说起网络监听，最著名的莫过于美国中央情报局的"食肉动物"监听软件了，一听名字就让人有些不寒而栗。在这隐伏在网络中的"食肉动物"面前我们还有秘密可言吗?我们应如何防范?

　　★网络监听的特点

　　网络监听是一种常用的被动式网络攻击方法，能帮助入侵者轻易获得用其他方法很难获得的信息，包括用户口令、账号、敏感数据、IP地址、路由信息、TCP套接字号等。类似"食肉动物"一类的监听，一旦成功地登录目标网络上的一台主机，就会取得该机的超级用户权限，而且往往会尝试攻击网络中的其他主机，以实现对整个网络的监听。

　　网络监听通常在网络接口处截获计算机之间通信的数据流，是进行网络攻击最简单、最有效的方法。它具有以下特点：

　　1、隐蔽性强。进行网络监听的主机只是被动地接收网上传输的信息，没有任何主动的行为，既不修改网上传输的数据包，也不往链路上插入任何数据，很难被网络管理员觉察到。

　　2、手段灵活。网络监听可以在网上的任何位置实施，可以是网上的一台主机、路由器，也可以是调制解调器。其中，网络监听效果最好的地方是在网络中某些具有战略意义的位置，如网关、路由器、防火墙之类的设备或重要网段；而使用最方便的地方是在网中的一台主机上。

　　★从蛛丝马迹发现网络监听

　　正因为网络监听具有以上特点，因此检测非常困难，这意味着更大的安全危害。虽然成功检测到网络监听难度很大，但网络监听并非无懈可击，通过采取积极有效的措施，能够发现它的蛛丝马迹。

　　首先，监听非常消耗CPU资源。当系统运行网络监听软件时，系统因负荷过重，而对外界的响应很慢。因此，对于怀疑运行监听程序的主机，可用正确的IP地址和错误的物理地址去探测(如Ping)，运行监听程序的主机会有响应。这是因为正常的主机不接收错误的物理地址，而处于监听状态的主机能接收。另外，可向网上发送大量目的地址根本不存在的数据包，由于监听程序将处理这些数据包，会导致主机性能下降。通过比较该主机前后的性能，就可以作出判断，但这种方法难度较大。当前，有两个比较可行的办法：一是搜索网上所有主机运行的进程。网络管理员使用UNIX或Windows NT的主机，可以很容易地得到当前进程的清单，并确定是否有一个进程被从管理员主机上启动；二是搜查监听程序。现在监听程序只有有限的几种，管理员可以检查目录，找出监听程序。

　　还有两个方法在发现监听方面比较有效，但缺点也是难度较大：一是检查被怀疑主机中是否有一个随时间不断增长的文件存在，因为网络监听输出的文件通常很大，且随时间不断增长。二是通过运行iPconfig命令，检查网卡是否被设置成了监听模式；或使用Ifstatus工具，定期检测网络接口是否处于监听状态。当网络接口处于监听状态时，很可能是入侵者侵入了系统，并正在运行一个监听程序，这时候就要有所注意。

　　★网络监听的防范

　　网络监听的防范一般比较困难，通常可采取数据加密和网络分段两种方法：

　　1、数据加密。数据加密的优越性在于，即使攻击者获得了数据，如果不能破译，这些数据对他也是没有用的。一般而言，人们真正关心的是那些秘密数据的安全传输，使其不被监听和偷换。如果这些信息以明文的形式传输，就很容易被截获而且阅读出来。因此，对秘密数据进行加密传输是一个很好的办法。

　　2、网络分段。即采用网络分段技术，建立安全的网络拓扑结构，将一个大的网络分成若干个小的网络，如将一个部门、一个办公室等可以相互信任的主机放在一个物理网段上，网段之间再通过网桥、交换机或路由器相连，实现相互隔离。这样，即使某个网段被监听了，网络中其他网段还是安全的。因为数据包只能在该子网的网段内被截获，网络中剩余的部分(不在同一网段的部分)则被保护了。