网络监听技术最全面解析

编者按: 网络监听，可以有效地对网络数据、流量进行侦听、分析，从而排除网络故障，但它同时又带来了信息失窃等极大隐患，也因此，网络监听成为了一个普通的网络管理员想真正成长为资深的网络工程师的必经之路。

　　网络监听，在网络安全上一直是一个比较敏感的话题，作为 一种发展比较成熟的技术，监听在协助网络管理员监测网络传输数据，排除网络故障等方面具有不可替代的作用，因而一直倍受网络管理员的青睐。然而，在另一方面网络监听也给以太网安全带来了极大的隐患，许多的网络入侵往往都伴随着以太网内网络监听行为，从而造成口令失窃，敏感数据被截获等等连锁性安全事件。

　　网络监听在安全领域引起人们普遍注意是在94年开始的，在那一年2月间，相继发生了几次大的安全事件，一个不知名的人在众多的主机和骨干网络设备上安装了网络监听软件，利用它对美国骨干互联网和军方网窃取了超过100000个有效的用户名和口令。上述事件可能是互联网上最早期的大规模的网络监听事件了，它使早期网络监听从"地下"走向了公开，并迅速的在大众中普及开来。

　　关于网络监听常常会有一些有意思的问题，如："我现在有连在网上的计算机了，我也有了窃听的软件了，那么我能不能窃听到微软（或者美国国防部，新浪网等等）的密码？

　　又如：我是公司的局域网管理员，我知道hub很不安全，使用hub这种网络结构将公司的计算计互连起来，会使网络监听变得非常容易，那么我们就换掉hub，使用交换机，不就能解决口令失窃这种安全问题了么？

　　这是两个很有意思的问题，我们在这里先不做回答，相信读者看完全文后会有自己正确的答案。

　　基本概念：认清mac地址和ip地址

　　首先，我们知道，一台接在以太网内的计算机为了和其他主机进行通讯，在硬件上是需要网卡，在软件上是需要网卡驱动程序的。而每块网卡在出厂时都有一个唯一的不与世界上任何一块网卡重复的硬件地址，称为mac地址。同时，当网络中两台主机在实现tcp/ip通讯时，网卡还必须绑定一个唯一的ip地址。下面用一个常见的unix命令ifconfig来看一看作者本人的一台正常工作的机器的网卡：

    [yiming@server/root]# ifconfig -a
    hme0: flags=863 mtu 1500
    inet 192.168.1.35 netmask ffffffe0
    ether 8:0:20:c8:fe:15

　　从这个命令的输出中我们可以看到上面讲到的这些概念，如第二行的192.168.1.35是ip 地址，第三行的8:0:20:c8:fe:15是mac地址。请注意第一行的BROADCAST，MULTICAST，这是什么意思？一般而言，网卡有几种接收数据帧的状态，如unicast，broadcast，multicast，promiscuous等，unicast是指网卡在工作时接收目的地址是本机硬件地址的数据帧。Broadcast是指接收所有类型为广播报文的数据帧。Multicast是指接收特定的组播报文。Promiscuous则是通常说的混杂模式，是指对报文中的目的硬件地址不加任何检查，全部接收的工作模式。对照这几个概念，看看上面的命令输出，我们可以看到，正常的网卡应该只是接收发往自身的数据报文，广播和组播报文，请大家记住这个概念。

　　对网络使用者来说，浏览网页，收发邮件等都是很平常，很简便的工作，其实在后台这些工作是依靠tcp/ip协议族实现的，大家知道有两个主要的网络体系：OSI参考模型和TCP/IP参考模型，OSI模型即为通常说的7层协议，它由下向上分别为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层，而tcp/ip模型中去掉了会话层和表示层后，由剩下的5层构成了互联网的基础，在网络的后台默默的工作着。

　　下面我们不妨从tcp/ip模型的角度来看数据包在局域网内发送的过程：当数据由应用层自上而下的传递时，在网络层形成ip数据报，再向下到达数据链路层，由数据链路层将ip数据报分割为数据帧，增加以太网包头，再向下一层发送。需要注意的是，以太网的包头中包含着本机和目标设备的mac地址，也即，链路层的数据帧发送时，是依靠48bits的以太网地址而非ip地址来确认的，以太网的网卡设备驱动程序不会关心ip数据报中的目的ip地址，它所需要的仅仅是mac地址。

　　目标ip的mac地址又是如何获得的呢？发端主机会向以太网上的每个主机发送一份包含目的地的ip地址的以太网数据帧（称为arp数据包），并期望目的主机回复，从而得到目的主机对应的mac地址，并将这个mac地址存入自己的一个arp缓存内。

　　当局域网内的主机都通过HUB等方式连接时，一般都称为共享式的连接，这种共享式的连接有一个很明显的特点：就是HUB会将接收到的所有数据向HUB上的每个端口转发，也就是说当主机根据mac地址进行数据包发送时，尽管发送端主机告知了目标主机的地址，但这并不意味着在一个网络内的其他主机听不到发送端和接收端之间的通讯，只是在正常状况下其他主机会忽略这些通讯报文而已！如果这些主机不愿意忽略这些报文，网卡被设置为promiscuous状态的话，那么，对于这台主机的网络接口而言，任何在这个局域网内传输的信息都是可以被听到的。 

隐患：混杂模式下接收所有信息

　　我们不妨举一个例子来看看：我们现在有A,B两台主机，通过hub相连在一个以太网内，现在A机上的一个用户想要访问B机提供的WWW服务，那么当A机上的用户在浏览器中键入B的ip地址，得到B机提供的web服务时，从7层结构的角度上来看都发生了什么呢？

　　1：首先，当A上的用户在浏览器中键入B机的地址，发出浏览请求后，A机的应用层得到请求，要求访问IP地址为B的主机，

　　2：应用层于是将请求发送到7层结构中的下一层传输层，由传输层实现利用tcp对ip建立连接。

　　3：传输层将数据报交到下一层网络层，由网络层来选路

　　4：由于A，B两机在一个共享网络中，IP路由选择很简单：IP数据报直接由源主机发送到目的主机。

　　5：由于A，B两机在一个共享网络中，所以A机必须将32bit的IP地址转换为48bit的以太网地址，请注意这一工作是由arp来完成的。

　　6：链路层的arp通过工作在物理层的hub向以太网上的每个主机发送一份包含目的地的ip地址的以太网数据帧，在这份请求报文中申明：谁是B机IP地址的拥有者，请将你的硬件地址告诉我。

　　7：在同一个以太网中的每台机器都会"接收"（请注意这一点！）到这个报文，但正常状态下除了B机外其他主机应该会忽略这个报文，而B机网卡驱动程序识别出是在寻找自己的ip地址，于是回送一个arp应答，告知自己的ip地址和mac地址。

　　8：A机的网卡驱动程序接收到了B机的数据帧，知道了B机的mac地址，于是以后的数据利用这个已知的MAC地址作为目的地址进行发送。同在一个局域网内的主机虽然也能"看"到这个数据帧，但是都保持静默，不会接收这个不属于它的数据帧。

　　上面是一种正常的情况，如果网卡被设置为为混杂模式（promiscuous），那么第8步就会发生变化，这台主机将会默不作声的听到以太网内传输的所有信息，也就是说：窃听也就因此实现了！这会给局域网安全带来极大的安全问题，一台系统一旦被入侵并进入网络监听状态，那么无论是本机还是局域网内的各种传输数据都会面临被窃听的巨大可能性。

　　上面我们看到，一切的关键就在于网卡被设置为混杂模式的状态，这种工作复杂吗？不幸的是，这种工作并不复杂，目前有太多的工具可以做到这一点。　　自网络监听这一技术诞生以来，产生了大量的可工作在各种平台上相关软硬件工具，其中有商用的，也有free的。在google上用sniffer tools作为关键字，可以找到非常多。

　　作者在这里列举一些作者喜欢的软件，供有兴趣的读者参考使用。

　　Windows平台下的：

　　Windump
　　Windump是最经典的unix平台上的tcpdump的window移植版，和tcpdump几乎完全兼容，采用命令行方式运行，对用惯tcpdump的人来讲会非常顺手。目前版本是3.5.2，可运行在Windows 95/98/ME/Windows NT/2000/XP平台上

　　Iris
　　Eeye公司的一款付费软件，有试用期，完全图形化界面，可以很方便的定制各种截获控制语句，对截获数据包进行分析，还原等。对管理员来讲很容易上手，入门级和高级管理员都可以从这个工具上得到自己想要得东西。运行在Windows 95/98/ME/Windows NT/2000/XP平台上

　　unix平台下的：

　　tcpdump
　　不多说，最经典的工具，被大量的*nix系统采用，无需多言。

　　ngrep
　　和tcpdump类似，但与tcpdump最大的不同之处在于，借助于这个工具，管理员可以很方便的把截获目标定制在用户名，口令等感兴趣的关键字上。

　　snort
　　目前很红火的免费的ids系统，除了用作ids以外，被用来sniffer也非常不错，可以借助工具或是依靠自身能力完全还原被截获的数据。

　　Dsniff
　　作者设计的出发点是用这个东西进行网络渗透测试，包括一套小巧好用的小工具，主要目标放在口令，用户访问资源等敏感资料上，非常有特色，工具包中的arpspoof，macof等工具可以令人满意的捕获交换机环境下的主机敏感数据。

　　Ettercap
　　和dsniff在某些方面有相似之处，也可以很方便的工作在交换机环境下
    提示：国内用户访问这个站点需要使用代理服务器。

　　Sniffit
　　被广泛使用的网络监听软件，截获重点在用户的输出。 

正途：网络监听解决邮件发送时间长问题

　　在系统管理员看来，网络监听的主要用途是进行数据包分析，通过网络监听软件，管理员可以观测分析实时经由的数据包，从而快速的进行网络故障定位。

　　我们可以举个例子： server是邮件服务器，下面带了很多的client用户，邮件服务器收发邮件工作正常，但下面的client用户总是抱怨发邮件时连接到邮件服务器后要等待很久的时间才能开始发送工作，问题出在哪里呢？

　　在server上使用tcpdump对来自其中的一个client的数据包进行捕获分析，看看结果如何？

    server#tcpdump host client
    tcpdump: listening on hme0
    19:04:30.040578 client.1065 ＞ server.smtp: S 1087965815:1087965815（0） win 64240 ＜mss 1460,nop,wscale 0,nop,nop,timestamp[|tcp]＞ （DF）
    19:04:30.040613 server.smtp ＞ client.1065: S 99285900:99285900（0） ack 1087965816 win 10136 ＜nop,nop,timestamp 20468779 0,nop,[|tcp]＞ （DF）
    19:04:30.040960 client.1065 ＞ server.smtp: . ack 1 win 64240 （DF）

　　client连接服务器的25端口，三次握手正常，没有问题，我们再往下看

    19:04:30.048862 server.33152 ＞ client.113: S 99370916:99370916（0） win 8760 ＜mss 1460＞ （DF）
    19:04:33.411006 server.33152 ＞ client.113: S 99370916:99370916（0） win 8760 ＜mss 1460＞ （DF）
    19:04:40.161052 server.33152 ＞ client.113: S 99370916:99370916（0） win 8760 ＜mss 1460＞ （DF）
    19:04:56.061130 server.33152 ＞ client.113: R 99370917:99370917（0） win 8760 （DF）
    19:04:56.070108 server.smtp ＞ client.1065: P 1:109（108） ack 1 win 10136 ＜nop,nop,timestamp 20471382 167656＞ （DF）

　　这里有问题了，我们看到server端试图连接client的113认证端口，然而client端并不会去回应它，server端从19点04分30秒到19点04分56秒尝试3次，费时26秒后，才放弃认证尝试，主动reset了client端的113ush后面的数据，而正是在这个过程中所花费的时间，使用户发送邮件时产生了漫长的等待。