我們在電視或者電影中經(jīng)常會看到這樣的情景，間諜或者警察，在某戶人家的電話線總線上，拉出一根電話分線，對這個電話進(jìn)行竊聽?，F(xiàn)在這種方法在網(wǎng)絡(luò)中也逐漸蔓延開來。

由于局域網(wǎng)中采用的是廣播方式，因此在某個廣播域中(往往是一個企業(yè)局域網(wǎng)就是一個廣播域)，可以監(jiān)聽到所有的信息報。而非法入侵者通過對信息包進(jìn)行分析，就能夠非法竊取局域網(wǎng)上傳輸?shù)囊恍┲匾畔?。如現(xiàn)在很多黑客在入侵時，都會把局域網(wǎng)稍描與監(jiān)聽作為他們?nèi)肭种暗臏?zhǔn)備工作。因為憑這些方式，他們可以獲得用戶名、密碼等重要的信息。如現(xiàn)在不少的網(wǎng)絡(luò)管理工具，號稱可以監(jiān)聽別人發(fā)送的郵件內(nèi)容、即時聊天信息、訪問網(wǎng)頁的內(nèi)容等等，也是通過網(wǎng)絡(luò)監(jiān)聽來實現(xiàn)的?？梢姡W(wǎng)絡(luò)監(jiān)聽是一把雙刃劍，用到正處，可以幫助我們管理員工的網(wǎng)絡(luò)行為;用的不好，則會給企業(yè)的網(wǎng)絡(luò)安全以致命一擊。

一、監(jiān)聽的工作原理。

要有效防止局域網(wǎng)的監(jiān)聽，則首先需要對局域網(wǎng)監(jiān)聽的工作原理有一定的了解。知己知彼，百戰(zhàn)百勝。只有如此，才能有針對性的提出一些防范措施。

現(xiàn)在企業(yè)局域網(wǎng)中常用的網(wǎng)絡(luò)協(xié)議是“以太網(wǎng)協(xié)議”。而這個協(xié)議有一個特點，就是某個主機(jī)A如果要發(fā)送一個主機(jī)給B，其不是一對一的發(fā)送，而是會把數(shù)據(jù)包發(fā)送給局域網(wǎng)內(nèi)的包括主機(jī)B在內(nèi)的所有主機(jī)。在正常情況下，只有主機(jī)B才會接收這個數(shù)據(jù)包。其他主機(jī)在收到數(shù)據(jù)包的時候，看到這個數(shù)據(jù)庫的目的地址跟自己不匹配，就會把數(shù)據(jù)包丟棄掉。

但是，若此時局域網(wǎng)內(nèi)有臺主機(jī)C，其處于監(jiān)聽模式。則這臺數(shù)據(jù)不管數(shù)據(jù)包中的ip地址是否跟自己匹配，就會接收這個數(shù)據(jù)包，并把數(shù)據(jù)內(nèi)容傳遞給上層進(jìn)行后續(xù)的處理。這就是網(wǎng)絡(luò)監(jiān)聽的基本原理。

在以太網(wǎng)內(nèi)部傳輸數(shù)據(jù)時，包含主機(jī)唯一標(biāo)識符的物理地址(MAC地址)的幀從網(wǎng)卡發(fā)送到物理的線路上，如網(wǎng)線或者光纖。此時，發(fā)個某臺特定主機(jī)的數(shù)據(jù)包會到達(dá)連接在這線路上的所有主機(jī)。當(dāng)數(shù)據(jù)包到達(dá)某臺主機(jī)后，這臺主機(jī)的網(wǎng)卡會先接收這個數(shù)據(jù)包，進(jìn)行檢查。如果這個數(shù)據(jù)包中的目的地址跟自己的地址不匹配的話，就會丟棄這個包。如果這個數(shù)據(jù)包中的目的地址跟自己地址匹配或者是一個廣播地址的話，就會把數(shù)據(jù)包交給上層進(jìn)行后續(xù)的處理。在這種工作模式下，若把主機(jī)設(shè)置為監(jiān)聽模式，則其可以了解在局域網(wǎng)內(nèi)傳送的所有數(shù)據(jù)。如果這些數(shù)據(jù)沒有經(jīng)過加密處理的話，那么后果就可想而知了。

二、常見的防范措施。

1、采用加密技術(shù)，實現(xiàn)密文傳輸。

從上面的分析中，我們看到，若把主機(jī)設(shè)置為監(jiān)聽模式的話，則局域網(wǎng)中傳輸?shù)娜魏螖?shù)據(jù)都可以被主機(jī)所竊聽。但是，若竊聽者所拿到的數(shù)據(jù)是被加密過的，則其即使拿到這個數(shù)據(jù)包，也沒有用處，無法解密。這就好像電影中的電報，若不知道對應(yīng)的密碼，則即使獲得電報的信息，對他們來說，也是一無用處。

所以，比較常見的防范局域網(wǎng)監(jiān)聽的方法就是加密。數(shù)據(jù)經(jīng)過加密之后，通過監(jiān)聽仍然可以得到傳送的信息，但是，其顯示的是亂碼。結(jié)果是，其即使得到數(shù)據(jù)，也是一堆亂碼，沒有多大的用處。

現(xiàn)在針對這種傳輸?shù)募用苁侄斡泻芏?，最常見的如IPSec協(xié)議。Ipsec 有三種工作模式，一是必須強(qiáng)制使用，二是接收方要求，三是不采用。當(dāng)某臺主機(jī)A向主機(jī)B發(fā)送數(shù)據(jù)文件的時候，主機(jī)A與主機(jī)B是會先進(jìn)行協(xié)商，其中包括是否需要采用IPSec技術(shù)對數(shù)據(jù)包進(jìn)行加密。一是必須采用，也就是說，無論是主機(jī)A還是主機(jī)B都必須支持IPSec，否則的話，這個傳輸將會以失敗告終。二是請求使用，如在協(xié)商的過程中，主機(jī)A會問主機(jī)B，是否需要采用IPSec。若主機(jī)B回答不需要采用，則就用明文傳輸，除非主機(jī)A的IPSec策略設(shè)置的是必須強(qiáng)制使用。若主機(jī)B回答的是可以用IPSec加密，則主機(jī)A就會先對數(shù)據(jù)包進(jìn)行加密，然后再發(fā)送。經(jīng)過IPSec技術(shù)加密過的數(shù)據(jù)，一般很難被解除。而且，重要的是這個加密、解密的工作對于用戶來說，是透明的。也就是說，我們網(wǎng)絡(luò)管理員之需要配置好IPSec策略之后，員工不需要額外的動作。是否采用IPSec加密、不采用會有什么結(jié)果等等，員工主機(jī)之間會自己進(jìn)行協(xié)商，而不需要我們進(jìn)行額外的控制。

在使用這種加密手段的時候，唯一需要注意的就是如何設(shè)置IPSec策略。也就是說，什么時候采用強(qiáng)制加密，說明時候采用可有可無的。若使用強(qiáng)制加密的情況下，一定要保證通信的雙方都支持IPSec技術(shù)，否則的話，就可能會導(dǎo)致通信的不成功。最懶的方法，就是不管三七二十一，給企業(yè)內(nèi)的所有電腦都配置IPSec策略。雖然，都會在增加一定的帶寬，給網(wǎng)絡(luò)帶來一定的壓力，但是，基本上，這不會對用戶產(chǎn)生多大的直接影響。或者說，他們不能夠直觀的感受到由于采用了IPSec技術(shù)而造成的網(wǎng)絡(luò)性能減慢。

2、利用路由器等網(wǎng)絡(luò)設(shè)備對網(wǎng)絡(luò)進(jìn)行物理分段。

我們從上面的以太網(wǎng)工作原理的分析中可以知道，如果銷售部門的某位銷售員工發(fā)送給銷售經(jīng)理的一份文件，會在公司整個網(wǎng)絡(luò)內(nèi)進(jìn)行傳送。我們?nèi)裟軌蛟O(shè)計一種方案，可以讓銷售員工的文件直接給銷售經(jīng)理，或者至少只在銷售部門內(nèi)部的員工可以收的到的話，那么，就可以很大程度的降低由于網(wǎng)絡(luò)監(jiān)聽所導(dǎo)致的網(wǎng)絡(luò)安全的風(fēng)險。

如我們可以利用路由器來分離廣播域。若我們銷售部門跟其他部門之間不是利用共享式集線器或者普通交換機(jī)進(jìn)行連接，而是利用路由器進(jìn)行連接的話，就可以起到很好的防范局域網(wǎng)監(jiān)聽的問題。如此時，當(dāng)銷售員A發(fā)信息給銷售經(jīng)理B的時候，若不采用路由器進(jìn)行分割，則這份郵件會分成若干的數(shù)據(jù)包在企業(yè)整個局域網(wǎng)內(nèi)部進(jìn)行傳送。相反，若我們利用路由器來連接銷售部門跟其他部門的網(wǎng)絡(luò)，則數(shù)據(jù)包傳送到路由器之后，路由器會檢查數(shù)據(jù)包的目的IP地址，然后根據(jù)這個IP地址來進(jìn)行轉(zhuǎn)發(fā)。此時，就只有對應(yīng)的IP地址網(wǎng)絡(luò)可以收到這個數(shù)據(jù)包，而其他不相關(guān)的路由器接口就不會收到這個數(shù)據(jù)包。很明顯，利用路由器進(jìn)行數(shù)據(jù)報的預(yù)處理，就可以有效的減少數(shù)據(jù)包在企業(yè)網(wǎng)絡(luò)中傳播的范圍，讓數(shù)據(jù)包能夠在最小的范圍內(nèi)傳播。

不過，這個利用路由器來分段的話，有一個不好地地方，就是在一個小范圍內(nèi)仍然可能會造成網(wǎng)絡(luò)監(jiān)聽的情況。如在銷售部門這個網(wǎng)絡(luò)內(nèi)，若有一臺主機(jī)被設(shè)置為網(wǎng)絡(luò)監(jiān)聽，則其雖然不能夠監(jiān)聽到銷售部門以外的網(wǎng)絡(luò)，但是，對于銷售部門內(nèi)部的主機(jī)所發(fā)送的數(shù)據(jù)包，仍然可以進(jìn)行監(jiān)聽。如財務(wù)經(jīng)理發(fā)送一份客戶的應(yīng)手帳款余額表給銷售經(jīng)理的話，有路由器轉(zhuǎn)發(fā)到銷售部門的網(wǎng)絡(luò)后，這個數(shù)據(jù)包仍然會到達(dá)銷售部門網(wǎng)絡(luò)內(nèi)地任一主機(jī)。如此的話，只要銷售網(wǎng)絡(luò)中有一臺網(wǎng)絡(luò)主機(jī)被設(shè)置為監(jiān)聽，就仍然可以竊聽到其所需要的信息。不過若財務(wù)經(jīng)理發(fā)送這份文件給總經(jīng)理，由于總經(jīng)理的網(wǎng)段不在銷售部門的網(wǎng)段，所以數(shù)據(jù)包不會傳送給財務(wù)部門所在的網(wǎng)絡(luò)段，則銷售部門中的偵聽主機(jī)就不能夠偵聽到這些信息了。