网络监听是指将网络上传输的数据捕获并进行分析的行为,它包括数据捕获和协议还原两大部分,目的在于提供给网络管理员(Manager)对局域网流量检测和分析,发现网络故障,记录通讯日志,察看安全情况.然而网络监听工具(sniffer)也是一种被动攻击工具,常见的攻击方式是捕获登陆主机用户名和口令来打开IDS后门,攻破计算机防御系统;捕获敏感信息比如银行储蓄卡密码,绝密信息;窥探底层协议信息等等<[1]>.网络监听运行的环境是在局域网内的,在Internet中实现远程(remote)监听是很困难的,因为目标机之间的通信只经过二者之间的路由,而不经过公网的其他部分,监听者无法截获数据<[2]>.理论上可行的方法是在非法进入目标机上安装网络监听软件,在非法进入的ISP服务器安装网络监听软件,而这类问题又归结到入侵监测和局域网内数据捕获的问题上.因此及时、方便、有效的远程检测sniffer是安全网管中重要课题.网络监听和反监听是两个矛盾对立体,为了更深刻理解反监听的原理和技术,文章随后对网络监听行为作了详尽的分析.虽然网络监听的原理是相近的,但是实现方式还是会根据以太网的连接方式不同而不同,因此文章按照共享介质和交换介质分别描述.理解网络监听的原理和技术之后,切入该文的主题:检测网络监听者(Sniffer).文章将检测Sniffer的技术大致分为两类:基于TCP/IP协议和系统协议栈反射的发包探测技术,基于Sniffer运行特征的异常检测技术.同时对这两大类进行了细化,描述了第一类在共享介质和交换介质下的实现,和第二类中有针对性的两种实现:DNS反解析探测和时间延时探测.在第4章中,文章给出了广域网反监听的定义,明确了该系统实际要实现的最重要的功能:统一管理并跨越局域网,实现分布式检测Sniffer.为了更好的理解这个概念,文章详细分析了第3章中提及的网络反监听技术的局限性,进一步论证了该系统的必要性和可行性.最后,文章详细描述了该系统的功能、设计、子模块划分及其关系,系统数据流等,并给出了测试及结果.