網路監聽

世界上最早的竊聽器是中國在2000 年前發明的。戰國時代的《墨子》一 書就記載了一種 “聽瓮”。這種“聽瓮”是用陶製成的，大肚小口，把它埋在地下，並在瓮口蒙上一層薄薄的皮革，人伏在上面就可以傾聽到城外方圓數十里的動靜。到了唐代，又出現了一種 “地聽”器。它是用精瓷燒制而成，形狀猶如一個空心的葫蘆枕頭，人睡臥休息時，側頭貼耳枕在上面，就能清晰地聽到30 里外的馬蹄聲。北宋大科學家沈括在他著名的《夢溪筆談》一書中介紹了一種用牛皮做的 “箭囊聽枕”。他還科學地指出，這種“箭囊聽枕”之所以能夠聽到 “數里內外的人馬聲”，是因為“虛能納聲”，而大地又好像是一根 “專線”，連線著彼此兩個地點，是一種傳遞聲音信號的媒介。在江南一帶，還有一種常用的 “竹管竊聽器”。它是用一根根鑿穿內節的毛竹連線在一起的，敷設在地下、水下或隱蔽在地上，建築物內，進行較短距離的竊聽。

自從1876年英國青年亞·貝爾發明有線電話以後，這些使用了幾千年的原始竊聽器，才漸漸退隱出了間諜舞台。

摘要： 長期以來，在保障業務連續性和性能的前提下，最大限度的保障資料庫安全一直是資料庫管理人員、安全管理人員孜孜不倦追求的安全目標。本文將主要介紹4種資料庫安全審計技術，並建議優選網路監聽方式。

資料庫系統作為三大基礎軟體之一併不是在計算機誕生的時候就同時產生的，隨著信息技術的發展，傳統檔案系統已經不能滿足人們的需要，1961年，美國通用電氣公司成功開發了世界上第一個資料庫系統IDS(Integrated Data Store)，奠定了資料庫的基礎。經過幾十年的發展和實際套用，技術越來越成熟和完善，代表產品有甲骨文公司的Oracle、IBM公司的DB2、微軟公司的MS-SQL Server等等。

如今，資料庫系統在企業管理等領域已經具有非常廣泛的套用，如、賬號管理、訪問控制、安全審計、防病毒、評估加固等多個方面，常見的安全產品如UTM、入侵檢測、漏洞掃描等產品為保障資料庫系統的正常運行起到了重要作用。但是，通過對諸多安全事件的處理、分析，調查人員發現企業內部人員造成的違規事件占了較大比例。

究其原因，主要是因為這些違規行為與傳統的攻擊行為不同，對內部的違規行為無法利用攻擊機理和漏洞機理進行分析，這就導致了那些抵禦外部入侵的產品無用武之地。因此，要防止內部的違規行為，就需要在內部建設審計系統，通過對操作行為的分析，實現對違規行為的及時回響和追溯。

根據Verizon 2009調查報告(基於對2億8500萬次累計破壞行為數據進行分析)，數據破壞情況如圖1所示：

圖1

Verizon數據破壞調查表從圖1可以看到對資料庫系統的嘗試破壞行為占比最高，在75%左右。這是為什麼呢?

圖1

主要原因在於：一方面由於資料庫系統往往承載關鍵業務數據，而這些數據牽涉到企業各個方面的信息，從政治、經濟而言都具備重要的價值;另一方面由於資料庫系統通常比較複雜，且其對連續性、穩定性有高標準的要求，安全管理人員在缺乏相關知識的情況下，往往出現想不到、不敢想、不敢動的情況，從而導致資料庫安全管理工作滯後於業務需求的滿足。

實際上，關於資料庫系統的安全事件層出不窮，而且有愈演愈烈之勢：遠有某市雙色球開獎資料庫被篡改，3305萬巨獎險被冒領的案件;近的更有，滙豐銀行2.4萬賬號數據被盜的例子……對此，國家相關部門非常重視，在《涉及國家秘密的信息系統分級保護技術要求》、《信息系統安全保護等級基本要求》等相關政策中，對於審計系統也有明確的要求：

--應制定能夠確保系統安全審計策略正確實施的規章制度及措施

--應對重要伺服器的訪問行為進行審計

--應包括事件的日期、時間、類型、主體標識、客體標識和結果等

--應定期對審計記錄進行審查分析，對可疑行為及違規操作，採取相應的措施，並及時報告

可見，保障資料庫安全和穩定，已經成為資訊時代舉足輕重的一項工作。那么採取什麼樣的技術方式對資料庫實現安全保護呢?

以下主要就資料庫安全審計技術進行闡述。常見的安全審計技術主要有四類，分別是：基於日誌的審計技術、基於代理的審計技術、基於網路監聽的審計技術、基於網關的審計技術。

1. 基於日誌的審計技術：該技術通常是通過資料庫自身功能實現，Oracle、DB2等主流資料庫，均具備自身審計功能，通過配置資料庫的自審計功能，即可實現對資料庫的審計，其典型部署示意圖如圖2所示：

圖2日誌審計技術部署示意該技術能夠對網路操作及本地運算元據庫的行為進行審計，由於依託於現有資料庫管理系統，因此兼容性很好。

圖2

但這種審計技術的缺點也比較明顯。首先，在資料庫系統上開啟自身日誌審計對資料庫系統的性能就有影響，特別是在大流量情況下，損耗較大;其次，日誌審計記錄的細粒度上差，缺少一些關鍵信息，比如源IP、SQL語句等等，審計溯源效果不好，最後就是日誌審計需要到每一台被審計主機上進行配置和查看，較難進行統一的審計策略配置和日誌分析。

2. 基於代理的審計技術：該技術是通過在資料庫系統上安裝相應的審計Agent，在Agent上實現審計策略的配置和日誌的採集，常見的產品如Oracle公司的Oracle Audit Vault、IBM公司的DB2 Audit Management Expert Tool以及第三方安全公司提供的產品，其典型部署示意圖如圖3所示：

圖3 代理審計技術部署示意：該技術與日誌審計技術比較類似，最大的不同是需要在被審計主機上安裝代理程式。代理審計技術從審計粒度上要優於日誌審計技術，但是性能上的損耗是要大於日誌審計技術，因為資料庫系統廠商未公開細節，由資料庫廠商提供的代理審計類產品對自有資料庫系統的兼容性較好，但是在跨資料庫系統的支持上，比如要同時審計Oracle和DB2時，存在一定的兼容性風險。同時由於在引入代理審計後，原資料庫系統的穩定性、可靠性、性能或多或少都會有一些影響，實際的套用面較窄。

圖3

3. 基於網路監聽的審計技術：該技術是通過將對資料庫系統的訪問流鏡像到交換機某一個連線埠，然後通過專用硬體設備對該連線埠流量進行分析和還原，從而實現對資料庫訪問的審計。其典型部署示意圖如圖4所示：

圖4網路監聽審計技術部署示意：該技術最大的優點就是與現有資料庫系統無關，部署過程不會給資料庫系統帶來性能上的負擔，即使是出現故障也不會影響資料庫系統的正常運行，具備易部署、無風險的特點;但是，其部署的實現原理決定了網路監聽技術在針對加密協定時，只能實現到會話級別審計(即可以審計到時間、源IP、源連線埠、目的IP、目的連線埠等信息)，而沒法對內容進行審計。不過在絕大多數業務環境下，因為資料庫系統對業務性能的要求是遠高於對數據傳輸加密的要求，很少有採用加密通訊方式訪問資料庫服務連線埠的情況，故網路監聽審計技術在實際的資料庫審計項目中套用非常廣泛。

圖3

4 基於網關的審計技術：該技術是通過在資料庫系統前部署網關設備，通過線上截獲並轉發到資料庫的流量而實現審計，其典型部署示意圖如圖5所示：

圖5網關審計技術部署示意該技術是起源於安全審計在網際網路審計中的套用，在網際網路環境中，審計過程除了記錄以外，還需要關注控制，而網路監聽方式無法實現很好的控制效果，故多數網際網路審計廠商選擇通過串列的方式來實現控制。在套用過程中，這種技術實現方式開始在資料庫環境中使用，不過由於資料庫環境存在流量大、業務連續性要求高、可靠性要求高的特點，與網際網路環境大相逕庭，故這種網關審計技術往往主要運用在對資料庫運維審計的情況下，不能完全覆蓋所有對資料庫訪問行為的審計。

圖5

通過對以上四種技術的分析，在進行資料庫審計技術方案的選擇時，我們遵循的根本原則建議是：

1.業務保障原則：安全建設的根本目標是能夠更好的保障網路上承載的業務。在保證安全的同時，必須保障業務的正常運行和運行效率。

2.結構簡化原則：安全建設的直接目的和效果是要將整個網路變得更加安全，簡單的網路結構便於整個安全防護體系的管理、執行和維護。

3.生命周期原則：安全建設不僅僅要考慮靜態設計，還要考慮不斷的變化；系統應具備適度的靈活性和擴展性。

根據通常情況下用戶業務系統7*24小時不間斷運行的特點，從穩定性、可靠性、可用性等多方面進行考慮，特別是技術方案的選擇不應對現有系統造成影響，建議用戶朋友優先採用網路監聽審計技術來實現對資料庫的審計。

現在科技發達，有許多工具可以讓我們發現系統中的漏洞，如SATAN等。SATAN是可以分析網路的管理、測試和報告許多信息，識別一些與網路相關的安全問題。對所發現的問題，SATAN提供對這個問題的解釋以及可能對系統和網路安全造成影響的程度，並且通過工具所附的資料，還能解釋如何處理這些問題。

當然還有很多像這樣的安全工具。包括對TCP連線埠的掃描或者對多台主機的所有TCP連線埠實現監聽；分析網路協定、監視控制多個網段等，正確使用這些安全工具，及時發現系統漏洞，才能防患於未然。

而對於WindowsNT系統平台，可定期檢查EventLog中的SECLog記錄，查看是否有可疑的情況，防止網路監聽與連線埠掃描。

防火牆型安全保障技術是基於被保護網路具有明確定義的邊界和服務、並且網路安全的威脅僅來自外部的網路。通過監測、限制以及更改跨越“防火牆”的數據流，儘可能的對外部網路禁止有關被保護網路的信息、結構，實現對網路的安全保護，因此比較適合於相對獨立，與外部網路互連途徑有限並且網路服務種類相對單一、集中的網路系統，如Internet。“防火牆”型系統在技術原理上對來自內部網路系統的安全威脅不具備防範作用，對網路安全功能的加強往往以網路服務的靈活行、多樣性和開放性為代價，且需要較大的網路管理開銷。

防火牆型網路安全保障系統實施相當簡單，是目前套用較廣的網路安全技術，但是其基本特徵及運行代價限制了其開放型的大規模網路系統中套用的潛力。由於防火牆型網路安全保障系統只在網路邊界上具有安全保障功能，實際效力範圍相當有限，因此“防火牆”型安全技術往往是針對特定需要而專門設計實施的系統。

對於個人用戶，安裝一套好的個人防火牆是非常實際而且有效的方法。現在許多公司都開發了個人防火牆，這些防火牆往往具有智慧型防禦核心，攻擊，並進行自動防禦，保護內部網路的安全。

目前有許多軟體包可用於加密連線，使入侵者即使捕獲到數據，但無法將數據解密而失去竊聽的意義。

首先要從購買手機時就開始防範。購買渠道是一個很重要的環節。 其次，不要隨便到非指定維修點修理手機，不要輕易將手機借給別人使用，如果對您的手機有所懷疑，應儘早到廠商指定維修點進行檢測。 對於前面介紹的大型行動電話監聽系統，因為它已經是非常“標準”的間諜器材了，如果這種竊聽器出現在我們身邊，由於它的功率較大，反間諜部門及警方會偵測並發現這些偷聽者，並且對偷聽者的懲罰是非常嚴厲的。

在網路中，當信息進行傳播的時候，可以利用工具，將網路接口設定在監聽的模式，便可將網路中正在傳播的信息截獲或者捕獲到，從而進行攻擊。網路監聽在網路中的任何一個位置模式下都可實施進行。而黑客一般都是利用網路監聽來截取用戶口令。比如當有人占領了一台主機之後，那么他要再想將戰果擴大到這個主機所在的整個區域網路話，監聽往往是他們選擇的捷徑。很多時候我在各類安全論壇上看到一些初學的愛好者，在他們認為如果占領了某主機之後那么想進入它的內部網應該是很簡單的。其實非也，進入了某主機再想轉入它的內部網路里的其它機器也都不是一件容易的事情。因為你除了要拿到他們的口令之外還有就是他們共享的絕對路徑，當然了，這個路徑的盡頭必須是有寫的許可權了。在這個時候，運行已經被控制的主機上的監聽程式就會有大收效。不過卻是一件費神的事情，而且還需要當事者有足夠的耐心和應變能力。

Ethernet（乙太網，它是由施樂公司發明的一種比較流行的區域網路技術，它包含一條所有計算機都連線到其上的一條電纜，每台計算機需要一種叫接口板的硬體才能連線到乙太網）協定的工作方式是將要傳送的數據包發往連線在一起的所有主機。在包頭中包括有應該接收數據包的主機的正確地址，因為只有與數據包中目標地址一致的那台主機才能接收到信息包，但是當主機工作在監聽模式下的話不管數據包中的目標物理地址是什麼，主機都將可以接收到。許多區域網路內有十幾台甚至上百台主機是通過一個電纜、一個集線器連線在一起的，在協定的高層或者用戶來看，當同一網路中的兩台主機通信的時候，源主機將寫有目的的主機地址的數據包直接發向目的主機，或者當網路中的一台主機同外界的主機通信時，源主機將寫有目的的主機IP位址的數據包發向網關。但這種數據包並不能在協定棧的高層直接傳送出去，要傳送的數據包必須從TCP/IP協定的IP層交給網路接口，也就是所說的數據鏈路層。網路接口不會識別IP位址的。在網路接口由IP層來的帶有IP位址的數據包又增加了一部分以太禎的禎頭的信息。在禎頭中，有兩個域分別為只有網路接口才能識別的源主機和目的主機的物理地址這是一個48位的地址，這個48位的地址是與IP位址相對應的，換句話說就是一個IP位址也會對應一個物理地址。對於作為網關的主機，由於它連線了多個網路，它也就同時具備有很多個IP位址，在每個網路中它都有一個。而發向網路外的禎中繼攜帶的就是網關的物理地址。

Ethernet中填寫了物理地址的禎從網路接口中，也就是從網卡中傳送出去傳送到物理的線路上。如果區域網路是由一條粗網或細網連線成的，那么數位訊號在電纜上傳輸信號就能夠到達線路上的每一台主機。再當使用集線器的時候，傳送出去的信號到達集線器，由集線器再發向連線在集線器上的每一條線路。這樣在物理線路上傳輸的數位訊號也就能到達連線在集線器上的每個主機了。當數位訊號到達一台主機的網路接口時，正常狀態下網路接口對讀入數據禎進行檢查，如果數據禎中攜帶的物理地址是自己的或者物理地址是廣播地址，那么就會將數據禎交給IP層軟體。對於每個到達網路接口的數據禎都要進行這個過程的。但是當主機工作在監聽模式下的話，所有的數據禎都將被交給上層協定軟體處理。

當連線在同一條電纜或集線器上的主機被邏輯地分為幾個子網的時候，那么要是有一台主機處於監聽模式，它還將可以接收到發向與自己不在同一個子網（使用了不同的掩碼、IP位址和網關）的主機的數據包，在同一個物理信道上傳輸的所有信息都可以被接收到。

在UNIX系統上，當擁有超級許可權的用戶要想使自己所控制的主機進入監聽模式，只需要向Interface（網路接口）傳送I/O控制命令，就可以使主機設定成監聽模式了。而在Windows9x的系統中則不論用戶是否有許可權都將可以通過直接運行監聽工具就可以實現了。

在網路監聽時，常常要保存大量的信息（也包含很多的垃圾信息），並將對收集的信息進行大量的整理，這樣就會使正在監聽的機器對其它用戶的請求回響變的很慢。同時監聽程式在運行的時候需要消耗大量的處理器時間，如果在這個時候就詳細的分析包中的內容，許多包就會來不及接收而被漏走。所以監聽程式很多時候就會將監聽得到的包存放在檔案中等待以後分析。分析監聽到的數據包是很頭疼的事情。因為網路中的數據包都非常之複雜。兩台主機之間連續傳送和接收數據包，在監聽到的結果中必然會加一些別的主機互動的數據包。監聽程式將同一TCP會話的包整理到一起就相當不容易了，如果你還期望將用戶詳細信息整理出來就需要根據協定對包進行大量的分析。Internet上那么多的協定，運行進起的話這個監聽程式將會十分的大喔。

現在網路中所使用的協定都是較早前設計的，許多協定的實現都是基於一種非常友好的，通信的雙方充分信任的基礎。在通常的網路環境之下，用戶的信息包括口令都是以明文的方式在網上傳輸的，因此進行網路監聽從而獲得用戶信息並不是一件難點事情，只要掌握有初步的TCP/IP協定知識就可以輕鬆的監聽到你想要的信息的。前些時間美籍華人China-babble曾提出將望路監聽從區域網路延伸到廣域網中，但這個想法很快就被否定了。如果真是這樣的話我想網路必將天下大亂了。而事實上現在在廣域網里也可以監聽和截獲到一些用戶信息。只是還不夠明顯而已。在整個Internet中就更顯得微不足道了。

網路監聽在上述中已經說明了。它是為了系統管理員管理網路，監視網路狀態和數據流動而設計的。但是由於它有著截獲網路數據的功能所以也是黑客所慣用的伎倆之一。

一般檢測網路監聽的方法通過以下來進行：

網路監聽說真的，是很難被發現的。當運行監聽程式的主機在監聽的過程中只是被動的接收在乙太網中傳輸的信息，它不會跟其它的主機交換信息的，也不能修改在網路中傳輸的信息包。這就說明了網路監聽的檢測是比較麻煩的事情。

一般情況下可以通過ps-ef或者ps-aux來檢測。但大多實施監聽程式的人都會通過修改ps的命令來防止被ps-ef的。修改ps只需要幾個shell把監聽程式的名稱過濾掉就OK了。一能做到啟動監聽程式的人也絕對不是個菜的連這個都不懂的人了，除非是他懶。

上邊提到過。當運行監聽程式的時候主機回響一般會受到影響變的會慢，所以也就有人提出來通過回響的速率來判斷是否受到監聽。如果真是這樣判斷的話我想世界真的會大亂了，說不準一個時間段內會發現無數個監聽程式在運行呢。呵呵。

如果說當你懷疑網內某太機器正在實施監聽程式的話（怎么個懷疑？那要看你自己了），可以用正確的IP位址和錯誤的物理地址去ping它，這樣正在運行的監聽程式就會做出回響的。這是因為正常的機器一般不接收錯誤的物理地址的ping信息的。但正在進聽的機器就可以接收，要是它的IP stack不再次反向檢查的話就會回響的。不過這種方法對很多系統是沒效果的，因為它依賴於系統的IP stack。

另一種就是向網上發大量不存在的物理地址的包，而監聽程式往往就會將這些包進行處理，這樣就會導致機器性能下降，你可以用icmp echo delay來判斷和比較它。還可以通過搜尋網內所有主機上運行的程式，但這樣做其的難度可想而知，因為這樣不但是大的工作量，而且還不能完全同時檢查所有主機上的進程。可是如果管理員這樣做也會有很大的必要性，那就是可以確定是否有一個進程是從管理員機器上啟動的。

在Unix中可以通過ps –aun或ps –augx命令產生一個包括所有進程的清單：進程的屬主和這些進程占用的處理器時間和記憶體等。這些以標準表的形式輸出在STDOUT上。如果某一個進程正在運行，那么它將會列在這張清單之中。但很多黑客在運行監聽程式的時候會毫不客氣的把ps或其它運行中的程式修改成Trojan Horse程式，因為他完全可以做到這一點的。如果真是這樣那么上述辦法就不會有結果的。但這樣做在一定程度上還是有所作為的。在Unix和Windows NT上很容易就能得到當前進程的清單了。但DOS、Windows9x好象很難做到喔，具體是不是我沒測試過不得而知。

還有一種方式，這種方式要靠足夠的運氣。因為往往黑客所用的監聽程式大都是免費在網上得到的，他並非專業監聽。所以做為管理員用來搜尋監聽程式也可以檢測。使用Unix可以寫這么一個搜尋的小工具了，不然的話要累死人的。呵呵。

網路監聽技術是系統安全領域內一個非常敏感的話題,也是一項重要技術,具有很強的現實套用背景.對網路監聽的原理和實現技術進行了比較詳細的介紹,設計實現了一個網路監聽器,並用其對當前網際網路的安全狀況進行了初步的分析。

有個叫Ifstatus的運行在Unix下的工具，它可以識別出網路接口是否正處於調試狀態下或者是在進聽裝下。要是網路接口運行這樣的模式之下，那么很有可能正在受到監聽程式的攻擊。Ifstatus一般情況下不會產生任何輸出的，當它檢測到網路的接口處於監聽模式下的時候才回輸出。管理員可以將系統的cron參數設定成定期運行Ifstatus，如果有好的cron進程的話可以將它產生的輸出用mail傳送給正在執行cron任務的人，要實現可以在crontab目錄下加****/usr/local/etc/ifstatus一行參數。這樣不行的話還可以用一個腳本程式在crontab下00****/usr/local/etc/run-ifstatus。

抵禦監聽其實要看哪個方面了。一般情況下監聽只是對用戶口令信息比較敏感一點（沒有無聊的黑客去監聽兩台機器間的聊天信息的那是個浪費時間的事情）。所以對用戶信息和口令信息進行加密是完全有必要的。防止以明文傳輸而被監聽到。現代網路中，SSH（一種在套用環境中提供保密通信的協定）通信協定一直都被沿用，SSH所使用的連線埠是22，它排除了在不安全信道上通信的信息，被監聽的可能性使用到了RAS算法，在授權過程結束後，所有的傳輸都用IDEA技術加密。但SSH並不就是完全安全的。至少現在我們可以這么大膽評論了。

Sniffer之所以著名，權因它在很多方面都做的很好，它可以監聽到（甚至是聽、看到）網上傳輸的所有信息。Sniffer可以是硬體也可以是軟體。主要用來接收在網路上傳輸的信息。網路是可以運行在各種協定之下的，包括乙太網Ethernet、TCP/IP、ZPX等等，也可以是集中協定的聯合體系。

Sniffer是個非常之危險的東西，它可以截獲口令，可以截獲到本來是秘密的或者專用信道內的信息，截獲到信用卡號，經濟數據，E-mail等等。更加可以用來攻擊與己相臨的網路。

Sniffer可以使用在任何一種平台之中。而現在使用Sniffer也不可能被發現，這個足夠是對網路安全的最嚴重的挑戰。

在Sniffer中，還有“熱心人”編寫了它的Plugin，稱為TOD殺手，可以將TCP的連線完全切斷。總之Sniffer應該引起人們的重視，否則安全永遠做不到最好。

手機監聽器、電話監聽器、無線監聽器、車用數碼監聽器、密碼監聽器等，在生活中比較多數人使用的是手機，因此手機監聽器被視為一塊大肥肉。也被很多人積極為利益而研製開發更加簡單安全的民用手機監聽器。來認識下手機監聽器：

它屬於一種手機竊聽器，通過監聽軟體來實施，此方法只可以監聽被監聽人的一部手機。實際需要的人根本不必去購買，此軟體可以在網上免費下載，它只是一款用於偵測手機噪音的套用軟體而已。

通過加裝晶片實現監聽，它同樣只可以監聽一部手機，有些晶片供應商居然報價達八千多元，實際晶片價格不到一千元。

專業手機監聽器

專業手機監聽器（以色列生產），攔截距離可達上萬公里，但是它已經不是在手機與基站間進行攔截了，它的有效監聽距離，與地球同步通訊衛星信號覆蓋範圍幾乎相等，但只可以監聽GSM制式手機，監聽器的主體與下述五的普通手機監聽器相仿，但這種機器的發射功率極大，在其運行後周圍的無線電信號都會受其干擾，而且在至少在兩公里的距離內，所有手機都沒有信號，如果使用的話，無管委及國安會馬上偵測到它的具體位置，因此決定了專業手機監聽器根本不可能民用，而且它的銷售價格極高，為人民幣四十六萬，目前所知台灣有此設備出售。

即軍用及間諜使用器材，對通訊信號的攔截時間只需要幾十納秒，那是國家機器才使用的，相信個人沒人買得起。

它可截獲被監聽手機的一切資料，並且可以盜用被監聽號碼作為主叫或被叫，總之，可以行使被監聽手機的一切功能。由此可以看出，主動式監聽器的危害之大，可能只有官方掌握著這種技術。

所謂的"監聽王"就屬於這種被動式監聽器，由於受監聽距離的限制，實際沒有多大用處，所以即使公安機關也不採用這種設備，他們需要監聽時都是在檢察院授權之後，委託電訊部門去進行，當然這也是法律規定。

被動式監聽器，實際通訊公司內精通通訊網路的專業技術人員，基本上就可以組裝，除了電腦之外幾乎沒什麼硬體成本。這裡不得不佩服那些從業人員的職業素質，不然手機監聽器就真的就會滿天飛了，道理就如同醫生知道某些藥物混合使用後，將會產生什麼後果的道理，但出於職業道德他們不會隨便去談及一樣，當然也不排除可能他們怕失去鐵飯碗而已。主動式監聽器和被動式監聽器有一共性，就是在啟動監聽設備後，必須與被監聽手機同處在同一個基站內，這也就是說它們都是受距離限制的，並非像某些人誇張的那樣，可以無距離限制的進行電話監聽，而且CDMA在監聽開始時有幾秒鐘時間的監聽滯後。那些稱可以攔截幾百公里、無距離限制的被動式監聽器，屬無稽之談，除非全國只有一個基站。那些相信的人，只要找個通訊公司的技術人員，問一下就知道這些說法有多荒唐了，普通手機監聽器只可以在手機與基站間使用。

總之，稱被動式手機監聽器可以遠距離監聽，在本人的知識和能力範圍內認為是不可能的，如果真的可以的話，那隻存在一種可能性，只能是出售者與電訊部門內部技術人員勾結，通過電訊部門內部的人員實施監聽，但相信沒人敢這樣做。

2003年記者披露的"手機監聽器"事件，銷售商僅讓記者去樓上打電話進行監聽，構想：如果"監聽王"真的像銷售商說的那樣，可以去監聽千里之外的手機通話（如果它的實際有效距離可以達到五十公里），那么他們為什麼僅讓記者去樓上打電話？理由只有一個，就是--"監聽器"實際也只是被動式監聽器，它同樣受距離限制。

GSM的原理是在系統信道上把語音信號信道進行編碼、加密、交織，形成突發脈衝串經調製後發射。在移動手機接收端，信號經解調後去交織、信道解碼、語音解碼，然後在用戶的移動手機里恢復成語音信號。GSM系統在傳輸過程中採用窄帶時分多址（TDMA）技術，它的每個載頻信道的頻寬是200KHz，每幀8個時隙，理論上允許一個射頻同時進行8組通話，每個時隙長度為0.577ms，幀時長4.615ms，就是把時間分割成周期性的幀，每一幀再分割成許多個時間間隙，之後根據特定的時間間隙分配原則，使移動手機用戶在每幀中按指定的時間間隙，向著基站傳送信號，基站分別在各自指定的時間間隙中，接收到不同的移動手機用戶的信號，同時基站也按規定的時間間隙，給不同的移動手機用戶發射信號，各移動用戶在指定的時間間隙中接受信號，這樣卻並不能保證，在同一信道上的用戶可以相互不受干擾，這就是個別移動用戶在使用行動電話的時候，偶爾會從話筒里會聽到別人的談話的原因，當就這個問題去諮詢運營商的時候，他們是不會說的，當然，關於對手機監聽器是在哪個環節上實施監聽的，他們就更不會說了。

從2003年"監聽器"被曝光到目前為止，無論是那些所謂出售手機監聽器公司，還是移動通訊專家，及電訊運營商在談到手機監聽器的時候，都對手機監聽器的原理避而不談，想必是運營商故意不說，以至於讓人感覺手機監聽器越來越神秘，也給某種人提供了一些機會。實際普通的手機監聽器就是知道GSM密鑰的運算方法，採用載波偵聽檢測技術，採用監聽軟體去把手機編碼進行解碼就實現了。總之，那些否認手機可以被監聽的人，本質都是出於各自的利益需要，否認就意味著他們在掩蓋，照他們說法就是世上只有矛而沒有盾，或者說是只有盾而沒有矛，其實這本身就是在自相矛盾，而把手機監聽器性能給刻意誇大的那些人，也是出於自身利益方面的考慮。

改裝後的被動式監聽器，如果使用零分貝的接收天線，可以有效攔截的距離為，大約半徑六、七百米區域內的手機信號，與9600比特率的數據通信和手機簡訊息，如果採用高分貝接收天線，它的最大有效距離可以達到十五公里左右，這就是極限了，並且要根據具體的地理情況而定，如果要人為刻意增加監聽距離，則製作成本就會增加。重慶等地形複雜的地方，由於地勢的因素使天線偏高，就造成了信號越區覆蓋，而產生孤島效應，使監聽距離受到限制，因此重慶使用距離只可以達到五公里左右。其次是，GSM系統是通過微蜂窩來改善網路，並且密度很大，與宏蜂窩相比它的信號覆蓋範圍小一些，使用微蜂窩系統是為了提高行動網路整體的通信質量，但等距離範圍內的微蜂窩安裝數量越多，就會直接導致被監聽手機、監聽筆記本頻繁更換站點，而使重選增多，間接造成監聽器的實際監聽距離受限。

省城某通訊技術公司的業內人士告訴記者，運營商對通話過程進行了加密，但也不排除某些技術已經能夠對通話內容和簡訊內容進行攔截。