监听方式

监听方式（精选9篇）

监听方式 篇1

0 引言

由于以太网技术的迅猛发展，以太网几乎已深入到人们工作、生活的每一个角落。各种行业系统、平台系统也都越来越依赖于以太网技术，组成各种规模的局域网。为方便各种系统安装时对接调试，以及在系统出现问题时查找原因，验证系统工作的正确性和稳定性，常常需要在局域网中进行网络数据监听，并对录取的数据进行分析。而局域网组网中最常用的办法是通过集线器或交换机进行组网，本文主要讨论了利用这两种设备进行组网监听的技术原理和特点，并作比较分析。

1 以太网通信原理

以太网遵循IEEE 802.3系列协议，在以太网中每个设备或端口都有一个唯一的地址用于表明自己的身份，这个唯一地址叫做物理地址，也叫MAC地址，采用48位编码。每个以太网数据帧都通过物理地址来表明该数据帧来自哪里，要到哪里，其数据帧格式如图1所示。

由以太网数据帧格式可以看到，每个帧的帧头包含了目的地址和源地址，源地址即该数据帧发送端设备的MAC地址，目的地址即该数据帧应到达的目的设备的MAC地址。如果目的地址最高位是0，该目的地址对应唯一目的设备，数据帧发往目的地址指定设备;如果目的地址最高位是1，该目的地址为组播地址，数据帧发送到本组内所有站点;如果目的地址全为1，该目的地址为广播地址，数据帧发送到本地网络上所有站点。局域网中的各站点收到该数据帧后，根据目的地址判断本节点是否应接收数据。

而监听是一种特殊工作模式，要使主机工作在监听模式下，需要向网络接口发出I/O控制命令，将其设置为监听模式。当主机工作在监听模式时，所有经过该站点的数据帧都将被交给上层协议软件处理。

2 利用集线器进行监听

2.1 集线器工作原理

集线器是一种总线型以太网设备，其端口速度一般为10M或10/100M自适应，其带宽被所有端口共享，通过CSMA/CD技术实现对共享带宽的访问控制。CSMA/CD是英文Carrier Sense Multiple Access with Collision Detection的缩写，即载波侦听和碰撞检测。CSMA/CD访问控制方式主要用于总线形和树形网络拓扑结构的基带传输系统，每一个结点在利用总线发送数据时，首先要侦听总线的忙、闲状态。如总线上已经有数据信号传输，则为总线忙;如总线上没有数据信号传输，则为总线空闲。当某工作站检测到信道被占用后，就延迟一个随机时间，然后再检测，不断重复上述过程，直到发现信道空闲后开始发送信息。当信道处于空闲时，某一个瞬间，如果总线上两个或两个以上的工作站同时都想发送信息，那么该瞬间它们都可能检测到信道是空闲的，同时都认为可以发送信息，从而一起发送，这就产生了冲突;另一种情况是某站点侦听到信道是空闲的，而这种空闲可能是较远站点已经发送了信包，但由于在传输介质上信号传送的延时，信包还未传送到此站点的缘故，如果此站点又发送信息，则也将产生冲突。一旦出现冲突，则所有站点停止发送数据，重新回到检测信道状态。

2.2 集线器监听方法

集线器作为一种共享介质的网络设备，本身不能识别目的地址，无论是从哪一个端口接收数据帧，都以广播的形式发送给其余的所有端口，由连接在这些端口上的站点判断处理这些信息，符合的留下处理，否则丢弃掉。集线器监听方法就是利用集线器的技术原理，把监听设备接到集线器的任意一个端口，其他所有端口的数据所发的数据都能经过监听设备，从而被监听设备录取。如图1所示，某系统各设备接在1个集线器上，监听设备接在集线器的任意端口，便能监听到所需数据。

图1利用集线器进行网络监听(参见下页)

如果系统设备较多，一个集线器不够用，可以通过集线器级联的方式来解决，监听设备接在任意集线器的任意端口，也能监听全网数据，如图2所示。由于集线器是一种总线型以太网设备，两个或多个集线器互相级联时，仍属于一个总线，在进行载波侦听时，将侦听所有集线器的端口。需要特别说明的是，在进行该拓扑连接之前应先确认整个网络的数据流量小于集线器带宽，否则会在网上不断产生冲突，导致网络瘫痪。

3 利用交换机进行监听

3.1 交换机工作原理

交换机是一种交换式以太网设备，其技术发展较快，端口速度从10M到100M再发展到1000M，推动以太网带宽不断升级，是以太网不断发展壮大的助推器。按照OSI的7层网络模型，交换机又可以分为第二层交换机、第三层交换机、第四层交换机等等，一直到第七层交换机，其中基于MAC地址工作的第二层交换机最为普遍。

当第二层交换机从某一端口收到一个数据帧后，将立即在其内存中的MAC地址表中进行查找，以确认该目的MAC的网卡连接在哪一个端口上，然后将该帧转发至该端口。如果在地址表中没有找到该MAC地址，也就是说，该目的MAC地址是首次出现，交换机就将数据帧广播到所有端口。拥有该MAC地址的网卡在接收到该广播帧后，将立即做出应答，从而使交换机将其端口的“MAC地址”添加到MAC地址表中。换言之，当交换机从某一端口收到一个帧时(广播帧除外)，将对地址表执行两个动作，一是检查该帧的源MAC地址是否已在地址表中，如果没有，则将该MAC地址加到地址表中，这样以后就知道该MAC地址在哪一个端口;二是检查该帧的目的MAC地址是否已在地址表中，如果该MAC地址已在地址表中，则将该帧发送到对应的端口即可，而不将该帧发送到所有端口，只须将该帧发送到对应的端口，从而使那些既非源端口又非目的端口的端口间仍然可以进行相互间的通信。如果该MAC地址不在地址表中，则将该帧发送到其他所有端口(源端口除外)，相当于该帧是一个广播帧。

其他三层、四层交换机都是在二层交换机的基础上增加了对应的转发功能，在此不再讲述。

显然，在正常情况下，交换机将所有数据都按目的地址发送到对应端口，监听设备接在交换机上是无法监听到报文的。交换机的监听功能是通过端口镜像技术来实现的，该技术需要对交换机的寄存器进行配置。通过配置，可以选择一个交换机端口作为镜像口，其它几个或所有端口作为被镜像口。配置完成后，被镜像口的数据便被镜像到监听口，此时，将监听设备接到镜像口，便能监听到所需数据。

因此不是所有交换机都能用于监听，应根据交换机功能介绍，选择具有监听功能的交换机。而且不同厂家交换机的监听能力也各不相同，需要甄别。

3.2 交换机监听方法

在利用交换机进行监听时，应先对交换机进行监听配置，指定某一端口为镜像口，其他部分或所有端口为被镜像口。系统各设备应接在被镜像口，监听设备接在镜像口。以思科公司的WS-C2950-24交换机为例，将1～4口设成被镜像口，24口设成镜像口，其拓扑结构如图3所示。

主要配置命令如下：

完成上述配置后，进入交换机1～4口的所有数据将被镜像到24口，此时将监听设备接到交换机24口，运行监听软件，便能把1～4口的数据录取下来。当然，进行该监听配置之前也应该先确认被镜像的数据流量不超过镜像口的最大流量，否则就会导致镜像口堵塞，从而导致镜像口丢包，导致无法录取全部数据。

4 两种监听方式的对比分析

上述两种局域网监听方式各有其优缺点：

(1)集线器局域网监听时，监听设备可随意接在集线器的任意端口，不需要进行配置，比较容易实现;而交换机局域网监听时，必须先对交换机进行镜像配置，监听设备只能接在镜像口上，应用较为复杂。

(2)集线器局域网监听时，监听设备只能监听所有站点的数据，效率较低;而交换机局域网监听时，可以根据实际需要任意监听指定端口的数据，效率较高。

(3)集线器局域网监听时，由于是总线型网络，站点多了容易产生冲突和广播风暴，严重时导致网络瘫痪，只适用于小型网络;而交换机局域网监听时，不会产生冲突，并可根据需要划分VLAN，隔离广播风暴，可适用于较大的网络。

(4)集线器价格较低，成本约几十元;交换机价格较高，从几千元到几万元不等，功能越强，价格越高。

可见，集线器局域网监听方式只适用于小型网络，而交换机局域网监听方式应用范围较广，但是应用较为复杂，成本较高。

5 结束语

本文从原理上对集线器和交换机两种局域网数据监听方式进行了分析，并比较了各自的优缺点。虽然网络监听是黑客惯用手段，但是作为一门技术，并不妨碍我们深入研究。

摘要：为了进行数据监听,在局域网中最常用的办法是采用集线器或交换机组网,并把监听设备接到局域网中进行监听。本文从原理上对这两种办法进行了分析,并比较各自的优缺点,在实际应用中可根据自身情况选择其中一种监听方式。

关键词：集线器,交换机,局域网,监听

参考文献

[1]周跃东.计算机网络工程实训[M].西安:西安电子科技大学出版社,2009,2.

[2]傅连仲.计算机网络系统集成与实践[M].北京:电子工业出版社,2005,3.

[3]陈代武.计算机网络技术[M].北京:北京大学出版社,2009,8.

[4]汪洋,祝跃飞,刘胜利,等.交换式局域网监听技术研究与实现[J].计算机应用研究,2005(11):205-207,211.

[5]梁亚声,王建林,李佳.计算机组网实用技术[M].北京:国防工业出版社,2006,7.

[6]张蒲生.局域网技术[M].北京:人民邮电出版社,2007,9.

[7]王廷尧,等.以太网技术与应用[M].北京:人民邮电出版社,2005,1.

监听方式 篇2

网络监听的原理

Ethernet(以太网，它是由施乐公司发明的一种比较流行的局域网技术，它包含一条所有计算机都连接到其上的一条电缆，每台计算机需要一种叫接口板的硬件才能连接到以太网)协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包的主机的正确地址，因为只有与数据包中目标地址一致的那台主机才能接收到信息包，但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么，主机都将可以接收到。许多局域网内有十几台甚至上百台主机是通过一个电缆、一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是所说的数据链路层.网络接口不会识别IP地址的。在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太祯的祯头的信息。在祯头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址，这个48位的地址是与IP地址相对应的，换句话说就是一个IP地址也会对应一个物理地址。对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的祯中继携带的就是网关的物理地址。

Ethernet中填写了物理地址的祯从网络接口中，也就是从网卡中发送出去传送到物理的线路上。如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据祯进行检查，如果数据祯中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据祯交给IP层软件。对于每个到达网络接口的数据祯都要进行这个过程的。但是当主机工作在监听模式下的话，所有的数据祯都将被交给上层协议软件处理。

当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候，那么要是有一台主机处于监听模式，它还将可以接收到发向与自己不在同一个子网(使用了不同的掩码、IP地址和网关)的主机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。

在UNIX系统上，当拥有超级权限的用户要想使自己所控制的主机进入监听模式，只需要向Interface(网络接口)发送I/O控制命令，就可以使主机设置成监听模式了。而在Windows9x的系统中则不论用户是否有权限都将可以通过直接运行监听工具就可以实现了。

在网络监听时，常常要保存大量的信息(也包含很多的垃圾信息)，并将对收集的信息进行大量的整理，这样就会使正在监听的机器对其它用户的请求响应变的很慢。同时监听程序在运行的时候需要消耗大量的处理器时间，如果在这个时候就详细的分析包中的内容，许多包就会来不及接收而被漏走。所以监听程序很多时候就会将监听得到的包存放在文件中等待以后分析。分析监听到的数据包是很头疼的事情。因为网络中的数据包都非常之复杂。两台主机之间连续发送和接收数据包，在监听到的结果中必然会加一些别的主机交互的数据包。监听程序将同一TCP会话的包整理到一起就相当不容易了，如果你还期望将用户详细信息整理出来就需要根据协议对包进行大量的分析。Internet上那么多的协议，运行进起的话这个监听程序将会十分的大哦。

现在网络中所使用的协议都是较早前设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础。在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网上传输的，因此进行网络监听从而获得用户信息并不是一件难点事情，只要掌握有初步的TCP/IP协议知识就可以轻松的监听到你想要的信息的。前些时间美籍华人China-babble曾提出将望路监听从局域网延伸到广域网中，但这个想法很快就被否定了。如果真是这样的话我想网络必将天下大乱了。而事实上现在在广域网里也可以监听和截获到一些用户信息。只是还不够明显而已。在整个Internet中就更显得微不足道了。

下面是一些系统中的著名的监听程序，你可以自己尝试一下的。

Windows9x/NT NetXRay semxa.kstar.com/hacking/netxray.zip

DEC Unix/Linux Tcpdump semxa.kstar.com/hacking/management.zip

Solaris Nfswatch semxa.kstar.com/hacking/nfswatch.zip

SunOS Etherfind semxa.kstar.com/hacking/etherfind012.zip

检测网络监听的方法

网络监听在上述中已经说明了，

它是为了系统管理员管理网络，监视网络状态和数据流动而设计的。但是由于它有着截获网络数据的功能所以也是 所惯用的伎俩之一。

一般检测网络监听的方法通过以下来进行：

►网络监听说真的，是很难被发现的。当运行监听程序的主机在进听的过程中只是被动的接收在以太网中传输的信息，它不会跟其它的主机交换信息的，也不能修改在网络中传输的信息包。这就说明了网络监听的检测是比较麻烦的事情。

一般情况下可以通过ps-ef或者ps-aux来检测。但大多实施监听程序的人都会通过修改ps的命令来防止被ps-ef的。修改ps只需要几个shell把监听程序的名称过滤掉就OK了。一能做到启动监听程序的人也绝对不是个菜的连这个都不懂的人了，除非是他懒。

上边提到过。当运行监听程序的时候主机响应一般会受到影响变的会慢，所以也就有人提出来通过响应的速率来判断是否受到监听。如果真是这样判断的话我想世界真的会大乱了，说不准一个时间段内会发现无数个监听程序在运行呢。呵呵。

如果说当你怀疑网内某太机器正在实施监听程序的话(怎么个怀疑?那要看你自己了)，可以用正确的IP地址和错误的物理地址去ping它，这样正在运行的监听程序就会做出响应的。这是因为正常的机器一般不接收错误的物理地址的ping信息的。但正在进听的机器就可以接收，要是它的IP stack不再次反向检查的话就会响应的。不过这种方法对很多系统是没效果的，因为它依赖于系统的IP stack。

另一种就是向网上发大量不存在的物理地址的包，而监听程序往往就会将这些包进行处理，这样就会导致机器性能下降，你可以用icmp echo delay来判断和比较它。还可以通过搜索网内所有主机上运行的程序，但这样做其的难度可想而知，因为这样不但是大的工作量，而且还不能完全同时检查所有主机上的进程。可是如果管理员这样做也会有很大的必要性，那就是可以确定是否有一个进程是从管理员机器上启动的。

在Unix中可以通过ps Caun或ps Caugx命令产生一个包括所有进程的清单：进程的属主和这些进程占用的处理器时间和内存等。

这些以标准表的形式输出在STDOUT上。如果某一个进程正在运行，那么它将会列在这张清单之中。但很多 在运行监听程序的时候会毫不客气的把ps或其它运行中的程序修改成Trojan Horse程序，因为他完全可以做到这一点的。如果真是这样那么上述办法就不会有结果的。但这样做在一定程度上还是有所作为的。在Unix和Windows NT上很容易就能得到当前进程的清单了。但DOS、

Windows9x好象很难做到哦，具体是不是我没测试过不得而知。

还有一种方式，这种方式要靠足够的运气。因为往往 所用的监听程序大都是免费在网上得到的，他并非专业监听。所以做为管理员用来搜索监听程序也可以检测。使用Unix可以写这么一个搜索的小工具了，不然的话要累死人的。呵呵。

有个叫Ifstatus的运行在Unix下的工具，它可以识别出网络接口是否正处于调试状态下或者是在进听装下。要是网络接口运行这样的模式之下，那么很有可能正在受到监听程序的攻击。Ifstatus一般情况下不会产生任何输出的，当它检测到网络的接口处于监听模式下的时候才回输出。管理员可以将系统的cron参数设置成定期运行Ifstatus，如果有好的cron进程的话可以将它产生的输出用mail发送给正在执行cron任务的人，要实现可以在crontab目录下加****/usr/local/etc/ifstatus一行参数。这样不行的话还可以用一个脚本程序在crontab下00****/usr/local/etc/run-ifstatus。

抵御监听其实要看哪个方面了。一般情况下监听只是对用户口令信息比较敏感一点(没有无聊的 去监听两台机器间的聊天信息的那是个浪费时间的事情)。所以对用户信息和口令信息进行加密是完全有必要的。防止以明文传输而被监听到。现代网络中，SSH(一种在应用环境中提供保密通信的协议)通信协议一直都被沿用，SSH所使用的端口是22，它排除了在不安全信道上通信的信息，被监听的可能性使用到了RAS算法，在授权过程结束后，所有的传输都用IDEA技术加密。但SSH并不就是完全安全的。至少现在我们可以这么大胆评论了。

著名的Sniffer监听工具

Sniffer之所以著名，权因它在很多方面都做的很好，它可以监听到(甚至是听、看到)网上传输的所有信息。Sniffer可以是硬件也可以是软件。主要用来接收在网络上传输的信息。网络是可以运行在各种协议之下的，包括以太网Ethernet、TCP/IP、ZPX等等，也可以是集中协议的联合体系。

Sniffer是个非常之危险的东西，它可以截获口令，可以截获到本来是秘密的或者专用信道内的信息，截获到信用卡号，经济数据，E-mail等等。更加可以用来攻击与己相临的网络。

Sniffer可以使用在任何一种平台之中。而现在使用Sniffer也不可能别发现，这个足够是对网络安全的最严重的挑战。

网络监听技术分析和研究 篇3

关键词：网络监听,以太网,TMN体系

0 引言

网络监听(Net wor k Moni t or i ng)是一种用于实时监测网络数据包传输情况的技术,多用于网络协议分析仪和网桥设备[1]。它通过配置软件和硬件,实现对网络数据包的捕获和分析,以及协议分析和流量统计。由于网络监听是一种被动的运行方式,所以对被监听网络的工作状态不产生任何影响。网络监听从物理层获取数据包,根据网络协议,分别对链路层、网络层、传输层和应用层进行分析。目前,网络监听技术被广泛用于网络流量统计和网络安全。

网管结构的不同,监听方式也不相同，而不同的监听方式，产生的效果也不尽相同。

1 以太网监听

将网络监听主机内的局域网卡设置成监听模式,运行驱动程序后,网卡会将网络中出现的正确数据包,不论目标地址是什么,都传输到上层。分析软件根据设置好的条件,对数据包进行分析和过滤,最终给出分析结果。如果是共享式网络,则将监控网卡接入网络即可。可交换式以太网,则通过交换机的共享端口获得数据。如果网络交换机不提供共享数据端口,则不能实现全网络监听。

2 X.25网监听

很多电信网管系统采用X.25交换网作为数据传输网,要实现X.25交换网的监听,必须配置两个数据接收器,分别监视网络的接收和发送信息。可以在网络监听主机的PCI总线插槽内安装一块监听卡,它支持HDLC规程,并提供两个接收端口，这两个端口分别接到DTE的收、发数据线上。这样,网络监听主机可以获得X.25交换网的收、发数据包,根据X.25协议得到数据内容,实现网络监听的功能[2]。

3 TMN的网络监听

3.1 基于TMN体系的网管系统结构

基于TMN体系结构的网络管理系统,有选择地配置TMN建议书中的功能模块,最终形成TMN的子集。以SDH传输网管为例,SDH传输网管多采用单台管理工作站及多个网元的结构,每一台SDH通信设备包含多个网元,所有网元利用嵌入式链路连接,管理工作站与一台作为协议网关的网元设备相连,以网络的形式(以太网或X.25网)构成网管系统。有些厂家的SDH网管采用多台管理工作站方式,其中一台作为管理服务器,用于实现主要的管理功能,其他作为实现GUI(Gr aphi cs Us er I nt er f ace)功能的工作站。服务器与工作站之间用网络连接,管理信息在网元和管理工作站之间交换,采用标准的TMN网络管理协议。而网元之间通过嵌入式链路交换信息,采用非标准协议[3]。

3.2 网管信息获取

在系统中选择管理工作站的网络接口作为信息访问点IAP(Information Access Point),通过该点监听网管中的各种管理信息。信息访问点的选择应重点考虑接入方便和信息集中两个方面,还应考虑监听系统在IAP的接入不会影响到原网管系统的工作状态，图一给出了监听系统框图。

在图一中,基于TMN的网管系统作为被监听系统,实现常规的网络管理功能。管理信息在管理工作站与网元之间实时交换,协议网关相对网元侧提供嵌入式链路接口,而其相对管理工作站侧提供以太网接口。选择协议网关的局域网口为信息访问点,对网管系统实施监听,对监听到的数据包进行处理。如果需要转发到别的系统,则重新组织数据包,经网络传输出去。监听网卡是一个标准的10M以太网卡，网卡一般有4种模式:广播模式(Broadcast Mode),组播模式(Multicas Mode),单播模式(Unicast Mode)和混杂模式(Promiscuous Mode)。在混杂模式下,网卡不判断目的地址,将接收到的完整的数据包全部传送到上层。将网卡设置成这种模式,用来监听网络上的数据包。为实现网络监听功能,必须重新开发网卡的驱动程序。获得网络的数据包后,通过多层解析,可以得到网管信息。

4 基于TCP/IP协议的网络监听方案

现以TCP/IP协议为例,加以说明。

4.1 MAC层数据包解析

将任何目标地址的帧接收下来,并进行校验,正确无误后,去掉帧头和校验序列,将数据字段提交到上层处理。

4.2 IP数据包解析

根据IP协议标准,确定IP数据包的包头内容,定义相应的数据结构,如:版本号、头标长度、服务类型、数据包长度、ID、偏移量、TTL、传输协议、头标校验、源IP和目的IP等。

4.3 TCP数据包解析

对TCP的数据包头进行解析,如:源端口、目的端口、发送序列号、确认序列号、数据长度、标志、窗口和紧急指针等内容。UDP数据包的包头较简单,仅包含源端口、目的端口、数据长度和校验和，解析方法与TCP的类似。ICMP和ARP数据包因为不包含网管内容,所以在此系统中仅作为网络状态判别,不进行详细解析[4]。

4.4 应用层解析

根据网管的通信协议和技术文本,对应用层解析,提取出重要的网管信息。为了减轻监听主机CPU的负荷,设置过滤条件,滤除一些数据包。消息过滤分4层进行:链路层,通过指定特定的MAC地址来进行信息过滤;网络层,通过指定源IP地址或目的IP地址来进行数据包过滤;传输层,通过指定的数据包的端口号来进行数据过滤;应用层,通过区局部网管信息格式来进行应用数据的过滤。

网络监听技术使用广泛，可以推断网络监听技术在适用于TCP/IP网络的同时，也适用于光网络。

5 结束语

本文通过分析和对比不同的网络监听技术，着重分析基于TMN体系的网管系统结构，在此基础上分析了TCP/IP协议的网络监听方案，并且表明这种网络监听方案具有广阔的前景。

参考文献

[1]高会生,邸剑.利用网络监听技术获取SDH网管信息[J].2002.

[2]虞红英,江南.通用网络协议自动监视分析系统的实现[J].计算机工程,1996.

[3]尹霞.基于网络监听的TMN信息转换系统[J].华北电力大学学报,2002.

如何防止网络监听与端口扫描 篇4

有许多工具可以让我们发现系统中的漏洞，如SATAN等，

如何防止网络监听与端口扫描

。SATAN是一个分析网络的管理、测试和报告许多信息，识别一些与网络相关的安全问题。

对所发现的问题，SATAN提供对这个问题的解释以及可能对系统和网络安全造成影响的程度，并且通过工具所附的资料，还能解释如何处理这些问题。

当然还有很多像这样的安全工具。包括对TCP端口的扫描或者对多台主机的所有TCP端口实现监听;分析网络协议、监视控制多个网段等，正确使用这些安全工具，及时发现系统漏洞，才能防患于未然。

而对于WindowsNT系统平台，可定期检查EventLog中的SECLog记录，查看是否有可疑的情况，防止网络监听与端口扫描。

2.安装防火墙

防火墙型安全保障技术是基于被保护网络具有明确定义的边界和服务、并且网络安全的威胁仅来自外部的网络。通过监测、限制以及更改跨越“防火墙”的数据流，尽可能的对外部网络屏蔽有关被保护网络的信息、结构，实现对网络的安全保护，因此比较适合于相对独立，与外部网络互连途径有限并且网络服务种类相对单一、集中的网络系统，如Internet，“防火墙”型系统在技术原理上对来自内部网络系统的安全威胁不具备防范作用，对网络安全功能的加强往往以网络服务的灵活行、多样性和开放性为代价，且需要较大的网络管理开销。

防火墙型网络安全保障系统实施相当简单，是目前应用较广的网络安全技术，但是其基本特征及运行代价限制了其开放型的大规模网络系统中应用的潜力。由于防火墙型网络安全保障系统只在网络边界上具有安全保障功能，实际效力范围相当有限，因此“防火墙”型安全技术往往是针对特定需要而专门设计实施的系统。

对于个人用户，安装一套好的个人防火墙是非常实际而且有效的方法。现在许多公司都开发了个人防火墙，这些防火墙往往具有智能防御核心，攻击，并进行自动防御，保护内部网络的安全。

比如蓝盾防火墙系统在内核设计中引入自动反扫描机制，当 用扫描器扫描防火墙或防火墙保护的服务器时，将扫描不到任何端口，使 无从下手;同进还具有实时告警功能，系统对受到的攻击设有完备的纪录功能，纪录方式有简短纪录、详细记录、发出警告、纪录统计(包括流量、连接时间、次数等)等记录，当系统发生警告时，还可以把警告信息传到呼机和手机上来，让系统管理员及得到通知。

3.对络上传输的信息进行加密，可以有效的防止网络监听等攻击

目前有许多软件包可用于加密连接，使入侵者即使捕获到数据，但无法将数据解密而失去 的意义。

最后给系统及网络管理员的一些建议：

(1)及时安装各种防火墙;

网络监听技术及其防范措施研究 篇5

计算机网络为人类的生活带来了无限便捷, 让我们可以随时随地与他人进行信息交换, 打破了交流的空间界限。然而, 计算机网络在为人们带来便捷的同时, 其网络安全问题也越来越受到人们的重视。在网络世界中自由翱翔的同时如何保障自身安全已经成为我们必须面对的课题[1]。

网络安全中, 网络监听对网络信息的威胁最大, 它可以对计算机进行监控, 从计算机发送或接收的信息中获取情报[2]。网络管理者应了解网络监听的工作原理, 学会分析网络的安全状态, 保障网络、计算机的安全运行。

1 网络监听概念

最初网络监听技术是网络安全管理人员的管理工具, 用来监测局域网内的网络状态、数据流量、用户发送或接受的信息等, 以实现对局域网的监控, 从而合理调配网络资源, 防止用户违法违规行为的发生。如今网络监听技术已经比较成熟, 为网络管理人员的工作带来了便捷, 同时也为网络入侵者入侵网络、监控计算机、获取网络上传输的信息提供了可能性[3]。

网络监听可以在网络中的任意位置上实现, 如计算机、网关、路由器等。网络监听最理想的地方是网关、路由器等设备, 但这些地方的使用者是网络管理人员, 攻破的难度较大。局域网内计算机用户的网络安全知识相对薄弱, 使得计算机成为入侵者最容易攻破的地方。

2 网络监听基本原理

局域网内信息的传送是以广播的方式向局域网内的所有主机发送数据包, 数据包中携带目的主机的MAC地址, 只有MAC地址与数据包中携带的MAC地址相同的主机才会接收数据包并作出回应, 其它主机将忽略此数据包。当主机被入侵者操纵处于监听模式下时, 无论数据包中目的主机的MAC地址是否与自己的相匹配, 都将接收数据包, 即接收网络上传输的所有数据包, 以此获取网络中的数据, 为情报分析提供数据资源[4]。

3 网络监听检测

3.1 在本机上检测

可以利用一些工具软件检查本机网卡是否处于混杂模式, 以此来进行网络监听的检测。打开任务管理器, 查看本机正在运行的进程, 与其它计算机比较, 如有不熟悉或不常见的进程出现, 本机可能处于网络监听模式下。

3.2 在其它计算机上检测

(1) 观察法。计算机不在监听模式下时, 信息的传输及电脑对信息的反应等均处于正常速度。而当计算机处于监听模式下时, 电脑就会出现异常反应, 通过比较观察来判断是否处于监听模式。

当计算机处于监听模式下时, 计算机所发送的信息包会被拦截, 导致丢包率升高。同时, 计算机占用了更多的带宽但对网络的反应速度却降低了。计算机的发包量增加, 工作强度增大, 导致计算机性能降低。

(2) PING法。当计算机处于正常工作模式时, 接收网络上传输的数据包并解析查看数据包中目的地的MAC地址, 如果MAC地址与本机的MAC地址相同, 说明此数据包是发送给本机的, 接受数据包并给发送数据包的计算机回应, 如果MAC地址与本机的MAC地址不同, 说明此数据包不是发送给本机的, 则丢掉数据包。

当计算机处于网络监听模式时, 不论数据包中的MAC地址是否与本机的MAC地址相同都会接受数据包。

因此, 可以向可疑主机发送一个PING包, 里面包含了可疑主机的IP地址和错误的MAC地址。如果可疑主机处于正常工作模式, 因为MAC地址不正确, 所以不会对此PING包作出反应。如果可疑主机处于网络监听模式, 则会接受此PING包并作出回应, 以此来判断可疑主机是否处于网络监听模式。

(3) ARP法。此方法与PING法相似, 只是将PING包用ARP包代替。

(4) 响应时间测试法。这是最直观有效的方法, 当计算机处于正常工作模式时, 计算机的响应速度很快。而当计算机处于正常网络监听模式时, 由于计算机的性能降低, 计算机的响应速度变慢, 响应时间则会变长。

4 网络监听防范措施

4.1 预防措施

当局域网内的一台主机处于网络监听模式时, 该主机会收集局域网内传输的所有数据, 实施网络监听行为。因此必须保护主机不被攻破, 以预防网络监听行为的发生。日常使用电脑时形成良好的习惯, 安全上网, 不给病毒可乘之机。上网时不登陆来历不明的网站, 不随意下载或使用来历不明的应用软件, 安装杀毒软件及防火墙并定期杀毒、更新升级, 及时给计算机打补丁修复系统漏洞。安全级别要求高的计算机还应配备隔离技术。总之使用各种方法加强计算机的安全防护措施, 使其免受攻击。

4.2 加密手段

通过加密手段为网络上传输的数据包加密, 从而防止网络监听现象的发生。网络上的数据都是以明文的形式进行传输, 数据包一旦被截获, 监听者很容易就能读取数据包中的信息, 并入侵另一台主机。对数据包进行加密处理后, 虽然数据包还会被截获, 但没有解密的数据包是一堆乱码, 没有任何价值。使用加密技术可以有效防止非法用户的窃听, 对恶意软件也具有一定的作用, 但会降低计算机的网络速度, 造成网络数据传输的延迟, 加密技术越强这种现象越明显。因此, 只有非常重要的数据才会使用加密技术进行保护。

4.3 VLAN划分

使用安全的拓扑结构和利用交换机划分VLAN, 这是防范网络监听的有效方法, 这样, 监听行为只能发生在一个虚拟网中, 最大限度地降低了监听的危害, 但需要增加硬件设备的开支, 实现起来必然大量增加费用。

5 结语

网络监听技术是一把双刃剑, 掌握在不同人的手中, 它可以发挥正反两方面的作用。对于黑客等电脑入侵者来说, 通过网络监听可以获取用户信息, 并在海量信息中分析出自己需要的情报;而对于网络安全管理人员来说, 通过网络监听技术可以监控局域网的动态信息, 发现入侵痕迹并及时作出响应, 同时监控局域网内计算机, 防止违法行为的发生。目前, 网络安全技术滞后于入侵技术的发展, 因此要深入挖掘网络监听技术的实用性, 从技术上掌握先机, 有效保障网络的安全运行。

摘要：随着科学技术的不断发展, 计算机网络已经深入到人们生活的各个方面, 它在给人们的生活、工作带来便捷的同时, 也衍生出很多问题, 如网络安全、用户信息的隐私性等。其中对用户隐私危害最大的就是网络监听, 用户通过网络发送或接受的信息都会传送给监听者, 对用户的网络安全造成极大威胁。介绍了网络监听技术及基本原理, 重点研究了网络监听技术及其防范措施, 以保障网络的安全运行。

关键词：计算机网络,网络监听,网络安全

参考文献

[1]王杰.计算机网络安全的理论与实践[J].中国教育技术设备, 2008 (5) :331-335.

[2]杨永强, 辛淑霞.常用网络安全防范措施[J].科技资讯, 2008 (8) :267.

[3]王宇, 张宁.网络监听器原理分析与实现[J].计算机应用研究, 2003 (7) :142.

局域网监听软件的设计 篇6

网络的发展十分迅速, 在各个领域中都能看到网络带给我们的巨大方便, 成为我们生活中必不可少的一种工具。在网络带给我们方便的同时, 同样的也给我们造成了许多问题, 最常见的有黑客攻击、数据库安全泄密等。如果我们不能及时正确地去解决这些问题, 就会给我们带来不可估量的损失。为了能够有效地维护网络安全, 一种能够监听网络的工具对我们而言是十分重要的。

2 实现方法

谢希仁[1]的《计算机网络 (第四版) 》全面系统地介绍了计算机网络的发展和原理体系结构、物理层、数据链路层、网络层、运输层、应用层、网络安全、因特网上的音频/视频服务、无线网络和下一代因特网等内容。

现代电子技术中《计算机网络安全分析研究》详细地介绍了计算机网络的安全技术问题, 读后可以对Internet安全方面的知识有一个全面完整的了解, 文中详尽地阐述了防止“黑客”入侵、网络安全方面的基础知识, 介绍了各种网络安全工具, 防火墙的构成、类型、意义及有关计算机安全性的重要性等。

W.Richard Stevens[2]《TCP/IP详解》一书说明了属于每一层的各个协议以及它们在不同操作系统中如何运行, 包括不同操作系统和TCP/IP之间实现传输的不同分组。对tcpdump输出的研究可以帮助理解不同协议如何工作。阐述了RFCS的标准协议, 并且结合许多实例对TCP/IP协议包的定义、原因及在各种不同的操作系统中的应用与工作方式进行表述, 以动态方式讲述路由协议、寻址协议、组控制协议、简单邮件传输协议。

Douglas E.Comer[3]《TCP/IP网络互连技术》这本书对因特网的原理、TCP/IP协议及网络体系结构都有详细的表述。本书介绍了TCP/IP、因特网各个组成部分的设计及其工作内容, 对每个协议如ARP, RARP, IP, TCP, UDP, RIP, OSPF都有详细阐述。

BRUCE ECKEL[4]《Java编程思想》详细介绍了Java的基础语法, 从最基础的基本语法逐渐延伸到Java自己独有的高级特性, 可使读者对Java语言有非常清晰的认识。

从耿祥义[5]《Java 2实用教程 (第三版) 》中学习到了Java的基本数据类型、语句、类与对象、子类与继承、接口与实现、内部类与异常类、常用实用类、组件及事件处理、输入输出流、JDBC数据库操作、Java多线程机制、Java网络编程、图形、图像与音频、泛型与集合框架、Java Applet等内容。

通过张仕斌[6]等编写的《网络安全技术》可以更加深刻理解网络安全原理和实践技术, 其中涉及网络安全基础知识、密码技术、入侵检测与安全审计技术、操作系统安全技术等。

吕艳娟[7]在电子世界期刊中发表的《关于网络监听技术的研究》中详细讲述了数据包是如何进行网络传输的, 以及网络监听的组成部分。并且介绍了两种不同的网络监听方式, 提出了如何实现网络中监听技术的实现方法。

林华清[8]在保密科学技术期刊中发表的《基于Win Pcap的网络监听防控系统设计与应用》中系统地介绍了Internet的监听原理及关键技术、基于Win Pcap的网络监听防控系统设计以及应用领域, 还就VC++环境下借助Win Pcap提供的函数对系统实现进行了分析。该系统结构简单、扩展性好、算法较优, 实现了六大功能模块, 其运用对网络安全检查检测具有重要意义。

孙继银[9]《网络窃密监听及防泄密技术》讲述了网络攻击窃密、网络监听分析和网络安全防御体系设计三个领域的专业知识。

3 开发布局及软件内部运行流程

通过对网络传输过程的了解, 使用Winpcap和Jpcap截取数据包, 构架出网络监听的整体布局, 包括以下步骤:程序的开始;准备监听;截获数据包;分析数据包;分析结果显示;流量统计;数据更新;指定对象监听。

4 网络监听技术的应用前景

局域网中网络数据监听的发展和研究有利于网络管理、网络故障排除以及网络入侵检测系统的进一步发展, 是保证网络安全的必要技术, 因而将在未来局域网中的发展中发挥举足轻重的作用, 对于维护整个网络的性能和安全稳定有非常直接的影响。

参考文献

[1]谢希仁.计算机网络[M].北京:电子工业出版社, 2003, 56-78.

[2]W.Richard Stevens[美].TCP/IP详解协议[M].北京:机械工业出版社, 2000, 55-78.

[3]Douglas E.Comer[美].TCP/IP网络互连原理协议体系结构[M].北京:人民邮电出版社, 2006, 41-72.

[4]BRUCE ECKEL[美].Java编程思想[M].北京:清华大学出版社, 2002, 15-49.

[5]耿祥义.Java课程设计[M].北京:清华大学出版社, 2004, 39-54.

[6]张仕斌, 谭三, 易勇, 蒋毅.网络安全技术[M].北京:清华大学出版社, 2004, 28-53.

[7]吕艳娟.关于网络监听技术的研究[J].电子世界, 2011 (22) :67-72.

[8]林华清.基于WinPcap的网络监听防控系统设计与应用[J].保密科学技术, 2013 (1) :7-12.

监听方式 篇7

在局域网中信息通常以明文形式传输，同一网段的所有网络接口都能访问物理介质上传输的所有数据。每个网络接口都有一个唯一的硬件地址。通常情况下只接收目标地址为自己和广播地址发送的信息。网卡具有如下的几种工作模式：

(1)广播模式(Broad Cast Model)：物理地址(MAC地址)是OXffffff的帧为广播帧，此时网卡接收广播帧。

(2)多播传送(MultiCast Model)：多播传送地址作为目的物理地址的帧可以被组内的其它主机同时接收，而组外主机却接收不到。但是若将网卡设置为多播传送模式，则可以接收所有的多播传送帧，而不论是不是组内成员。

(3)直接模式(Direct Model)：此时网卡只接收目的地址是自己Mac地址的帧。

(4)混杂模式(Promiscuous Model)：此时网卡接收所有流过的帧，信包捕获程序就是在这种模式下运行的[1]。

要捕获流经网卡但不属于本机的数据，必须将网卡的工作模式设置为混杂模式，由于采用以太网广播信道争用的方式，监听系统与正常通信的网络能够并联连接，并可捕获任何在同一冲突域上传输的数据包。网卡对所有接收到的数据帧都产生中断，不进行地址匹配而直接将数据帧递交给系统处理，这样操作系统通过直接访问数据链路，捕获流经网卡的所有数据报文[2]。

2 WinPcap

WinPcap是Win32环境下捕获网络数据包的开放代码函数库。WinPcap包含了一个内核级的数据包过滤器NPF(Netgroup Packet Filter)、一个底层动态链接库(Packet.dl1)和一个高层的独立于系统的库(Wpcap.dl1)。NPF模块过滤数据包，将数据包不做任何改动的传递给用户[3];Packet.dl模块提供了Win32平台下捕获包的驱动接口，基于Packet dll编写的程序可以不经过重新编译在Win32平台下实现捕获数据包;Wpcap.dll库不依赖于操作系统，且包含其它的高层函数，如过滤器生成器，用户定义的缓冲区和高层特性。WinPcap的主要功能在于独立于主机协议(如TCP蛐P)而发送和接收原始数据包。其能实现以下四项功能：

(1)捕获原始数据包，网络上各主机发送/接收的以及相互交换的数据包。

(2)在数据包发往应用程序之前，按照自定义的规则将某些特殊的数据包过滤掉。

(3)在网络上发送原始的数据包。

(4)收集网络通信过程中的统计信息。

3 网络监听系统功能设计

网络监听系统主要目的就是对发送蛐接收的数据包进行管理，提高工作效率，降低管理成本。监听系统基本结构可分为两个组成部分：

(1)内核模块：负责从网络中捕获以及过滤数据包。

(2)用户分析模块：负责处理用户界面的显示、数据转化与处理、格式化、协议分析等。若内核模块没有对捕获的数据包进行过滤，则过滤工作交由用户模块完成。

监听系统的总体结构如图1所示。如果需要监听特定数据，由于混杂模式工作下的网卡不能主动过滤数据，因此必须在系统中设置过滤器。

监听系统使用WinPcap函数包和Visual C++6.0作为开发平台，实现对局域网内TCP、UDP和IPX协议通信的监听，将监听结果保存在本地存储并实时地在用户界面上显示分析结果。利用WinPcap对网络数据包进行捕获的步骤及相关函数：WinPcap提供了pcap_fmdalldevs()函数来获取当前机器网络接口的内容，接口的全部信息都保存在pcap_if结构的链表中;pcap_t觹pcap_open_live(char觹device int snaplen,int promisc,int to_ms,char觹ebuf)函数获得捕获网络数据包描述字，将第3个参数设置为1，则可将网卡设置为混杂模式，函数调用成功则返回指定网卡的操作句柄即实现捕获网络数据包功能。用户可以根据实际需要调用int pcap_compile(pcap_t觹p,struct bpf_program觹fp,char觹str,int optimize,bpf_u_int32 netmask)函数设置相应的过滤条件，例如只接收UDP或TCP数据包，则将过滤字符串设置成“ip and tcp”或“ip and udp”即可[4]。

在系统实现中将内核模块分为两个线程：一个是抓取线程，分析抓取的数据包，并将需要的内容放入缓存并保存在本地存储;另一个是发送线程，使用TCP或UDP协议从缓冲区中依次取出数据包，发向远程监控中心[5]。接收线程和发送线程如图2、3所示。

4 结束语

Windows平台上实现了基于WinPcap的网络监听基本功能。该网络监听系统结构简单、捕获数据快，能实时的反映监听结果。在此基础上，开发人员可根据各自的网络需求设计出针对性更强的应用系统。

摘要：分析了WinPcap的体系结构并以WinPcap函数库作为开发平台,针对网络管理中的实际需求,分析了网络监听系统的基本工作原理与工作流程,描述了使用WinPcap函数捕获网络数据包的程序流程,最后给出具体实现的关键函数。

关键词：网络监听,WinPcap,数据包捕获,混杂模式

参考文献

[1]付强,左仁辉.基于WinPcap实现网络监听技术[J].合肥:电脑知识与技术,2008(5):624-627,632.

[2]胡晓云,史浩山.WinPcap包截获系统的分析及其应用[J].上海:计算机工程,2005(2):96-98.

[3]谢小特,王勇军.基于WinPcap的捕包程序设计[J].武汉:软件导刊,2007(11):71-72.

[4]刘毅.网络监听技术研究[J].济南:科技信息,2008(4):58.

网络通讯监听的特征及类别分析 篇8

获取他人在互联网中的秘密通讯信息的行为被称为网络通讯监听, 其主要凭借最基本的人体感官或使用各种技术手段来获取他人信息。随着互联网的迅速发展, 除了传统的联络方式之外, 人们更倾向于使用低廉的网络通讯来作为主要通讯工具。在网络通讯带给我们诸多便利的同时, 一些不法分子也开始广泛使用网络通讯手段来进行犯罪, 从事危害社会的活动。因此, 侦查机关在符合法定条件的情况下, 对具备严重社会危害性的不法分子展开网络通讯监听也非常有必要。我国的刑事诉讼法也在2011年对该类技术的使用措施进行了一系列的规定。因此, 本文将从其特征及类别进行分析, 促进对网络通讯监听的合法运用。

1 网络通讯监听的特征

特征是区别于两个事物的标志和征象所在, 其以外化的形态体现了事物的本质属性。毋庸置疑, 网络通讯监听和传统通讯监听有着相似或一致性, 但由于网络通讯监听产生于网络, 其有着明显的自身特殊性。网络通讯监听一般具有以下几个特征:

1.1 监听范围的广泛性

以互联网为媒介来进行信息传递具有传播速度快、距离远、容量大的优点, 为人们提供了一个快捷的交流方式。只需要手机或是电脑等网络连接设备并开通该设备的网络, 就可以利用互联网和任意一个互联网用户进行信息的交流、共享。但是在交流、共享信息的过程中也很有可能会出现被监听的情况, 随着互联网交流范围的扩大, 互联网通讯监听的波及范围也随之扩大, 遍及全球的各个角落[1]。因此, 网络通讯监听的主要特征之一就是其监听范围的广泛性。

1.2 监听主体的普遍性

网络通讯监听在监听主体上同传统监听有较大的差异, 其技术的含量远远高于传统监听。传统监听必须凭借特殊的实体性技术装置, 比如在口袋中藏录音笔进行当场录音、在电话的发话筒内安装隐形麦、在墙壁夹层内放置增敏传声器等等。虽然网络通讯监听也需要依靠一些特殊的软件程序来进行, 但是在实现社会中, 使用传统监听器材来对信息进行监听并不简单, 而且由于国家对通讯自由权、公民隐私权的保护, 此类器材很难被普通人购买。而在互联网环境中, 只需要安置相关的软件即可获取对方的私密信息。并且凭借着网络软件程序的非实体性及匿名虚拟性, 这些软件可以随意下载使用, 因此网络通讯监听的主体具有普遍性。

1.3 监听对象的非确定性

在传统通讯监听的过程中, 监听的对象基本是确定的, 谈话的当事人即是具体的监听对象。但在网络监听的过程中, 监听的对象却存在着非确定性。除了实时语音可以确定监听对象的身份之外, 大多时候人们在交流的过程中, 通讯都是以数据信息流的形态出现。这样一来, 监听人不能确定监听的信息是否属于被监听人, 甚至可能会牵涉到其他人员, 使得监听的对象变得不确定。

2 网络通讯监听的类别

2.1 即时多人网络通讯监听

依靠各大门户网站聊天室进行实时信息交流的方式被称为即时多人网络通讯, 这种通讯方式被人们广泛使用。凭借网络监控软件对此类通讯方式的交流信息进行截获的过程就是即时多人网络通讯监听, 而当事人并不局限于特定的两个人, 往往有众多的参与者。以这种方式进行监听容易伤及无辜人员的基本人权, 除非情势危急, 这种监听方式一般不被允许使用[2]。

2.2 非即时网络通讯监听

凭借BBS、Blog、E-mail等方式进行非实时交流的情况被称为非即时网络通讯, 是一种极其普遍的通讯形式。用“铁马冰河”、“食肉者”等专门的监控软件对目标计算机进行监控的行为即是非即时网络监听, 这些软件的使用可以对此类通讯路径所传输的信息进行智能化的记录、搜索和复制, 该监听方式得到了广泛运用。

2.3 即时单独网络通讯监听

利用一对一的通讯软件进行实时信息交流的方式被称为即时单独网络通讯, 双方当事人也具有不特定性。随着互联网的普及、移动通讯4G时代的到来, 该通讯方式的应用也更加普遍, 很多人都凭借该种方式进行联络。其实, 在一定程度上, 即时单独网络通讯监听与传统的电话监听有着极大的相似之处, 都是秘密截获双方当事人的交流信息内容, 并且这种监听方式较为简单, 利于应用。然而, 侦查人员在进行监听前需事先获得任一方当事人的同意并得到法定机关的令状许可才能使用该方式对双方当事人的信息进行监听。

3总结

网络通讯监听方式已成为打击犯罪活动的重要手段之一。但是实行该方式很有可能会侵犯被监听人的通讯自由权和公民隐私权, 因此, 我们必须对网络通讯监听的特征及类别进行细致的探讨, 更加全面地认识网络通讯监听, 才能在情况发生之时真正的对症下药, 运用最合理、合适的监听手段, 确保其在法制框架的制约下发挥出积极作用。

摘要：网络通讯监听是技术侦查的手段之一, 在IT时代中极为重要, 其应用价值在规制犯罪方面得到了很好的体现。本文对网络通讯监听的特征和类别进行分析归纳, 发现其特征主要包括监听范围的广泛性、监听主体的普遍性和监听对象的非确定性;其主要类别可分为即时多人网络通讯监听、非即时网络通讯监听和即时单独网络通讯监听三大类。

关键词：网络通讯监听,特征,类别

参考文献

[1]欧阳爱辉.网络通讯监听的特征及类别分析[J].哈尔滨师范大学社会科学学报, 2012 (1) :47~49.

CAN总线监听系统的设计与研究 篇9

作为汽车电子实训设备, 学习人员不仅要了解关键部件的状态数据, 还需要对各部件工作状况进行实时监控, 必要时需将各子系统数据传输至PC机中进行进一步存储及分析。本设计采用CAN总线来实现模拟车内各个子系统的数据采集, 嵌入式微处理器单元通过无线、WIFI, 多种方式实现与PC机的数据交换, 从而实现对各子系统的监听功能。方案以内嵌CAN控制器STM32F103VET6作为微处理器, 完成上述功能。

1 系统设计

1.1 数据采集系统设计

一个完整的采集系统由传感器, CAN收发器, CAN总线, 接口, 微处理器等几大部分组成, 如图1所示。

图1中的被检测量是由汽车某一控制单元发出的, 这些控制单元包括灯光控制单元、电动座椅单元、门锁防盗单元等。传感器按一定规律将被检测量转换为数据采集系统能够测量的电信号。通过传感器得到的信号经调理电路对其进行缓冲、放大、隔离、滤波, 以及线性化等处理, 以获得模数转换所需的归一化信号。将经过调理的信号通过微控制器 (如单片机) 进行取样保持和模数转换, 然后通过CAN收发器发送到数据总线上。数据采集系统还包括驱动软件, 驱动软件直接对硬件的寄存器进行操作, 并管理中断、存储器等微机资源。

1.2 检测系统设计

检测系统的形式采用集散型数据处理模式, 指一路或几路信号对应一个数据采集模块, 每个数据采集模块都包括AD转换和单片机系统, 完成对一路或几路信号的采集和处理。模块间通过总线相连。

从图2中可以看出, 每一个数据采集模块只负责一路信号, 数据模块之间通过总线进行通讯。由于一个数据采集模块只负责一路信号, 所以数据采集的速度可以很高。由于现在主流的AD芯片的转换时间大多为几, 所以采用这种方式进行数据采集, 速度可以达到实时数据采集要求。同时这种方式体现了模块化的设计思想, 可以将几个相同类型的信号共用一个数据采集模块, 对于不同类型的信号只需要更改前置电路就可以了。这样设计便于系统扩展, 当有新的信号需要采集时只需要添加一个数据采集模块并连接到总线上就可以了。考虑到汽车上信号接线和汽车部件关系比较密切, 所以本方案采用集散型数据采集处理模块来完成对汽车上的信号的采样。

1.3 总体系统设计

系统核心器件为嵌入式微处理器, 它控制CAN收发器, 将各子系统传输至CAN总线的信息数据按一定优先级通过无线模块, WIFI模块或串口模块与上位机进行数据交换。

设计中采用ARM Cortex-M3内核的STM32F103VET6为核心控制器, 其中内嵌了CAN控制器, 节约了空间资源。CAN收发器采用PHILIPS公司生产的高速CAN收发器TJA1050, 可以为总线提供不同的发送性能, 为CAN控制器提供不同的接收性能。总体框图如图2所示。

STM32是意法半导体推出的基于Cortex-M3内核的32位ARM, 目前有5个系列, 其中STM32 F103VET6属于STM32F103系列的高容量芯片, QFP100封装, 64K片内SRAM, 512K片内FLASH, 具有SDIO 4位接口 (SD卡的专用接口, 速度更高, 该接口也可用于和SDIO接口类型的wifi模块连接) 。选用此芯片作为核心MCU, 主要由于其容量大, 性价比高且具有SPI方式的NRF24L01无线收发器2.4G无线模块接口。

2 硬件接口

2.1 CAN驱动模块

ISO 11898是一个使用CAN总线协议的汽车内高速通讯国际标准。TJA1050符合ISO 11989标准, 它可以和其他遵从ISO11898标准的收发器产品协同操作, 此外TJA1050还具有良好的电磁兼容性, 连接节点数可达110个。如图3所示, 微处理器内部协议控制器通过一条串行数据输出线 (CAN-TX) 和一条串行数据输入线 (CAN-RX) 连接到TJA1050收发器。而收发器则通过它的两个有差动接收和发送能力的总线终端CANH和CANL连接到CAN总线线路。典型的CAN总线采用一对双绞线。考虑到ISO 11898中定义的线性拓扑结构, 总线两端都端接一个120Ω的额定电阻。这就要求总线额定负载是60Ω。终端电阻和电缆阻抗的紧密匹配确保了数据信号不会在总线的两端反射。

2.2 WIFI模块

88W8686是一款最新高整合WLAN Soc。它面向移动电话、数字摄像机、移动媒体播放器、PDA、游戏机等移动设备。它具有封装尺寸小, 低功耗的特点, 且提供SDIO和SPI主机接口适用于各种不同的处理器。

88W8686So C具有非常高的集成水平, 芯片集成了一个可在2.4 GHz和5 GHz运行的双频射频无线收发器、一个物理层、一个媒介接入控制器和一个ARM处理器。

STM32可通过SDIO接口与88W8686连接。88W8686支持SDIO设备接口, 允许使用SDIO总线协议访问WLAN设备。SDIO接口包含于外部SDIO总线和内部共享总线间的接口电路。88W8686充当SDIO总线上的设备。Host单元可以直接访问SDIO接口的寄存器, 也可以通过使用BAR和DMA引擎访问设备的共享存储空间。

2.3 基于NRF24L01的无线通信模块

NRF24L01是NORDIC公司生产的一款新型单片射频收发器件, 采用FSK调制, 内部集成NORDIC自己的Enhanced Short Burst协议。可以实现点对点或一点对六点的无线通信。无线通信速度可以达到2M (bps) 。器件工作于全球开放的2.4~2.5 GHz ISM频段。内置频率合成器、功率放大器、晶体振荡器、调制器等功能模块, 其中输出功率和通信频道可通过程序进行配置。NRF24L01的SPI接口可以利用STM32的硬件SPI接口直接连接。

综上所述, 本文完成了基于CAN总线监听系统的总体设计, 叙述了集散型数据采集系统的各部分组成, 以及芯片的选择及其优势分析, 给出了wifi模块以及无线模块与核心芯片STM32 F103VET6的连接设计, 以及各模块的详细介绍和功能实现。

参考文献

[1]乌宽明.CAN总线原理和应用系统设计[M].北京:北京航空航天大学出版社, 1996:127-156.

[2]杨军, 冯振声, 黄考利.装备智能故障诊断技术[M].北京:国防工业出版社, 2004.

[3]饶运涛, 邹继军, 郑勇芸.现场总线CAN原理与应用技术[M].北京:北京航空航天大学出版社, 2003.

[4]蔺金元, 秦亚超.基于CAN总线的数据采集系统[J].宁夏工程技术, 2002, 1 (2) :176-178.

[5]许海燕.基于CAN总线的作战车辆综合电子信息系统的研究[D].南京:河海大学, 2004.