详解“局域网监听”工作原理和常见“局域网监听”防范措施

一、“局域网监听”的工作原理

　　　局域网中常用的网络协议是“以太网协议”。而这个协议有一个特点，如果主机B如果要发送一个数据给主机给A，它不是一对一的发送，而是会把数据包发送给局域网内的包括主机A在内的所有主机(多个主机)。在正常情况下，只有主机A才会接收这个数据包。其他的主机在收到主机B发出的数据包的时候，看到主机B发出的数据库的目的地址和自己不匹配，就会把主机B这个数据包丢弃掉，不接受主机B发出的数据包。

　　若此时局域网内有台主机C，它处于监听状态。则这台(主机C)数据不管数据包中的IP地址是否跟自己匹配，就会接收主机B发出的这个数据包，并把数据包的内容传递给上层进行后续的处理。这就是网络监听的基本原理。

　　
二、“局域网监听”的常见防范措施

　　1、利用路由器等网络设备对网络进行物理分段

　　我们从上面的以太网工作原理的分析中可以知道，如果公司的员工发送给经理一份文件，会在这个公司的整个网络内进行传送。我们若能够设计一种方案，可以让销售员工的文件直接给销售经理，或者至少只在公司内部的员工可以收的到的话，那么，就可以很大程度的降低由于网络监听所导致的网络安全的风险。

　　我们可以利用路由器来分离广播域。若我们某部分跟其他部门之间不是利用普通交换机或者共享式集线器进行连接，而是利用路由器进行连接的话，就可以起到很好的防范局域网监听的问题。如此时，当销售员A发信息给销售经理B的时候，若不采用路由器进行分割，则这份邮件会分成若干的数据包在企业整个局域网内部进行传送。相反，若我们利用路由器来连接销售部门跟其他部门的网络，则数据包传送到路由器之后，路由器会检查数据包的目的IP地址，然后根据这个IP地址来进行转发。此时，就只有对应的IP地址网络可以收到这个数据包，而其他不相关的路由器接口就不会收到这个数据包。很明显，利用路由器进行数据报的预处理，就可以有效的减少数据包在企业网络中传播的范围，让数据包能够在最小的范围内传播。

　　不过，这个利用路由器来分段的话，有一个弊端，就是在一个小范围内仍然可能会造成网络监听的情况。如在销售部门这个网络内，若有一台主机被设置为网络监听，则其虽然不能够监听到销售部门以外的网络，对于销售部门内部的主机所发送的数据包，仍然可以进行监听。如财务经理发送一份客户的资料给销售经理的话，由路由器转发到销售部门的网络后，这个数据包仍然会到达销售部门网络内地任一主机。如此的话，只要销售网络中有一台网络主机被设置为监听，就仍然可以窃听到其所需要的信息。不过若财务经理发送这份文件给总经理，由于总经理的网段不在销售部门的网段，所以数据包不会传送给财务部门所在的网络段，则销售部门中的侦听主机就不能够侦听到这些信息了。

　　另外，采用路由器进行网络分段外，还有一个好的副作用，就是可以减轻网络带宽的压力。若数据包在这个网络内进行传播的话，会给网络带来比较大的压力。相反，通过路由器进行网络分段，从而把数据包控制在一个比较小的范围之内，那么显然可以节省网络带宽，提高网络的性能。特别是企业在遇到DDOS等类似攻击的时候，可以减少其危害性。　　

    2、采用加密技术，实现密文传输

　　数据经过加密之后，通过监听仍然可以得到传送的信息，但是，其显示的是乱码。结果是，其即使得到数据，也是一堆乱码，没有多大的用处。

　　现在针对这种传输的加密手段有很多，最常见的如IPSec协议。Ipsec有三种工作模式，一是接收方要求，二是不采用，三是必须强制使用。当某台主机A向主机B发送数据的时候，主机A与主机B是会先进行协商，其中包括是否需要采用IPSec技术对数据包进行加密。一是必须采用，无论是主机A还是主机B都必须支持IPSec，否则的话，这个传输将会以失败告终。二是请求使用，如在协商的过程中，主机A会问主机B，是否需要采用IPSec。若主机B回答不需要采用，则就用明文传输，除非主机A的IPSec策略设置的是必须强制使用。若主机B回答的是可以用IPSec加密，则主机A就会先对数据包进行加密，然后再发送。经过IPSec技术加密过的数据，一般很难被破解。而且，重要的是这个加密、解密的工作对于用户来说，是透明的。也就是说，我们网络管理员之需要配置好IPSec策略之后，员工不需要额外的动作。是否采用IPSec加密、不采用会有什么结果等等，员工主机之间会自己进行协商，而不需要我们进行额外的控制。