一些竊聽的實現需要打破原有的工作機制,如對加密后密文的竊聽需要對獲取的密文進行破解后才能得到明文信息。而有些竊聽的實現則利用了網絡已有的工作機制,如目前廣泛使用的以太網是一種廣播類型的分組網絡,任何一臺接入以太網的計算機都可以接收到本網段中的廣播分組,當網卡設置為混雜模式時可以接收到本網段中的所有分組,若網絡通信沒有采用加密機制,便可以通過協議分析獲知全部的報文信息。例如,無線局域網(Wireless Local Area Networks,WLAN)目前采用2.4GHz和5.0GHz兩個微波頻段通信,由于微波信號以電磁波的形式在開放空間中傳輸,所以任何一臺工作在該頻段的設備在信號傳輸的有效范圍內都可以接收到承載著各類信息的信號,然后通過信號分析便可以恢復得到原始信號。
流量分析
數據在網絡中傳輸時都以流量進行描述,流量分析建立在數據攔截的基礎上,對截獲的數據根據需要進行定向分析。Internet中,流量在節點之間傳輸時都需要遵循TCP/IP體系結構所確定的協議,在分層模型中每一層對網絡流量的格式定義稱為協議數據單元(Protocol Data Unit,PDU)。其中,物理層的PDU稱為數據位(bit),數據鏈路層的PDU稱為數據幀(frame),網絡層的PDU稱為分組(packet),傳輸層的PDU稱為數據段(segment),應用層的PDU統一稱為報文(message)。
被動攻擊的惡意網絡行為有竊聽和流量分析兩種方式。被動攻擊是利用網絡存在的漏洞和安全缺陷對網絡系統的硬件、軟件及系統中的數據進行的攻擊。被動攻擊一般不會對數據進行篡改,而是利用截取或竊聽等方式在未經用戶授權的情況下對消息內容進行獲取,或者對業務數據流進行分析。
竊聽
竊聽原本指偷聽別人之間的談話,隨著通信技術的應用和發展,竊聽的含義早已超出了偷聽和搭線截聽電話的概念,開始借助于技術手段竊取網絡中的信息,既包括以明文形式保存和傳輸的信息,也包括通過數據加密技術處理后的密文信息。
一些竊聽的實現需要打破原有的工作機制,如對加密后密文的竊聽需要對獲取的密文進行破解后才能得到明文信息。而有些竊聽的實現則利用了網絡已有的工作機制,如目前廣泛使用的以太網是一種廣播類型的分組網絡,任何一臺接入以太網的計算機都可以接收到本網段中的廣播分組,當網卡設置為混雜模式時可以接收到本網段中的所有分組,若網絡通信沒有采用加密機制,便可以通過協議分析獲知全部的報文信息。例如,無線局域網(Wireless Local Area Networks,WLAN)目前采用2.4GHz和5.0GHz兩個微波頻段通信,由于微波信號以電磁波的形式在開放空間中傳輸,所以任何一臺工作在該頻段的設備在信號傳輸的有效范圍內都可以接收到承載著各類信息的信號,然后通過信號分析便可以恢復得到原始信號。
流量分析
數據在網絡中傳輸時都以流量進行描述,流量分析建立在數據攔截的基礎上,對截獲的數據根據需要進行定向分析。Internet中,流量在節點之間傳輸時都需要遵循TCP/IP體系結構所確定的協議,在分層模型中每一層對網絡流量的格式定義稱為協議數據單元(Protocol Data Unit,PDU)。其中,物理層的PDU稱為數據位(bit),數據鏈路層的PDU稱為數據幀(frame),網絡層的PDU稱為分組(packet),傳輸層的PDU稱為數據段(segment),應用層的PDU統一稱為報文(message)。
流量分析攻擊可以針對分層結構的每一層,最直接的是通過對應用層報文的攻擊直接獲得用戶的數據。對于傳輸層及其以下層的PDU雖然無法直接獲得具體的信息,但攻擊者通過對獲取的PDU的分析,便可以確定通信雙方的MAC地址、IP地址、通信時長等,進而確定通信雙方所在位置、傳輸的數據類型、通信的頻度等,這些信息為進一步實施后續的攻擊提供了重要依據。例如,通過對通信雙方所占用帶寬和通信時長的分析,便可以知道雙方信息交換的信息類型;通過對流量的協議分析,便可以推斷出用戶數據的類型;通過對異常流量的分析,可以判定網絡是否存在攻擊等。
回答所涉及的環境:聯想天逸510S、Windows 10。