網絡監聽的檢測方式如下:
PING方法:大多數非法的網絡監聽程序都是運行在網絡中安裝了TCP/IP協議棧的主機上,這就意味著如果向這些計算機發送一個請求,它們將產生回應。PING方法就是向可疑主機發送包含正確IP地址和錯誤MAC地址的PING包。沒有運行網絡監聽程序的主機將忽略該幀,不產生回應。如果得到回應,那么說明可疑主機確實在運行網絡監聽程序。目前針對這種檢測方法,有的網絡監聽程序已經增加了虛擬地址過濾功能。而且從這種方法可以引申出其他方法:任何產生回應的協議都可以利用,比如TCP,UDP等。
ARP方法:共享介質環境中,利用ARP協議,由檢測主機通過創建并發送目的IP地址是可疑主機的IP,而MAC地址不同于此主機的ARP請求包,所有計算機都將收到這個ARP請求包,但只有運行了sniffer的主機的網卡驅動程序會直接將這個請求包傳送給內核協議棧進行處理,其他主機會丟棄這個ARP請求包。可以通過接收可疑主機是否有ARP應答包來判斷該主機的網卡是否處于混雜模式來進一步做出判斷。交換介質環境中,通過對ARP欺騙原理分析發現,當網絡中存在sniffer進行ARP欺騙時,會有以下兩種情況出現:一是出現源IP地址相同、源MAC地址不同的ARP沖突應答包,這是由于欺騙主機向目標主機發送構造的ARP應答包,而被騙主機在正常響應ARP請求時也會發送正確的ARP應答包,這樣網絡中就出現了兩種不同的ARP沖突應答包;二是為了達到穩定欺騙效果,某主機周期性發送ARP Reply包,且發包頻率高于正常的ARP包出現頻率。假定交換機是可管理的,可以得到通過交換機的所有數據拷貝,將運行反竊聽程序的主機接到交換機監聽口,監視流經交換機的所有ARP數據包,對收到的每一個ARP包進行IP?MAC地址對解析,再與緩存表中的地址對進行比較來判斷是否有監聽行為發生。
DNS反解析:非法的網絡監聽程序會發送DNS反向查詢數據,因此,可以通過檢測它產生的DNS傳輸流進行判斷。檢測者通過監聽 DNS 服務器接收到的反向域名查詢數據,可以判斷對這些地址進行反向查詢的機器就是在查詢包中所包含的IP地址,也就是說在運行非法的網絡監聽程序。由于DNS反解析檢測sniffer是利用執行者的主觀行為,因此有一定的局限性。
時間延時方法:時間延時方法也稱為負載檢測。這種方法在網絡中發送大量數據,這對設置在非混雜模式的機器沒有影響,但是對運行sniffer程序的機器有影響,特別是用于口令的語法分析應用層協議。只要在發送數據之前以及發送數據之后,PING主機對比兩次的響應時間差別就可以檢測。這種方法很有效,甚至比內核協議棧反射原理還有用,但實際應用中仍然有很大的局限性,發送大量的數據增加sniffer主機的負載沒有問題,主要是使用什么樣的方法來反映主機負載。許多操作系統的TCP/IP協議棧總是對PING包盡快做出響應,一收到PING請求包,系統就立即應答,主機負載不明顯。當然可以采用優先級比較低的 TCP 層以上的服務,如FTP,TELnet,但是有經驗的sniffer會關閉相應的服務,從而無法實現主機負載的檢測。
流量特征方式:交換方式下Sniffer行為的一個特征是其他主機的流量被引流到Sniffer主機,然后這些流量被Sniffer主機重新發送到網關。在這種方式下,很可能出現sniffer主機流量非常的大,同時進出流量基本相等的外部表現,通過網絡管理口捕獲數據包的方法可以及時發現這一反常特征,從而檢測運行非法網絡監聽程序的主機。
回答所涉及的環境:聯想天逸510S、Windows 10。
網絡監聽的檢測方式如下:
PING方法:大多數非法的網絡監聽程序都是運行在網絡中安裝了TCP/IP協議棧的主機上,這就意味著如果向這些計算機發送一個請求,它們將產生回應。PING方法就是向可疑主機發送包含正確IP地址和錯誤MAC地址的PING包。沒有運行網絡監聽程序的主機將忽略該幀,不產生回應。如果得到回應,那么說明可疑主機確實在運行網絡監聽程序。目前針對這種檢測方法,有的網絡監聽程序已經增加了虛擬地址過濾功能。而且從這種方法可以引申出其他方法:任何產生回應的協議都可以利用,比如TCP,UDP等。
ARP方法:共享介質環境中,利用ARP協議,由檢測主機通過創建并發送目的IP地址是可疑主機的IP,而MAC地址不同于此主機的ARP請求包,所有計算機都將收到這個ARP請求包,但只有運行了sniffer的主機的網卡驅動程序會直接將這個請求包傳送給內核協議棧進行處理,其他主機會丟棄這個ARP請求包。可以通過接收可疑主機是否有ARP應答包來判斷該主機的網卡是否處于混雜模式來進一步做出判斷。交換介質環境中,通過對ARP欺騙原理分析發現,當網絡中存在sniffer進行ARP欺騙時,會有以下兩種情況出現:一是出現源IP地址相同、源MAC地址不同的ARP沖突應答包,這是由于欺騙主機向目標主機發送構造的ARP應答包,而被騙主機在正常響應ARP請求時也會發送正確的ARP應答包,這樣網絡中就出現了兩種不同的ARP沖突應答包;二是為了達到穩定欺騙效果,某主機周期性發送ARP Reply包,且發包頻率高于正常的ARP包出現頻率。假定交換機是可管理的,可以得到通過交換機的所有數據拷貝,將運行反竊聽程序的主機接到交換機監聽口,監視流經交換機的所有ARP數據包,對收到的每一個ARP包進行IP?MAC地址對解析,再與緩存表中的地址對進行比較來判斷是否有監聽行為發生。
DNS反解析:非法的網絡監聽程序會發送DNS反向查詢數據,因此,可以通過檢測它產生的DNS傳輸流進行判斷。檢測者通過監聽 DNS 服務器接收到的反向域名查詢數據,可以判斷對這些地址進行反向查詢的機器就是在查詢包中所包含的IP地址,也就是說在運行非法的網絡監聽程序。由于DNS反解析檢測sniffer是利用執行者的主觀行為,因此有一定的局限性。
時間延時方法:時間延時方法也稱為負載檢測。這種方法在網絡中發送大量數據,這對設置在非混雜模式的機器沒有影響,但是對運行sniffer程序的機器有影響,特別是用于口令的語法分析應用層協議。只要在發送數據之前以及發送數據之后,PING主機對比兩次的響應時間差別就可以檢測。這種方法很有效,甚至比內核協議棧反射原理還有用,但實際應用中仍然有很大的局限性,發送大量的數據增加sniffer主機的負載沒有問題,主要是使用什么樣的方法來反映主機負載。許多操作系統的TCP/IP協議棧總是對PING包盡快做出響應,一收到PING請求包,系統就立即應答,主機負載不明顯。當然可以采用優先級比較低的 TCP 層以上的服務,如FTP,TELnet,但是有經驗的sniffer會關閉相應的服務,從而無法實現主機負載的檢測。
流量特征方式:交換方式下Sniffer行為的一個特征是其他主機的流量被引流到Sniffer主機,然后這些流量被Sniffer主機重新發送到網關。在這種方式下,很可能出現sniffer主機流量非常的大,同時進出流量基本相等的外部表現,通過網絡管理口捕獲數據包的方法可以及時發現這一反常特征,從而檢測運行非法網絡監聽程序的主機。
回答所涉及的環境:聯想天逸510S、Windows 10。