網(wǎng)絡(luò)犯罪偵查中監(jiān)聽檢測及定位研究

　　摘 要：隨著網(wǎng)絡(luò)科技時代的到來，我國的網(wǎng)絡(luò)技術(shù)得到了空前的發(fā)展，為人們生產(chǎn)和生活帶來了極大的便利，但同時網(wǎng)絡(luò)技術(shù)的發(fā)展使得網(wǎng)絡(luò)安全問題也變得越來越嚴重，例如以太網(wǎng)的監(jiān)聽軟件可以對網(wǎng)絡(luò)上的重要數(shù)據(jù)進行截獲，是影響網(wǎng)絡(luò)安全的主要因素之一?，F(xiàn)階段公安機關(guān)將計算機網(wǎng)絡(luò)監(jiān)聽技術(shù)和入侵監(jiān)聽檢測技術(shù)應(yīng)用于網(wǎng)絡(luò)犯罪偵查研究中并在此基礎(chǔ)上實現(xiàn)了對計算機網(wǎng)絡(luò)中監(jiān)聽工具的檢測以及監(jiān)聽主機的定位。通過該課題的研究可以大大提升公安機關(guān)查獲網(wǎng)絡(luò)犯罪目標的概率和效率，為公安部門提供有力的偵查線索。從網(wǎng)絡(luò)監(jiān)聽的概念和基本原理入手，分析了網(wǎng)絡(luò)監(jiān)聽檢測的實現(xiàn)以及跟蹤監(jiān)聽主機位置的方法，最終對如何實施網(wǎng)絡(luò)監(jiān)聽的防范提出了一定的建議。

　　關(guān)鍵詞：網(wǎng)絡(luò)犯罪;偵查;監(jiān)聽檢測;定位;研究

　　網(wǎng)絡(luò)監(jiān)聽技術(shù)是一種運用網(wǎng)絡(luò)進行監(jiān)視的技術(shù)，網(wǎng)絡(luò)監(jiān)聽在網(wǎng)絡(luò)中任何一個模式下都可以進行，可以用來監(jiān)視網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流動情況和網(wǎng)絡(luò)信息傳輸情況，在協(xié)助網(wǎng)絡(luò)管理員檢測網(wǎng)絡(luò)數(shù)據(jù)傳輸、排除網(wǎng)絡(luò)故障等方面有不可替代的作用，該技術(shù)一直受到網(wǎng)絡(luò)管理人員的歡迎，但同時，網(wǎng)絡(luò)監(jiān)聽技術(shù)又是一把雙刃劍，網(wǎng)絡(luò)監(jiān)聽也給以太網(wǎng)帶來了較嚴重的安全隱患，當信息以文字的形式在網(wǎng)絡(luò)上傳輸時，使用網(wǎng)絡(luò)監(jiān)聽技術(shù)就可以對文字進行攻擊并源源不斷的將本來在網(wǎng)上傳輸?shù)男畔?nèi)容截獲，因此很多以太網(wǎng)監(jiān)聽行為都會造成網(wǎng)絡(luò)入侵，進而導致敏感數(shù)據(jù)被截獲甚至動態(tài)口令被盜取。針對這一現(xiàn)象，公安機關(guān)必須展開網(wǎng)絡(luò)偵查和研究，公安機關(guān)對網(wǎng)絡(luò)監(jiān)聽進行技術(shù)研究不僅可以保護一些重要數(shù)據(jù)不被截獲泄露，還能夠順藤摸瓜將網(wǎng)絡(luò)上一些非法監(jiān)聽設(shè)備查獲。另外該技術(shù)為公安機關(guān)偵查取證，縮小偵查范圍等也起到了重要的作用。

　　1 網(wǎng)絡(luò)監(jiān)聽的概念和基本原理

　　1.1 網(wǎng)絡(luò)監(jiān)聽的概念

　　隨著計算機技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)監(jiān)聽技術(shù)已經(jīng)充斥在人們?nèi)粘Ｉa(chǎn)和生活中，這種監(jiān)聽技術(shù)在給人們帶來方便的同時也帶來了巨大的安全隱患，企業(yè)在運用監(jiān)聽技術(shù)進行企業(yè)管理的同時網(wǎng)絡(luò)黑客也運用該技術(shù)非法獲取一些有價值信息，因此對網(wǎng)絡(luò)監(jiān)聽技術(shù)的檢測和偵查就顯得十分重要了。具體來說網(wǎng)絡(luò)監(jiān)聽技術(shù)就是指當用戶成功的登陸一臺電腦的主機并取得主機的超級用戶權(quán)限之后，可以進一步的獲取這斷以太網(wǎng)中其他主機的控制權(quán)，獲得尋常方法難以獲得的信息。

　　1.2 網(wǎng)絡(luò)監(jiān)聽的基本原理當前網(wǎng)絡(luò)中最常用的協(xié)議是以太網(wǎng)協(xié)議，在這個協(xié)議下如果某個主機要發(fā)送一個數(shù)據(jù)給另一臺主機并不是點對點進行發(fā)送的，而是將數(shù)據(jù)信息發(fā)送給以太網(wǎng)絡(luò)內(nèi)的所有主機，在正常情況下只有目標主機才會接收該文件，而其他主機在接收到該數(shù)據(jù)的時候發(fā)現(xiàn)信息的目的地址與自己不符合，就會自動屏蔽掉。此時，如果以太網(wǎng)內(nèi)有一臺主機 A 處于網(wǎng)路監(jiān)聽的狀態(tài)，那么不管數(shù)據(jù)的接收地址是否相匹配，主機 A 都會接收到數(shù)據(jù)信息，這就是網(wǎng)絡(luò)監(jiān)聽的基本原理。

　　1.2.1 廣播式以太網(wǎng)的監(jiān)聽。在廣播式以太網(wǎng)中，數(shù)據(jù)的傳播是通過廣播機制實現(xiàn)的，在同一個局域網(wǎng)中所有的網(wǎng)絡(luò)接口都可以對傳播的數(shù)據(jù)信息進行訪問，當每個網(wǎng)路接口受到數(shù)據(jù)后，網(wǎng)卡驅(qū)動程序會對接收文件的目的 MAC 地址進行判斷，如果地址相匹配則可以傳給網(wǎng)絡(luò)層，否則予以丟棄。接著網(wǎng)絡(luò)層判斷 IP 地址與本機的 IP 地址是否相同，如果相同則傳送給傳輸層，不同則丟棄。最后傳輸層判斷本機的目標端口是否打開，如果打開則將信息傳送給應(yīng)用層，沒有打開則將信息丟棄。當計算機主機設(shè)置在監(jiān)聽的模式下，則不論 MAC 地址是什么，主機都會接收數(shù)據(jù)信息，操作人員可以直接訪問數(shù)據(jù)鏈路層，因此相關(guān)所有數(shù)據(jù)都會被操作人員獲取。

　　1.2.2 交換式以太網(wǎng)監(jiān)聽。交換式以太網(wǎng)就是在網(wǎng)絡(luò)中使用了交換機，數(shù)據(jù)可以直接單一的傳送到目的主機，其他主機不能夠以以上方法接收到數(shù)據(jù)信息，因此相對來說在交換式以太網(wǎng)中進行監(jiān)聽就較為困難。現(xiàn)在我們來分析一下交換式以太網(wǎng)的工作機制，交換機會有一個 MAC 地址與端口的映射表，通過這個映射表實現(xiàn)數(shù)據(jù)的點對點唯一傳播，但是維護這個映射表的內(nèi)存是固定的，為了達到監(jiān)聽的目的可以發(fā)送大量的錯誤 MAC 地址使交換機失效，交換機失效后就會自動轉(zhuǎn)換到 HUB 模式，通俗來說實現(xiàn)交換式以太網(wǎng)的監(jiān)聽就是增加了讓交換系統(tǒng)失效的步驟。

　　2 監(jiān)聽檢測的實現(xiàn)

　　2.1 網(wǎng)絡(luò)主機的獲取

　　理論上說，網(wǎng)絡(luò)上的任何使用者都可以被查出來，互聯(lián)網(wǎng)上的任何行為都會有一個 IP 地址進行標識，在進行網(wǎng)絡(luò)通訊時都會有網(wǎng)絡(luò)信號的發(fā)送者和接收者，因此一旦有人與你的網(wǎng)絡(luò)進行通訊，對方的 IP 地址都可以被知曉，在對網(wǎng)絡(luò)犯罪的偵查中，獲取主機地址的方法有很多其中最主要就是通過獲取 IP 地址和 MAC 地址的方式確定網(wǎng)絡(luò)主機的地址，例如對各類網(wǎng)關(guān)出入口的數(shù)據(jù)進行篩選過濾，再通過網(wǎng)絡(luò)監(jiān)聽，數(shù)據(jù)包監(jiān)控等都可以將網(wǎng)絡(luò)主機的 IP 地址或者 MAC 地址偵測到。

　　2.2 網(wǎng)絡(luò)監(jiān)聽的檢測

　　2.2.1 監(jiān)聽主機的特點。對于網(wǎng)絡(luò)監(jiān)聽來說其監(jiān)聽程序是比較不易被發(fā)現(xiàn)的，因為通常情況下，網(wǎng)絡(luò)監(jiān)聽主機只是去接收網(wǎng)絡(luò)上傳送的信息但是從不主動的向外發(fā)送信息，這種情況下無疑增加了對它進行檢測的難度。而如果只是單純的去使用交換以太網(wǎng)技術(shù)或者對數(shù)據(jù)采取加密技術(shù)處理雖然在一定程度上降低了數(shù)據(jù)被監(jiān)聽的概率但是并不能得知該局域網(wǎng)是否存在著監(jiān)聽程序，沒有從根本上解決監(jiān)聽程序帶來的風險;但是在網(wǎng)絡(luò)犯罪的偵查過程中，作為監(jiān)聽和被監(jiān)聽的第三方個體，公安機關(guān)偵查人員必須要弄清網(wǎng)絡(luò)監(jiān)聽主機的存在與否。

　　為了達到偵查網(wǎng)絡(luò)監(jiān)聽主機的目的，首先我們應(yīng)該對監(jiān)聽主機的特點進行分析。第一，當計算機主機運行了網(wǎng)絡(luò)監(jiān)聽程序時，網(wǎng)卡模式混雜，所有到達網(wǎng)卡的數(shù)據(jù)包硬件都會中斷，同時所有的數(shù)據(jù)信息都要傳送到監(jiān)聽程序進行處理，因此由于監(jiān)聽程序的運行會導致主機的性能大大降低，這時主機的負載必然會隨著網(wǎng)絡(luò)負載的加重而加重，這就是監(jiān)聽主機的主要特點之一。第二，通常來說沒有安裝監(jiān)聽軟件的主機只會將與本機匹配的 MAC 地址的文件進行傳遞處理，但是在當網(wǎng)卡處于混雜模式時，它會將全部的數(shù)據(jù)信息都進行提交。第三，一些監(jiān)聽程序會對監(jiān)聽到的數(shù)據(jù)信息進行反向域名解析，這時候網(wǎng)絡(luò)監(jiān)聽程序就從被動的監(jiān)聽工具轉(zhuǎn)換成了主動的網(wǎng)絡(luò)工具，但是一個正常的計算機是不會去主動解析與自己不相關(guān)的 IP 的。最后網(wǎng)絡(luò)監(jiān)聽程序運行時啟動的進程并不是單個而是多個的，但是沒有運行監(jiān)聽程序的主機很少會同時啟用多個程序。

　　2.2.2 對監(jiān)聽程序的檢測。根據(jù)對監(jiān)聽主機特點的分析，我們可以根據(jù)這些特點設(shè)計出對監(jiān)聽程序進行檢測的方法：

　　第一，IP-MAC 地址檢測。這種方式是在交換式以太網(wǎng)中進行檢測的一種方法，如果存在一個主機在交換式以太網(wǎng)中正在監(jiān)聽，那么它一定會成為其他主機的通信代理并主動發(fā)出 ARP 應(yīng)答，這樣才能使局域網(wǎng)內(nèi)其他的主機受騙。因此公安機關(guān)偵查人員可以通過 ARP 應(yīng)答包分析出監(jiān)聽主機的位置。這種方法要求偵測人員具有全網(wǎng) IP 地址和 MAC 地址，如果被檢測主機的 IP-MAC 地址與接收到 ARP 應(yīng)答的地址不一樣，那么說明該 MAC 地址對應(yīng)的主機與 IP 地址對應(yīng)的主機不同，且 MAC 地址對應(yīng)的主機正在冒用 IP 地址對應(yīng)的主機。

　　第二，DNS 檢測。很多監(jiān)聽程序為了能夠進一步找到更有價值的主機獲取更有價值的信息都會對 IP 地址進行反向 DNS 解析，因此為了辨別是否有監(jiān)聽主機，可以在網(wǎng)絡(luò)中發(fā)送虛假 IP 數(shù)據(jù)包，如果有主機發(fā)送該 IP 地址的反向 DNS 查詢，那么該網(wǎng)絡(luò)中必然存在監(jiān)聽主機，反之，如果沒有主機理會該 IP 地址，則說明沒有運行監(jiān)聽程序的主機存在。

　　第三，負載檢測。因為正常情況下目標地址與本機不符的數(shù)據(jù)包會被不含監(jiān)聽程序的主機丟棄掉，因此正常狀態(tài)下的主機對于突然增加的網(wǎng)絡(luò)通信量不會產(chǎn)生很大的反應(yīng)，但是處于監(jiān)聽狀態(tài)下的主機不進行數(shù)據(jù)過濾因此增大的網(wǎng)絡(luò)通信量會對其產(chǎn)生較大的影響，因此根據(jù)這一特點可以人為的增加網(wǎng)絡(luò)通信量然后根據(jù)每個主機反應(yīng)的速度進行判斷，當主機的反應(yīng)時間有明顯的變化時基本就可以確定該主機安裝有監(jiān)聽程序。

　　3 網(wǎng)絡(luò)監(jiān)聽主機的定位

　　首先應(yīng)該通過特定的網(wǎng)絡(luò)軟件或者命令獲取監(jiān)聽主機的 IP 地址和 MAC 地址，接著根據(jù)獲取的 IP 地址查到當前監(jiān)聽主機的交換機連接端口，最后根據(jù)交換機基礎(chǔ)數(shù)據(jù)庫將監(jiān)聽主機的具體位置進行確定形成最終偵查定位。

　　4 結(jié)論

　　總結(jié)來說，網(wǎng)絡(luò)監(jiān)聽檢測實施起來難度還較大，在實際工作中網(wǎng)絡(luò)規(guī)模越大越復雜檢測工作就越困難，因此當前我們應(yīng)該對網(wǎng)絡(luò)監(jiān)聽技術(shù)進行進一步探索研究，掌握更先進的偵破技術(shù)，這樣才能在與網(wǎng)絡(luò)犯罪人員的斗爭中取得勝利。

　　參考文獻

　　[1]肖自紅,劉霞.網(wǎng)絡(luò)犯罪偵查中的監(jiān)聽檢測及監(jiān)聽定位研究，[J].法制博覽，2012(6)：32-35.

　　[2]李其.網(wǎng)絡(luò)監(jiān)聽檢測及防范技術(shù)研究[J].信息與電腦，2010(11)： 132.

　　[3]段秀紅.以太網(wǎng)中的網(wǎng)絡(luò)監(jiān)聽檢測.[J].吉林糧食高等?？茖W校學報，2014(6)：18-20.

　　《網(wǎng)絡(luò)犯罪偵查中監(jiān)聽檢測及定位研究》來源《科學技術(shù)創(chuàng)新》2018年12期，作者：王冠楠。

《網(wǎng)絡(luò)犯罪偵查中監(jiān)聽檢測及定位研究》

上一篇：淺議基層電子政務(wù)發(fā)展中的一些問題

下一篇：淺談電力的安全生產(chǎn)