摘 要：隨著網絡科技時代的到來，我國的網絡技術得到了空前的發展，為人們生產和生活帶來了極大的便利，但同時網絡技術的發展使得網絡安全問題也變得越來越嚴重，例如以太網的監聽軟件可以對網絡上的重要數據進行截獲，是影響網絡安全的主要因素之一。現階段公安機關將計算機網絡監聽技術和入侵監聽檢測技術應用于網絡犯罪偵查研究中并在此基礎上實現了對計算機網絡中監聽工具的檢測以及監聽主機的定位。通過該課題的研究可以大大提升公安機關查獲網絡犯罪目標的概率和效率，為公安部門提供有力的偵查線索。從網絡監聽的概念和基本原理入手，分析了網絡監聽檢測的實現以及跟蹤監聽主機位置的方法，最終對如何實施網絡監聽的防范提出了一定的建議。

　　關鍵詞：網絡犯罪;偵查;監聽檢測;定位;研究

　　網絡監聽技術是一種運用網絡進行監視的技術，網絡監聽在網絡中任何一個模式下都可以進行，可以用來監視網絡狀態、數據流動情況和網絡信息傳輸情況，在協助網絡管理員檢測網絡數據傳輸、排除網絡故障等方面有不可替代的作用，該技術一直受到網絡管理人員的歡迎，但同時，網絡監聽技術又是一把雙刃劍，網絡監聽也給以太網帶來了較嚴重的安全隱患，當信息以文字的形式在網絡上傳輸時，使用網絡監聽技術就可以對文字進行攻擊并源源不斷的將本來在網上傳輸的信息內容截獲，因此很多以太網監聽行為都會造成網絡入侵，進而導致敏感數據被截獲甚至動態口令被盜取。針對這一現象，公安機關必須展開網絡偵查和研究，公安機關對網絡監聽進行技術研究不僅可以保護一些重要數據不被截獲泄露，還能夠順藤摸瓜將網絡上一些非法監聽設備查獲。另外該技術為公安機關偵查取證，縮小偵查范圍等也起到了重要的作用。

　　1 網絡監聽的概念和基本原理

　　1.1 網絡監聽的概念

　　隨著計算機技術的不斷發展，網絡監聽技術已經充斥在人們日常生產和生活中，這種監聽技術在給人們帶來方便的同時也帶來了巨大的安全隱患，企業在運用監聽技術進行企業管理的同時網絡黑客也運用該技術非法獲取一些有價值信息，因此對網絡監聽技術的檢測和偵查就顯得十分重要了。具體來說網絡監聽技術就是指當用戶成功的登陸一臺電腦的主機并取得主機的超級用戶權限之后，可以進一步的獲取這斷以太網中其他主機的控制權，獲得尋常方法難以獲得的信息。

　　1.2 網絡監聽的基本原理當前網絡中最常用的協議是以太網協議，在這個協議下如果某個主機要發送一個數據給另一臺主機并不是點對點進行發送的，而是將數據信息發送給以太網絡內的所有主機，在正常情況下只有目標主機才會接收該文件，而其他主機在接收到該數據的時候發現信息的目的地址與自己不符合，就會自動屏蔽掉。此時，如果以太網內有一臺主機 A 處于網路監聽的狀態，那么不管數據的接收地址是否相匹配，主機 A 都會接收到數據信息，這就是網絡監聽的基本原理。

　　1.2.1 廣播式以太網的監聽。在廣播式以太網中，數據的傳播是通過廣播機制實現的，在同一個局域網中所有的網絡接口都可以對傳播的數據信息進行訪問，當每個網路接口受到數據后，網卡驅動程序會對接收文件的目的 MAC 地址進行判斷，如果地址相匹配則可以傳給網絡層，否則予以丟棄。接著網絡層判斷 IP 地址與本機的 IP 地址是否相同，如果相同則傳送給傳輸層，不同則丟棄。最后傳輸層判斷本機的目標端口是否打開，如果打開則將信息傳送給應用層，沒有打開則將信息丟棄。當計算機主機設置在監聽的模式下，則不論 MAC 地址是什么，主機都會接收數據信息，操作人員可以直接訪問數據鏈路層，因此相關所有數據都會被操作人員獲取。

　　1.2.2 交換式以太網監聽。交換式以太網就是在網絡中使用了交換機，數據可以直接單一的傳送到目的主機，其他主機不能夠以以上方法接收到數據信息，因此相對來說在交換式以太網中進行監聽就較為困難。現在我們來分析一下交換式以太網的工作機制，交換機會有一個 MAC 地址與端口的映射表，通過這個映射表實現數據的點對點唯一傳播，但是維護這個映射表的內存是固定的，為了達到監聽的目的可以發送大量的錯誤 MAC 地址使交換機失效，交換機失效后就會自動轉換到 HUB 模式，通俗來說實現交換式以太網的監聽就是增加了讓交換系統失效的步驟。

　　2 監聽檢測的實現

　　2.1 網絡主機的獲取

　　理論上說，網絡上的任何使用者都可以被查出來，互聯網上的任何行為都會有一個 IP 地址進行標識，在進行網絡通訊時都會有網絡信號的發送者和接收者，因此一旦有人與你的網絡進行通訊，對方的 IP 地址都可以被知曉，在對網絡犯罪的偵查中，獲取主機地址的方法有很多其中最主要就是通過獲取 IP 地址和 MAC 地址的方式確定網絡主機的地址，例如對各類網關出入口的數據進行篩選過濾，再通過網絡監聽，數據包監控等都可以將網絡主機的 IP 地址或者 MAC 地址偵測到。

　　2.2 網絡監聽的檢測

　　2.2.1 監聽主機的特點。對于網絡監聽來說其監聽程序是比較不易被發現的，因為通常情況下，網絡監聽主機只是去接收網絡上傳送的信息但是從不主動的向外發送信息，這種情況下無疑增加了對它進行檢測的難度。而如果只是單純的去使用交換以太網技術或者對數據采取加密技術處理雖然在一定程度上降低了數據被監聽的概率但是并不能得知該局域網是否存在著監聽程序，沒有從根本上解決監聽程序帶來的風險;但是在網絡犯罪的偵查過程中，作為監聽和被監聽的第三方個體，公安機關偵查人員必須要弄清網絡監聽主機的存在與否。

　　為了達到偵查網絡監聽主機的目的，首先我們應該對監聽主機的特點進行分析。第一，當計算機主機運行了網絡監聽程序時，網卡模式混雜，所有到達網卡的數據包硬件都會中斷，同時所有的數據信息都要傳送到監聽程序進行處理，因此由于監聽程序的運行會導致主機的性能大大降低，這時主機的負載必然會隨著網絡負載的加重而加重，這就是監聽主機的主要特點之一。第二，通常來說沒有安裝監聽軟件的主機只會將與本機匹配的 MAC 地址的文件進行傳遞處理，但是在當網卡處于混雜模式時，它會將全部的數據信息都進行提交。第三，一些監聽程序會對監聽到的數據信息進行反向域名解析，這時候網絡監聽程序就從被動的監聽工具轉換成了主動的網絡工具，但是一個正常的計算機是不會去主動解析與自己不相關的 IP 的。最后網絡監聽程序運行時啟動的進程并不是單個而是多個的，但是沒有運行監聽程序的主機很少會同時啟用多個程序。

　　2.2.2 對監聽程序的檢測。根據對監聽主機特點的分析，我們可以根據這些特點設計出對監聽程序進行檢測的方法：

　　第一，IP-MAC 地址檢測。這種方式是在交換式以太網中進行檢測的一種方法，如果存在一個主機在交換式以太網中正在監聽，那么它一定會成為其他主機的通信代理并主動發出 ARP 應答，這樣才能使局域網內其他的主機受騙。因此公安機關偵查人員可以通過 ARP 應答包分析出監聽主機的位置。這種方法要求偵測人員具有全網 IP 地址和 MAC 地址，如果被檢測主機的 IP-MAC 地址與接收到 ARP 應答的地址不一樣，那么說明該 MAC 地址對應的主機與 IP 地址對應的主機不同，且 MAC 地址對應的主機正在冒用 IP 地址對應的主機。

　　第二，DNS 檢測。很多監聽程序為了能夠進一步找到更有價值的主機獲取更有價值的信息都會對 IP 地址進行反向 DNS 解析，因此為了辨別是否有監聽主機，可以在網絡中發送虛假 IP 數據包，如果有主機發送該 IP 地址的反向 DNS 查詢，那么該網絡中必然存在監聽主機，反之，如果沒有主機理會該 IP 地址，則說明沒有運行監聽程序的主機存在。

　　第三，負載檢測。因為正常情況下目標地址與本機不符的數據包會被不含監聽程序的主機丟棄掉，因此正常狀態下的主機對于突然增加的網絡通信量不會產生很大的反應，但是處于監聽狀態下的主機不進行數據過濾因此增大的網絡通信量會對其產生較大的影響，因此根據這一特點可以人為的增加網絡通信量然后根據每個主機反應的速度進行判斷，當主機的反應時間有明顯的變化時基本就可以確定該主機安裝有監聽程序。

　　3 網絡監聽主機的定位

　　首先應該通過特定的網絡軟件或者命令獲取監聽主機的 IP 地址和 MAC 地址，接著根據獲取的 IP 地址查到當前監聽主機的交換機連接端口，最后根據交換機基礎數據庫將監聽主機的具體位置進行確定形成最終偵查定位。

　　4 結論

　　總結來說，網絡監聽檢測實施起來難度還較大，在實際工作中網絡規模越大越復雜檢測工作就越困難，因此當前我們應該對網絡監聽技術進行進一步探索研究，掌握更先進的偵破技術，這樣才能在與網絡犯罪人員的斗爭中取得勝利。

　　參考文獻

　　[1]肖自紅,劉霞.網絡犯罪偵查中的監聽檢測及監聽定位研究，[J].法制博覽，2012(6)：32-35.

　　[2]李其.網絡監聽檢測及防范技術研究[J].信息與電腦，2010(11)： 132.

　　[3]段秀紅.以太網中的網絡監聽檢測.[J].吉林糧食高等專科學校學報，2014(6)：18-20.

　　《網絡犯罪偵查中監聽檢測及定位研究》來源《科學技術創新》2018年12期，作者：王冠楠。