文献综述

文献综述

课题研究的背景：

随着Internet应用的日益普及，Internet技术广泛应用于各行各业，为资

源共享、信息交换和分布处理提供了良好的环境。计算机网络具备分布广域性、体系结构开放性、资源共享性和信道共用性的特点，因此增加了网络的实用性，同时也不可避免地带来系统的脆弱性，使其面临严重的安全问题。现在人们对计算机信息安全要求越来越高，随着计算机网络的资源共享进一步加强，随之而来的网络安全问题使得计算机网络安全保护将会变得越来越重要。

网络监听是信息安全领域内一项非常重要和实用的技术，它的起源是网络管理员为了诊断网络故障的需要，而监听网络中传输的数据信息。在网络管理和维护中，网络管理和维护人员常常利用网络监听技术监控网络当前的信息状况、网络流量，进行网络访问统计分析等等。更重要的是，可以发现网络中存在的漏洞和隐患，提高网络和系统的安全性。但在实际应用中，网络监听技术往往被黑客加以利用，用来窃取网络用户的机密资料。对于一般网站来说，被网络监听往往意味着用户个人隐私资料的丢失；而对于金融机构，恶意的网络监听更会带来难

以弥补的金钱和信用损失。

在防范网络攻击方面，通过数据截取及分析输出结果可以捕获到透过防火墙而进入网络的非法数据，成功的监视记录黑客的入侵过程，保障网络的安全。而且数据截取和协议分析是入侵检测系统的重要部分，是入侵检测系统的最基础的环节。因此网络监听无论是在网络攻击还是安全防御方面都扮演着重要的角色。

课题研究现状：

在信息技术快速发展的今天，信息安全已经成为当前计算机研究一个主要领域。网络安全分为内部网络安全和外部网络安全，一般都采用防火墙或者在网络设备上设置参数隔离的方法对外部信息的恶意攻击进行监控，检测和阻止来保证外部网络的安全性；内部网络安全主要采取对网络活动的跟踪监控，提高对网络信息过滤的能力。对内部网络监控目前主要采用的是网络监听技术，自从这一技术诞生以来产生的大量的可工作在各种平台上相关软硬件工具，管理员使用这种网络监听工具，可以监视网络的状态，数据流动的情况以及网络上传输的信息，起到防止攻击或克服内部网络缺陷的作用。

在网络上，网络监听效果最好的地方是在网关、路由器、防火墙一类的设备

处，通常由网络管理员来操作。使用最方便的是在一个以太网中的任何一台上网

的主机上，它可以在不同的操作平台上进行监听。目前有很多能实现监听功能优

秀软件：

1）Sniffit：由Lawrence Berkeley实验室开发，运行于Solaris、SGI和Linux

等平台。可以选择源、目标地址或地址集合，还可选择监听的端口，协议和网络接口等。

2）NetXRay：在Windows9X和WindowsNT上，NetXRay是一个功能强大、使用方便的协议分析和网络监控工具。它是一个优秀的软件，能监控多个网段，并且允许多监控实例存在，同时还能捕捉所需要的任何类型的报文。使用NetXRay还可以设置许多过滤条件，而且其操作界面也比较漂亮。

3）Tcpdump：Tcpdump是网络管理员的强大监听工具。它是从应用程序中读入网络上有关的大量分组信息，与指定准则进行匹配来过滤这些分组信息。但是UNIX平台上的监听软件，界面都不是很友好，操作性不强。

4）WinPcap：WinPcap是由伯克利分组捕获库派生而来的分组捕获库，它是在Windows 操作平台上来实现对底层包的截取过滤。WinPcap为用户级的数据包提供了Windows下的一个平台。

目前使用的最多的是Sniffit、WinPcap监听软件，由于在Unix和Linux系统中，发送这些命令需要超级用户的权限，这一点限制了在UNIX系统中，普通用户是不能进行网络监听的，只有获得超级用户权限，才能进行网络监听，而在Windows操作系统中，则没有这个限制，只要运行这一类的监听软件即可；目前网络数据捕获器大多数是基于过滤器技术来实现的，大多数的过滤程序都是建立在伯克利实验室的Libpcap基础之上的。因此本文涉及的是在以太网环境下并在Windows操作系统中，使用数据捕获器WinPcap这一软件实现对底层数据进行监听。

由监听技术发展的现状来看，目前主流的网络监听工具软件几乎都是国外生产的软件。随着中国信息技术的发展，监听系统必将大有用武之地，因此监听技术的研究势在必行。

课题研究综述：

网络监听器俗称嗅探器(Sniffer)，它是一种与网络安全性密切相关的应用工具。它的完整定义是——利用计算机的网络接口截获目的地为其它计算机的数据报文的一种工具。

在应用中，网络管理员可以使用网络监听器获取网络的当前流量状况；程序员可以利用监听器来监视网络程序的运行状态；对于黑客而言，网络监听工具也是黑客的常用工具。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以源源不断地将网上传输的信息截获。

网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关或远程网的调制解调器之间等。

黑客用得最多的是截获用户的口令。当黑客成功地登录进一台网络上的主机，并取得了该主机的超级用户权限后，往往要扩大战果，尝试登录或者夺取网络中其他主机的控制权。而网络监听则是一种最简单且最有效的方法，能轻易地获得用其他方法很难获得的信息。

在网络上，监听效果最好的地方是在网关、路由器、防火墙一类的设备处，通常由网络管理员来操作。使用最方便的是在一个以太网中的任何一台上网的主机上，这也是大多数黑客的做法。

课题研究原理：

以太网（Ethernet）具有共享介质的特性，信息是以明文的形式在网络传输，当网络适配器设置为监听模式（混杂模式，Promiscuous）时，由于采用以太网广播信道争用和共享介质的方式，使得监听系统与正常通信的网络能够并联连接，并可以捕获任何一个在同一冲突域上传输的数据包。IEEE802.3标准的以太网采用的是持续CSMA的方式，正是由于以太网采用这种广播信道争用的方式，使得各个站点都可以获得其他站点发送的数据。运用这一原理使得信息捕获系统能够拦截我们所要的信息，这是捕获数据包的物理基础。

以太网是一种总线型的网络，从逻辑上来看是由一条总线和多个连接在总线上的站点所组成的，各个站点采用上面提到的CSMA/CD协议进行信道的争夺和共享。由每个站点网卡来实现这种功能。网卡主要的工作是完成对于总线当前状态的探测，确定是否进行数据的传送，判断每个物理数据帧目的地是否为本站地址，如果不匹配，则说明不是发送到本站的而将他丢弃。如果是为本地地址，就接收该数据帧，进行物理数据帧的CRC校验，然后将数据帧提交给LLC子层。

正常的数据包过滤机制如图2-1所示：

图2-1 正常的数据包过滤机制