就像是一个共享的信道，里面的每个人好像是一台主机。人们所说的话是信息包，在大房间中到处传播。当我们对其中某个人说话时，所有的人都能听到。正常情况下只有名字相同的那个人才会做出反应，并进行回应。其他人了解谈话的内容，也可对所有谈话内容做出反应。因此，网络监听用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时，使用监听技术进行攻击并不是一件难事，只要将网络接口设置成监听模式，便可以源源不断地将网上传输的信息截获。
1.1广播式以太网中的网络监听
广播式以太网在逻辑上由一条总线和一群挂在总线上的节点组成。任何一个节点主机发出的数据包都是在共享的以太网传输介质上进行传输的，每个数据包的包头部分都包含了源地址和目的地址。网络上所有节点都通过网络接口（网卡）负责检查每一个数据包，如果发现其目的地址是本机，则接收该数据包并向上层传递，以进行下一步的处理；如果目的地址不是本机，则数据包将被丢弃不作处理。以太网数据包过滤机制分为链路层、网络层和传输层。在链路层，网卡驱动程序判断收到包的目标MAC地址是否是自己的MAC地址；在网络层判断目标IP地址是否为本机所绑定的IP地址；在传输层如TCP层或者UDP层判断目标端口是否在本机已经打开。如果以上判断否定，数据包将被丢弃。
在进行网络数据包的“监听”时，首先通过将系统的网络接口设定为“混杂模式”，网络监听程序绕过系统正常工作的处理机制，直接访问网络底层。不论数据包的目的地址是否是本机，都能够截获并传递给上层进行处理（只能监听经过自己网络接口的那些包），通过相应的软件进一步地分析处理，就能够得到数据包的一些基本属性，如包类型、包大小、目的地址、源地址等，可以实时分析这些数据的内容，如用户名、口令以及所感兴趣的内容。
同理，正确地使用网络监听技术也可以发现入侵并对入侵者进行追踪定位，在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段。
1.2交换式以太网中的监听
交换机的工作原理不同于HUB的共享式报文方式，交换机转发的报文是一一对应的，能够隔离冲突域和有效的抑制广播风暴的产生。由此看来，交换环境下再采用传统的共享式以太网下网络监听是不可能了，由于报文是一一对应转发的，普通的网络监听软件此时无法监听到交换环境下其他主机任何有价值的数据。但是，以太网内主机数据包的传送完成不是依靠IP地址，而是依靠ARP找出IP地址对应的MAC地址实现的。而ARP协议是不可靠和无连接的，通常即使主机没有发出ARP请求，也会接受发给他的ARP回应，并将回应的MAC和IP对应关系放入自己的ARP缓存中。因此利用ARP协议，交换机的安全性也面临着严峻的考验。
1.2.1交换机缓冲区溢出攻击
交换机大多使用存贮转发技术，工作时维护着一张MAC地址与端口的映射表，这个表中记录着交换机每个端口绑定的MAC地址。他的工作原理是对某一段数据包进行分析判别寻址，并进行转发，在发出前均存贮在交换机的缓冲区内。但是，交换机缓冲区是有限的。如用大量无效IP包，包含错误MAC地址的数据帧对交换机进行攻击。该交换机将接收到大量的不符合分装原则的包，造成交换机处理器工作繁忙，从而导致数据包来不及转发，进而导致缓冲区溢出产生丢包现象。这时交换机就会退回到HUB的广播方式，向所有的端口发送数据包。这样，监听就变得非常容易了。
1.2.2ARP协议和欺骗
在以太网中传输的数据包是以太包，而以太包的寻址是依据其首部的物理地址（MAC地址）。仅仅知道某主机的逻辑地址（IP地址）并不能让内核发送一帧数据给此主机，内核必须知道目的主机的物理地址才能发送数据。ARP协议的作用就是在于把逻辑地址变换成物理地址，也既是把32 b的IP地址变换成48 b的以太地址。每一个主机都有一个ARP高速缓存，此缓存中记录了最近一段时间内其他IP地址与其MAC地址的对应关系。如果本机想与某台主机通信，则首先在ARP高速缓存中查找此台主机的IP和MAC信息，如果存在，则直接利用此MAC地址构造以太包；如果不存在，则向本网络上每一个主机广播一个ARP请求包。其意义是“如果你有此IP地址，请告诉我你的MAC地址”，目的主机收到此请求包后，发送一个ARP响应包，本机收到此响应包后，把相关信息记录在ARP高速缓存中。可以看出，ARP协议是有缺点的，第三方主机可以构造一个ARP欺骗包，而源主机却无法分辨真假。
假定A为进行监听的主机，B为被监听的主机，C为其他网络主机。当A收到B向C发出的ARP请求包后，向B回应一个ARP应答。向C主动发送一个应答，修改C缓存中的关于B的IPMAC映射。当A收到C向B发出的ARP请求时，向B主动发送一个应答，修改B缓存中的关于C的 IPMAC映射。这样，构造了ARP欺骗包（欺骗B对C的连接）。事实上，A成了B的代理可以全部捕获到B和C的相关数据。

2网络监听的检测及防范
网络监听是很难被发现的，因为运行网络监听的主机只是被动地接收在局域网上传输的信息，不主动与其他主机交换信息，也没有修改在网上传输的数据包。
2.1网络监听的检测
(1)对于怀疑运行监听程序的机器，向局域网内的主机发送非广播方式的ARP包（错误的物理地址），如果局域网内的某个主机响应了这个ARP请求，我们就可以判断该机器处于杂乱模式。而正常的机器不处于杂乱模式，对于错误的物理地址不会得到响应。
（2）网络和主机响应时间测试。向网上发大量不存在的物理地址的包，处于混杂模式下的机器则缺乏此类底层的过滤，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，骤然增加的网络通讯流量会对该机器造成较明显的影响，这将导致性能下降。通过比较前后该机器性能加以判断是否存在网络监听。
（3）使用反监听工具如antisniffer等进行检测。
2.2网络监听的防范
2.2.1网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是防范网络监听的一项重要措施。将网络划分为不同的网段，其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。
2.2.2以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后，局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包(单播包)还是会被同一台集线器上的其他用户监听。因此，应该以交换式集线器代替共享式集线器，使 单播包仅在两个节点之间传送，从而防止非法监听。
2.2.3使用加密技术
数据经过加密后，通过监听仍然可以得到传送的信息,但显示的是乱码。使用加密技术的 缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。
2.2.4划分VLAN
运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，VLAN子网隔离了广播风暴 ，可以防止大部分基于网络监听的侵入，对一些重要部门实施了安全保护。且当某一部门物 理位置发生变化时，只需对交换机进行设置，就可以实现网络的重组，非常方便、快捷，同 时节约了成本。为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性，可 采用VLAN技术进行虚拟网络划分。

3结语
网络监听技术在信息安全领域中显得非常重要，他又是一把双刃剑，总是扮演着正反两方 面的角色。对于网络管理员来说，网络监听技术可以用来分析网络性能，检查网络是否被入 侵发挥着重要的作用；对于入侵者来说，网络监听技术可以很容易地获得明文传输的密码和 各种机密数据。为了保护网络信息的安全，必须采用网络监听技术进行反跟踪，时刻探明现 有网络的安全现状，掌握先机，才能保证网络的信息安全。