网络监听的检测方式有哪些？老男孩网络安全培训机构

       网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具，它可以将网络界面设定成监听模式，并且可以截获网络上所传输的信息。也就是说，当黑客登录网络主机并取得超级用户权限后，若要登录其它主机，使用网络监听便可以有效地截获网络上的数据。

       那常见的网络监听的检测方式都有哪些呢？

       PING方法：

       大多数非法的网络监听程序都是运行在网络中安装了TCP/IP协议栈的主机上，这就意味着如果向这些计算机发送一个请求，它们将产生回应。

       PING方法就是向可疑主机发送包含正确IP地址和错误MAC地址的PING包。没有运行网络监听程序的主机将忽略该帧，不产生回应。如果得到回应，那么说明可疑主机确实在运行网络监听程序。目前针对这种检测方法，有的网络监听程序已经增加了虚拟地址过滤功能。而且从这种方法可以引申出其他方法：任何产生回应的协议都可以利用，比如TCP，UDP等。

       ARP方法：

       共享介质环境中，利用ARP协议，由检测主机通过创建并发送目的IP地址是可疑主机的IP，而MAC地址不同于此主机的ARP请求包，所有计算机都将收到这个ARP请求包，但只有运行了sniffer的主机的网卡驱动程序会直接将这个请求包传送给内核协议栈进行处理，其他主机会丢弃这个ARP请求包。

       可以通过接收可疑主机是否有ARP应答包来判断该主机的网卡是否处于混杂模式来进一步做出判断。

       DNS反解析：

       非法的网络监听程序会发送DNS反向查询数据，因此，可以通过检测它产生的DNS传输流进行判断。检测者通过监听DNS服务器接收到的反向域名查询数据，可以判断对这些地址进行反向查询的机器就是在查询包中所包含的IP地址，也就是说在运行非法的网络监听程序。由于DNS反解析检测sniffer是利用执行者的主观行为，因此有一定的局限性。

       流量特征方式：

       交换方式下Sniffer行为的一个特征是其他主机的流量被引流到Sniffer主机，然后这些流量被Sniffer主机重新发送到网关。在这种方式下，很可能出现sniffer主机流量非常的大，同时进出流量基本相等的外部表现，通过网络管理口捕获数据包的方法可以及时发现这一反常特征，从而检测运行非法网络监听程序的主机。

       更多网络安全内容，推荐关注老男孩教育网络安全培训课程。老男孩网络安全培训课程由经验丰富的老师亲自授课，针对不同阶段的学员制定不同进度的课程，脱产班、周末班、网络班总有一款适合你。想学网络安全，点击链接进入网络安全自学视频开始学习吧。

　　 推荐阅读：

       网站被劫持的方式都有哪些？老男孩网络安全学习班

       如何有效防止网站数据被窃取、篡改？老男孩网络安全脱产班

       端点安全必须具备的功能都有哪些？老男孩网络安全学习班