前言：
　　网路一般是透过实体线路将电脑设备链结起来，由较小的区域网路逐渐形成大型的广
域网路，而资讯便透过实体层线路与设备中的网路封包进行传递。由于网路一开始发展的
特性，导致有心人士可以使用某些软硬体设备进行监听动作，以获取他人帐号、密码等机
密性资料。
一、网路监听：
　　网路监听（sniffing）并不全然是不好的、非法的、只有骇客才会进行的行为。「水
可载舟，亦可覆舟」，电脑技术与工具其实是中性的，好坏皆取决于使用者之目的与用途
。网路管理人员可透过监听网路封包的方式判断整个网路的状况是否稳定，设备是否异常
，是否有网虫之类的攻击在网路中流窜，配合入侵侦测系统可进一步判断是否有人利用网
路进行攻击行为，单位人员使用网路的状况也可留下纪录以供日后审查与追踪，判断是否
有人连线至与工作不相关的网站，违反公司的网路安全政策等。而对于一般个人使用者，
若自己的密码如Outlook Express、FTP等记录于电脑中，但自己忘记了，也可利用此种方
式找出密码。但因为这些用途与特性，致使有心人士、攻击者、骇客，也可运用此种思维
进行网路监听、获取别人的网路状况与机密资讯，再利用这些资讯进行攻击。
二、特定环境与条件：
　　若要进行有效的网路监听，必须要有一些特定的环境与条件才能够完成，可由巨观与
微观的角度进行分析。巨观而言，有一个可连线的网路及可供连线上网使用的网路设备电
脑等，便可透过网路上方便取得的相关工具进行网路监听的动作；而以更深入、微观的角
度来看，便要了解其网路的架构，如：区域网路、广域网路、无线网路等，及网路的设备
，如：hub、switch、router 等，还有各种不同通讯协定运作的方式、电脑网路卡的硬体
元件、工作模式、使用者所使用的软体程式等方面，进而深入了解各个不同部份的运作。
　　就网路设备而言，OSI 七层中不同层的设备扮演着不同的角色，提供网路连线不同的
功能，一般第一层以repeater，hub为代表；第二层以bridge，switch 为代表；第三层以
router 为代表。在网路刚兴起时，区域网路的连线设备主要以hub为主，再透过电脑配合
routing程式扮演路由器的角色串联起整个网路，由于hub是第一层的设备，其运作方式为
媒体共享式，即连结在同一台hub不同port 底下由电脑传送出来的网路封包，都会完整的
广播、传送至其他所有实体port上，这会产生一些后果。第一个是因为广播封包会造成封
包彼此碰撞，进而会影响整体网路效能，所以同时上线的电脑愈多，连线速度就会愈慢。
另外一个是，由于每个port都能接受到其他port传送过来的连线封包，那就可利用监听程
式窃听其他电脑的连线状况，并从中撷取出机密资讯。由于网路快速发展，目前大多是以
第二层的switch取代第一层的hub，switch 可以判断出封包要传送的目的地，所以会提高
连线效能，也较不易遭受网路监听，但是因为其运作使用到ARP（Address Resolution
Protocol）通讯协定，攻击者可假造IP与网路卡号MAC address 的对映关系，进而创造一
个可进行监听的环境，对特定主机进行监听。所以使用switch 取代hub，理论上会较为安
全，但也无法保证完全不会遭受网路监听。
　　再来要看的是网路卡的运作模式，因为我们一般电脑要连上网路，都要透过网路卡进
行讯号处理，才能够顺利进行网路连线，网路卡的运作模式可分为以下四种：Unicast、
Broadcast、Multicast、Promiscuous。 在不同的连线状况下，网路卡会依需求切换到不
同的运作模式，一般电脑的网路卡只会去听取和自己有关的网路连线封包，对于和自己无
关的封包不会进而去看封包的内容，但如果强制将网路卡开启为Promiscuous 模式，则只
要封包流经过网路卡，则网路卡便会接收并分析封包的内容再进而取得其封包中所包含、
传递的资料。而一般要侦测网路中是否有人安装监听程式进行窃听的动作，探测同一网路
中电脑的网路卡运作模式便是一种很有效的方式。
三、监听工具：
　　由于目前软硬体发展迅速，要使用一般电脑进行封包监听动作其实相当容易，一般人
上网搜寻便可轻易下载一大堆封包监听的工具程式，特别是可以分析、过滤出网路连线中
的帐号、密码等资讯的小工具程式，而这种工具程式也可以被安装在特定主机上，以从本
机的连线中获取该电脑使用者的机密资讯。只要是电脑的软硬体相容就有可能会被安装监
听程式，特别是在公用的电脑上，因为每个人都有权限去使用，可能更进一步的还有足够
的权限可以随意的安装软体，在这种一般使用者不知道的状况下，上网所需未加密的帐号
、密码便很容易的被监听、窃取，而也因为网路的发达，很多人会从网路上自行下载各种
看似有用或有趣的小软体安装在自己的电脑上，但是这些软体有可能被植入木马、后门程
式，将监听程式也放在里面，一但使用者安装后，表面上使用的很正常，但其实连监听程
式也安装进自己的电脑，自己在电脑上所进行的一举一动都被有心人士看的一清二楚，甚
至是连帐号、密码、信用卡号码都被监听后，再主动由网路传送出去，这也是一般使用者
在上网下载、安装软体时需要特别注意的。
　　一般骇客所使用的监听、窃听工具可依作业系统平台不同而分为两大类，一类是在
UNIX-LIKE作业系统中所使用，常见的工具如：dsniff、sniffit、snoop、tcpdump、
ethereal。另一类是在WINDOWS作业系统中所使用，如：ethereal、Cain、winsniff、
msn sniffer、Effetech http sniffer。
　　其使用方式还可分为指令列操作方式及视窗图型化操作方式，而对于所监听网路通讯
，也可依网路的不同层及不同服务需求而有不同的工具可应用。如用于网路流量分析的监
听工具可能就需要对比较底层的网路封包通讯状况做处理与分析，而针对比较上层的应用
程式传递的明文资料就需要有专门对于特定的监听程式以进行监听的动作，如：telnet、
ftp、smtp、http、msn等，通讯内容都未经加密，很容易以工具进行机密资料的监听与窃
取。
四、监听侦测：
　　对于如何侦测出本机或是区域网路中是否有人安装监听程式，可以透过一些方式及相
对的程式帮助侦测，但理论上，要从网路上侦测封包监听是不大可能的，因为封包监听是
可以完全被动的，不传送封包出去，在这种情况下，就需要透过不同的方式去进行侦测与
判断，才能正确的找出被安装监听程式的电脑主机，以保护本机及网路的安全。
　　一般侦测监听的思考面如下：
1.网路卡在杂听模式（promiscuous mode）下的行为：
网路卡如果以此模式运作，由于流经此网路卡的所以封包都会进行处理，所以我们也可以
使用程式送出特别的封包，以其回应之封包不同于一般网路卡正常模式的反应，加以判断
区域网路中的电脑是否运作在杂听模式下，但此判断结果并不是百分之分正确，有可能有
误判的状况，如一些网路设备本身就是以此模式在运作，如入侵侦测系统，网路印表机。
2.封包监听程式本身的行为：
某些监听程式一但听取到某些机密资讯，会用特别的封包格式将资料主动的回传至攻击者
的电脑，可藉由侦测此特殊的封包格式加以判断。
3.监听程式所安装的系统主机的行为：
因为被安装监听程式，所以其程式的运作需要额外的cpu 与记忆体资源，假如是以一台主
机监听整个区域网路，其cpu 与记忆体的负载会明显的异于平时的状况，即可由此加以判
断。
　　若运用以上思考方向，于被安装监听程式并有设定IP位址的主机，可进一步的分成以
下几种实际可行的侦测方式。
1.ARP侦测：
藉由送出带有特殊位址的ARP 封包探测区域网路中之网路卡如有启动杂听模式，则其回应
的封包不同于一般网路卡其他模式的回应。
2.DNS侦测：
有些监听程式会进行IP<->DOMAIN NAME的解析，如网路中的某台主机送出大量名称解析的
要求，则也有可能被安装监听程式。
3.LATENCY侦测：
由于网路卡启动杂听模式，会忙于处理各种经过的网路流量，如果利用程式送出大量封包
进行测试，进行计算其封包的回应时间及其观察主机的效能运作状况，如果某主机网路的
回应时间较久，系统负荷明显的变重，则也有可能被安全监听程式。
　　常见可用来探测区域网路网路卡启动杂听模式程式如下：PromiScan、cain、ettercap
、SnoopNetCop。
　　对于未设定IP，但有安装监听程式的主机，则无法使用以上的方式判断，可由以下方
式进行:
1.HOST STATUS：
可以利用host IDS对本机的档案进行定期的稽核检查，如果有系统有新增异常的档案或程
式，则可以进而判断是否为监听程式
2.NIC STATUS：
可以利用系统本身的一些工具程式如UNIX-LIKE作业系统中常见的网路设定工具 ifconfig
判断网路卡的运作模式，如其显现的讯息有出现"PROMISC" 等关键字，则其有可能被安装
监程式，WINDOWS作业系统由于本身无类似的工具可使用，可以使用外部工具程 Promisc-
Detect (http://ntsecurity.nu/too...scdetect/) 进行检测，如其显示"
Promiscuous (capture all packets on the network)" 此讯息，则表示本机有可能被安
装监听程式。
3.检查实体线路：
也可以经由检查网路卡及网路设备的显示灯号做为判断，如该主机并无人使用，表面上也
无程式在运作，但灯号异常忙碌的在闪烁，则表示在进行大量的网路连线，则需检查是何
原因、何程式所引起。
五、如何防止被监听：
1.使用SWITCH取代HUB：
虽然使用SWITCH取代HUB 并不是百分之百的安全及有效，但至少可以发挥一定的功效，可
以阻挡一些只会利用简单工具进行网路监听，意图窃取机密资讯的工具骇客。
2.通讯加密(ssh)：
只要网路的通讯用加密工具将其连线的封包内容加以加密，则纵使被监听，其听取到的资
料是一堆乱码，从而使骇客无法达到其窃取资讯的目的，这也是最有效的方式。
3.不随意下载安装来路不明的软体：
很多时候监听程式是使用者自己因不小心下载安装被骇客修改过的软体，从而也安装了监
听程式，所以如果没有必要，则不随意下载安装来路不明的软体，以减少被监听的风险。
4.指定静态ARP：
攻击者有可能伪造IP<->MAC ADDRESS的对应关系，进而在SWITCH的环境中创造出可进行监
听的网路环境，藉由在主机端设定静态的ARP 对应关系，则可以防止骇客进行后续的监听
攻击。
5.监控ARP TABLE的改变：
监控ARP TABLE的改变也可以在主机端(如WinARPWatch)或是gateway 端(如arpwatch)安装
程式监测其ARP TABLE的改变状况，如IP<->MAC ADDRESS 有异常的改变，就有可能是有人
想要进行伪造(spoofing)ARP封包，并进而进行网路监听的攻击。
　　网路封包监听是一把双面刃，网管人员可以用其解决问题的问题，但是骇客也可以用
它获得帐号、密码等机密资讯，进行利用所获得的资讯光明正大的进入受害系统中为所欲
为，而目前最常见的电脑权限管理、安全防护大多是以帐号、密码此最原始的方式进行控
管，一但帐号、密码被非相关的人获取，犹如门户大开，让骇客随意的进出系统，所以帐
号、密码的保护是网路安全最基本也是最重要的一道防护关卡，平常需做好相对应的防护
及订定检测计画进行例行的检测，以免因为网路封包监听此种攻击方式而造成系统被入侵
导致遭受有形或无形的损失与伤害。
原创作者: 台湾网路危机处理暨协调中心
文章来源: http://www.cert.org.tw/docume...w.php?key=84