网络犯罪侦查中监听检测及定位研究

　　摘 要：随着网络科技时代的到来，我国的网络技术得到了空前的发展，为人们生产和生活带来了极大的便利，但同时网络技术的发展使得网络安全问题也变得越来越严重，例如以太网的监听软件可以对网络上的重要数据进行截获，是影响网络安全的主要因素之一。现阶段公安机关将计算机网络监听技术和入侵监听检测技术应用于网络犯罪侦查研究中并在此基础上实现了对计算机网络中监听工具的检测以及监听主机的定位。通过该课题的研究可以大大提升公安机关查获网络犯罪目标的概率和效率，为公安部门提供有力的侦查线索。从网络监听的概念和基本原理入手，分析了网络监听检测的实现以及跟踪监听主机位置的方法，最终对如何实施网络监听的防范提出了一定的建议。

　　关键词：网络犯罪;侦查;监听检测;定位;研究

　　网络监听技术是一种运用网络进行监视的技术，网络监听在网络中任何一个模式下都可以进行，可以用来监视网络状态、数据流动情况和网络信息传输情况，在协助网络管理员检测网络数据传输、排除网络故障等方面有不可替代的作用，该技术一直受到网络管理人员的欢迎，但同时，网络监听技术又是一把双刃剑，网络监听也给以太网带来了较严重的安全隐患，当信息以文字的形式在网络上传输时，使用网络监听技术就可以对文字进行攻击并源源不断的将本来在网上传输的信息内容截获，因此很多以太网监听行为都会造成网络入侵，进而导致敏感数据被截获甚至动态口令被盗取。针对这一现象，公安机关必须展开网络侦查和研究，公安机关对网络监听进行技术研究不仅可以保护一些重要数据不被截获泄露，还能够顺藤摸瓜将网络上一些非法监听设备查获。另外该技术为公安机关侦查取证，缩小侦查范围等也起到了重要的作用。

　　1 网络监听的概念和基本原理

　　1.1 网络监听的概念

　　随着计算机技术的不断发展，网络监听技术已经充斥在人们日常生产和生活中，这种监听技术在给人们带来方便的同时也带来了巨大的安全隐患，企业在运用监听技术进行企业管理的同时网络黑客也运用该技术非法获取一些有价值信息，因此对网络监听技术的检测和侦查就显得十分重要了。具体来说网络监听技术就是指当用户成功的登陆一台电脑的主机并取得主机的超级用户权限之后，可以进一步的获取这断以太网中其他主机的控制权，获得寻常方法难以获得的信息。

　　1.2 网络监听的基本原理当前网络中最常用的协议是以太网协议，在这个协议下如果某个主机要发送一个数据给另一台主机并不是点对点进行发送的，而是将数据信息发送给以太网络内的所有主机，在正常情况下只有目标主机才会接收该文件，而其他主机在接收到该数据的时候发现信息的目的地址与自己不符合，就会自动屏蔽掉。此时，如果以太网内有一台主机 A 处于网路监听的状态，那么不管数据的接收地址是否相匹配，主机 A 都会接收到数据信息，这就是网络监听的基本原理。

　　1.2.1 广播式以太网的监听。在广播式以太网中，数据的传播是通过广播机制实现的，在同一个局域网中所有的网络接口都可以对传播的数据信息进行访问，当每个网路接口受到数据后，网卡驱动程序会对接收文件的目的 MAC 地址进行判断，如果地址相匹配则可以传给网络层，否则予以丢弃。接着网络层判断 IP 地址与本机的 IP 地址是否相同，如果相同则传送给传输层，不同则丢弃。最后传输层判断本机的目标端口是否打开，如果打开则将信息传送给应用层，没有打开则将信息丢弃。当计算机主机设置在监听的模式下，则不论 MAC 地址是什么，主机都会接收数据信息，操作人员可以直接访问数据链路层，因此相关所有数据都会被操作人员获取。

　　1.2.2 交换式以太网监听。交换式以太网就是在网络中使用了交换机，数据可以直接单一的传送到目的主机，其他主机不能够以以上方法接收到数据信息，因此相对来说在交换式以太网中进行监听就较为困难。现在我们来分析一下交换式以太网的工作机制，交换机会有一个 MAC 地址与端口的映射表，通过这个映射表实现数据的点对点唯一传播，但是维护这个映射表的内存是固定的，为了达到监听的目的可以发送大量的错误 MAC 地址使交换机失效，交换机失效后就会自动转换到 HUB 模式，通俗来说实现交换式以太网的监听就是增加了让交换系统失效的步骤。

　　2 监听检测的实现

　　2.1 网络主机的获取

　　理论上说，网络上的任何使用者都可以被查出来，互联网上的任何行为都会有一个 IP 地址进行标识，在进行网络通讯时都会有网络信号的发送者和接收者，因此一旦有人与你的网络进行通讯，对方的 IP 地址都可以被知晓，在对网络犯罪的侦查中，获取主机地址的方法有很多其中最主要就是通过获取 IP 地址和 MAC 地址的方式确定网络主机的地址，例如对各类网关出入口的数据进行筛选过滤，再通过网络监听，数据包监控等都可以将网络主机的 IP 地址或者 MAC 地址侦测到。

　　2.2 网络监听的检测

　　2.2.1 监听主机的特点。对于网络监听来说其监听程序是比较不易被发现的，因为通常情况下，网络监听主机只是去接收网络上传送的信息但是从不主动的向外发送信息，这种情况下无疑增加了对它进行检测的难度。而如果只是单纯的去使用交换以太网技术或者对数据采取加密技术处理虽然在一定程度上降低了数据被监听的概率但是并不能得知该局域网是否存在着监听程序，没有从根本上解决监听程序带来的风险;但是在网络犯罪的侦查过程中，作为监听和被监听的第三方个体，公安机关侦查人员必须要弄清网络监听主机的存在与否。

　　为了达到侦查网络监听主机的目的，首先我们应该对监听主机的特点进行分析。第一，当计算机主机运行了网络监听程序时，网卡模式混杂，所有到达网卡的数据包硬件都会中断，同时所有的数据信息都要传送到监听程序进行处理，因此由于监听程序的运行会导致主机的性能大大降低，这时主机的负载必然会随着网络负载的加重而加重，这就是监听主机的主要特点之一。第二，通常来说没有安装监听软件的主机只会将与本机匹配的 MAC 地址的文件进行传递处理，但是在当网卡处于混杂模式时，它会将全部的数据信息都进行提交。第三，一些监听程序会对监听到的数据信息进行反向域名解析，这时候网络监听程序就从被动的监听工具转换成了主动的网络工具，但是一个正常的计算机是不会去主动解析与自己不相关的 IP 的。最后网络监听程序运行时启动的进程并不是单个而是多个的，但是没有运行监听程序的主机很少会同时启用多个程序。

　　2.2.2 对监听程序的检测。根据对监听主机特点的分析，我们可以根据这些特点设计出对监听程序进行检测的方法：

　　第一，IP-MAC 地址检测。这种方式是在交换式以太网中进行检测的一种方法，如果存在一个主机在交换式以太网中正在监听，那么它一定会成为其他主机的通信代理并主动发出 ARP 应答，这样才能使局域网内其他的主机受骗。因此公安机关侦查人员可以通过 ARP 应答包分析出监听主机的位置。这种方法要求侦测人员具有全网 IP 地址和 MAC 地址，如果被检测主机的 IP-MAC 地址与接收到 ARP 应答的地址不一样，那么说明该 MAC 地址对应的主机与 IP 地址对应的主机不同，且 MAC 地址对应的主机正在冒用 IP 地址对应的主机。

　　第二，DNS 检测。很多监听程序为了能够进一步找到更有价值的主机获取更有价值的信息都会对 IP 地址进行反向 DNS 解析，因此为了辨别是否有监听主机，可以在网络中发送虚假 IP 数据包，如果有主机发送该 IP 地址的反向 DNS 查询，那么该网络中必然存在监听主机，反之，如果没有主机理会该 IP 地址，则说明没有运行监听程序的主机存在。

　　第三，负载检测。因为正常情况下目标地址与本机不符的数据包会被不含监听程序的主机丢弃掉，因此正常状态下的主机对于突然增加的网络通信量不会产生很大的反应，但是处于监听状态下的主机不进行数据过滤因此增大的网络通信量会对其产生较大的影响，因此根据这一特点可以人为的增加网络通信量然后根据每个主机反应的速度进行判断，当主机的反应时间有明显的变化时基本就可以确定该主机安装有监听程序。

　　3 网络监听主机的定位

　　首先应该通过特定的网络软件或者命令获取监听主机的 IP 地址和 MAC 地址，接着根据获取的 IP 地址查到当前监听主机的交换机连接端口，最后根据交换机基础数据库将监听主机的具体位置进行确定形成最终侦查定位。

　　4 结论

　　总结来说，网络监听检测实施起来难度还较大，在实际工作中网络规模越大越复杂检测工作就越困难，因此当前我们应该对网络监听技术进行进一步探索研究，掌握更先进的侦破技术，这样才能在与网络犯罪人员的斗争中取得胜利。

　　参考文献

　　[1]肖自红,刘霞.网络犯罪侦查中的监听检测及监听定位研究，[J].法制博览，2012(6)：32-35.

　　[2]李其.网络监听检测及防范技术研究[J].信息与电脑，2010(11)： 132.

　　[3]段秀红.以太网中的网络监听检测.[J].吉林粮食高等专科学校学报，2014(6)：18-20.

　　《网络犯罪侦查中监听检测及定位研究》来源《科学技术创新》2018年12期，作者：王冠楠。

《网络犯罪侦查中监听检测及定位研究》

上一篇：浅议基层电子政务发展中的一些问题

下一篇：浅谈电力的安全生产