围堵局域网中“耳朵”:网络嗅探与监听

话题回到数据被打包成为比特流的最后两层，在这里有一个关键部分被称为“数据链路层”，数据在网络层形成IP数据报，再向下到达数据链路层，由数据链路层将IP数据报分割为数据帧，增加以太网包头，再向下一层发送。以太网包头中包含着本机和目标设备的MAC地址，也就是说，链路层的数据帧发送时，是依靠以太网地址而非IP地址来确认的，网卡驱动程序不会关心IP数据报中的目标地址，它所需要的仅仅是MAC地址，而MAC地址就是通过前面提到的ARP寻址获得的。简单的说，数据在局域网内的最终传输目标地址是对方网卡的MAC地址，而不是IP地址，IP地址在局域网里只是为了协助系统找到MAC地址而已。

而就是因为这个寻址结构，最终导致了监听实现的发生。

那么，发生在Internet上的监听又是怎么进行的呢?Internet并不采用MAC地址寻址，因此不可能发生类似局域网内的监听案例，实际上，Internet上的监听是因为数据必须通过的路由网关路由设备被做了手脚，不属于本文讨论范围。

2.发生在共享式局域网内的窃听

所谓的“共享式”局域网(Hub-Based Lan)，指的是早期采用集线器HUB作为网络连接设备的传统以太网的结构，在这个结构里，所有机器都是共享同一条传输线路的，集线器没有端口的概念，它的数据发送方式是“广播”， 集线器接收到相应数据时是单纯的把数据往它所连接的每一台设备线路上发送的，例如一台机器发送一条“我要和小金说话”的报文，那么所有连接这个集线器的设备都会收到这条报文，但是只有名字为“小金”的计算机才会接收处理这条报文，而其他无关的计算机则会“不动声色”的抛弃掉该报文。因此，共享以太网结构里的数据实际上是没有隐私性的，只是网卡会“君子”化的忽略掉与自己无关的“闲言碎语”罢了，但是很不巧，网卡在设计时是加入了“工作模式”的选项的，正是这个特性导致了噩梦。