世界上最早的窃听器是中国在2000 年前发明的。战国时代的《墨子》一 书就记载了一种 “听瓮”。这种“听瓮”是用陶製成的，大肚小口，把它埋在地下，并在瓮口蒙上一层薄薄的皮革，人伏在上面就可以倾听到城外方圆数十里的动静。到了唐代，又出现了一种 “地听”器。它是用精瓷烧制而成，形状犹如一个空心的葫芦枕头，人睡卧休息时，侧头贴耳枕在上面，就能清晰地听到30 里外的马蹄声。北宋大科学家沈括在他着名的《梦溪笔谈》一书中介绍了一种用牛皮做的 “箭囊听枕”。他还科学地指出，这种“箭囊听枕”之所以能够听到 “数里内外的人马声”，是因为“虚能纳声”，而大地又好像是一根 “专线”，连线着彼此两个地点，是一种传递声音信号的媒介。在江南一带，还有一种常用的 “竹管窃听器”。它是用一根根凿穿内节的毛竹连线在一起的，敷设在地下、水下或隐蔽在地上，建筑物内，进行较短距离的窃听。

自从1876年英国青年亚·贝尔发明有线电话以后，这些使用了几千年的原始窃听器，才渐渐退隐出了间谍舞台。

摘要： 长期以来，在保障业务连续性和性能的前提下，最大限度的保障资料库安全一直是资料库管理人员、安全管理人员孜孜不倦追求的安全目标。本文将主要介绍4种资料库安全审计技术，并建议优选网路监听方式。

资料库系统作为三大基础软体之一併不是在计算机诞生的时候就同时产生的，随着信息技术的发展，传统档案系统已经不能满足人们的需要，1961年，美国通用电气公司成功开发了世界上第一个资料库系统IDS(Integrated Data Store)，奠定了资料库的基础。经过几十年的发展和实际套用，技术越来越成熟和完善，代表产品有甲骨文公司的Oracle、IBM公司的DB2、微软公司的MS-SQL Server等等。

如今，资料库系统在企业管理等领域已经具有非常广泛的套用，如、账号管理、访问控制、安全审计、防病毒、评估加固等多个方面，常见的安全产品如UTM、入侵检测、漏洞扫描等产品为保障资料库系统的正常运行起到了重要作用。但是，通过对诸多安全事件的处理、分析，调查人员发现企业内部人员造成的违规事件占了较大比例。

究其原因，主要是因为这些违规行为与传统的攻击行为不同，对内部的违规行为无法利用攻击机理和漏洞机理进行分析，这就导致了那些抵御外部入侵的产品无用武之地。因此，要防止内部的违规行为，就需要在内部建设审计系统，通过对操作行为的分析，实现对违规行为的及时回响和追溯。

根据Verizon 2009调查报告(基于对2亿8500万次累计破坏行为数据进行分析)，数据破坏情况如图1所示：

图1

Verizon数据破坏调查表从图1可以看到对资料库系统的尝试破坏行为占比最高，在75%左右。这是为什幺呢?

图1

主要原因在于：一方面由于资料库系统往往承载关键业务数据，而这些数据牵涉到企业各个方面的信息，从政治、经济而言都具备重要的价值;另一方面由于资料库系统通常比较複杂，且其对连续性、稳定性有高标準的要求，安全管理人员在缺乏相关知识的情况下，往往出现想不到、不敢想、不敢动的情况，从而导致资料库安全管理工作滞后于业务需求的满足。

实际上，关于资料库系统的安全事件层出不穷，而且有愈演愈烈之势：远有某市双色球开奖资料库被篡改，3305万巨奖险被冒领的案件;近的更有，滙丰银行2.4万账号数据被盗的例子……对此，国家相关部门非常重视，在《涉及国家秘密的信息系统分级保护技术要求》、《信息系统安全保护等级基本要求》等相关政策中，对于审计系统也有明确的要求：

--应制定能够确保系统安全审计策略正确实施的规章制度及措施

--应对重要伺服器的访问行为进行审计

--应包括事件的日期、时间、类型、主体标识、客体标识和结果等

--应定期对审计记录进行审查分析，对可疑行为及违规操作，採取相应的措施，并及时报告

可见，保障资料库安全和稳定，已经成为资讯时代举足轻重的一项工作。那幺採取什幺样的技术方式对资料库实现安全保护呢?

以下主要就资料库安全审计技术进行阐述。常见的安全审计技术主要有四类，分别是：基于日誌的审计技术、基于代理的审计技术、基于网路监听的审计技术、基于网关的审计技术。

1. 基于日誌的审计技术：该技术通常是通过资料库自身功能实现，Oracle、DB2等主流资料库，均具备自身审计功能，通过配置资料库的自审计功能，即可实现对资料库的审计，其典型部署示意图如图2所示：

图2日誌审计技术部署示意该技术能够对网路操作及本地运算元据库的行为进行审计，由于依託于现有资料库管理系统，因此兼容性很好。

图2

但这种审计技术的缺点也比较明显。首先，在资料库系统上开启自身日誌审计对资料库系统的性能就有影响，特别是在大流量情况下，损耗较大;其次，日誌审计记录的细粒度上差，缺少一些关键信息，比如源IP、SQL语句等等，审计溯源效果不好，最后就是日誌审计需要到每一台被审计主机上进行配置和查看，较难进行统一的审计策略配置和日誌分析。

2. 基于代理的审计技术：该技术是通过在资料库系统上安装相应的审计Agent，在Agent上实现审计策略的配置和日誌的採集，常见的产品如Oracle公司的Oracle Audit Vault、IBM公司的DB2 Audit Management Expert Tool以及第三方安全公司提供的产品，其典型部署示意图如图3所示：

图3 代理审计技术部署示意：该技术与日誌审计技术比较类似，最大的不同是需要在被审计主机上安装代理程式。代理审计技术从审计粒度上要优于日誌审计技术，但是性能上的损耗是要大于日誌审计技术，因为资料库系统厂商未公开细节，由资料库厂商提供的代理审计类产品对自有资料库系统的兼容性较好，但是在跨资料库系统的支持上，比如要同时审计Oracle和DB2时，存在一定的兼容性风险。同时由于在引入代理审计后，原资料库系统的稳定性、可靠性、性能或多或少都会有一些影响，实际的套用面较窄。

图3

3. 基于网路监听的审计技术：该技术是通过将对资料库系统的访问流镜像到交换机某一个连线埠，然后通过专用硬体设备对该连线埠流量进行分析和还原，从而实现对资料库访问的审计。其典型部署示意图如图4所示：

图4网路监听审计技术部署示意：该技术最大的优点就是与现有资料库系统无关，部署过程不会给资料库系统带来性能上的负担，即使是出现故障也不会影响资料库系统的正常运行，具备易部署、无风险的特点;但是，其部署的实现原理决定了网路监听技术在针对加密协定时，只能实现到会话级别审计(即可以审计到时间、源IP、源连线埠、目的IP、目的连线埠等信息)，而没法对内容进行审计。不过在绝大多数业务环境下，因为资料库系统对业务性能的要求是远高于对数据传输加密的要求，很少有採用加密通讯方式访问资料库服务连线埠的情况，故网路监听审计技术在实际的资料库审计项目中套用非常广泛。

图3

4 基于网关的审计技术：该技术是通过在资料库系统前部署网关设备，通过线上截获并转发到资料库的流量而实现审计，其典型部署示意图如图5所示：

图5网关审计技术部署示意该技术是起源于安全审计在网际网路审计中的套用，在网际网路环境中，审计过程除了记录以外，还需要关注控制，而网路监听方式无法实现很好的控制效果，故多数网际网路审计厂商选择通过串列的方式来实现控制。在套用过程中，这种技术实现方式开始在资料库环境中使用，不过由于资料库环境存在流量大、业务连续性要求高、可靠性要求高的特点，与网际网路环境大相逕庭，故这种网关审计技术往往主要运用在对资料库运维审计的情况下，不能完全覆盖所有对资料库访问行为的审计。

图5

通过对以上四种技术的分析，在进行资料库审计技术方案的选择时，我们遵循的根本原则建议是：

1.业务保障原则：安全建设的根本目标是能够更好的保障网路上承载的业务。在保证安全的同时，必须保障业务的正常运行和运行效率。

2.结构简化原则：安全建设的直接目的和效果是要将整个网路变得更加安全，简单的网路结构便于整个安全防护体系的管理、执行和维护。

3.生命周期原则：安全建设不仅仅要考虑静态设计，还要考虑不断的变化；系统应具备适度的灵活性和扩展性。

根据通常情况下用户业务系统7*24小时不间断运行的特点，从稳定性、可靠性、可用性等多方面进行考虑，特别是技术方案的选择不应对现有系统造成影响，建议用户朋友优先採用网路监听审计技术来实现对资料库的审计。

现在科技发达，有许多工具可以让我们发现系统中的漏洞，如SATAN等。SATAN是可以分析网路的管理、测试和报告许多信息，识别一些与网路相关的安全问题。对所发现的问题，SATAN提供对这个问题的解释以及可能对系统和网路安全造成影响的程度，并且通过工具所附的资料，还能解释如何处理这些问题。

当然还有很多像这样的安全工具。包括对TCP连线埠的扫描或者对多台主机的所有TCP连线埠实现监听；分析网路协定、监视控制多个网段等，正确使用这些安全工具，及时发现系统漏洞，才能防患于未然。

而对于WindowsNT系统平台，可定期检查EventLog中的SECLog记录，查看是否有可疑的情况，防止网路监听与连线埠扫描。

防火墙型安全保障技术是基于被保护网路具有明确定义的边界和服务、并且网路安全的威胁仅来自外部的网路。通过监测、限制以及更改跨越“防火墙”的数据流，儘可能的对外部网路禁止有关被保护网路的信息、结构，实现对网路的安全保护，因此比较适合于相对独立，与外部网路互连途径有限并且网路服务种类相对单一、集中的网路系统，如Internet。“防火墙”型系统在技术原理上对来自内部网路系统的安全威胁不具备防範作用，对网路安全功能的加强往往以网路服务的灵活行、多样性和开放性为代价，且需要较大的网路管理开销。

防火墙型网路安全保障系统实施相当简单，是目前套用较广的网路安全技术，但是其基本特徵及运行代价限制了其开放型的大规模网路系统中套用的潜力。由于防火墙型网路安全保障系统只在网路边界上具有安全保障功能，实际效力範围相当有限，因此“防火墙”型安全技术往往是针对特定需要而专门设计实施的系统。

对于个人用户，安装一套好的个人防火墙是非常实际而且有效的方法。现在许多公司都开发了个人防火墙，这些防火墙往往具有智慧型防御核心，攻击，并进行自动防御，保护内部网路的安全。

目前有许多软体包可用于加密连线，使入侵者即使捕获到数据，但无法将数据解密而失去窃听的意义。

首先要从购买手机时就开始防範。购买渠道是一个很重要的环节。 其次，不要随便到非指定维修点修理手机，不要轻易将手机借给别人使用，如果对您的手机有所怀疑，应儘早到厂商指定维修点进行检测。 对于前面介绍的大型行动电话监听系统，因为它已经是非常“标準”的间谍器材了，如果这种窃听器出现在我们身边，由于它的功率较大，反间谍部门及警方会侦测并发现这些偷听者，并且对偷听者的惩罚是非常严厉的。

在网路中，当信息进行传播的时候，可以利用工具，将网路接口设定在监听的模式，便可将网路中正在传播的信息截获或者捕获到，从而进行攻击。网路监听在网路中的任何一个位置模式下都可实施进行。而黑客一般都是利用网路监听来截取用户口令。比如当有人占领了一台主机之后，那幺他要再想将战果扩大到这个主机所在的整个区域网路话，监听往往是他们选择的捷径。很多时候我在各类安全论坛上看到一些初学的爱好者，在他们认为如果占领了某主机之后那幺想进入它的内部网应该是很简单的。其实非也，进入了某主机再想转入它的内部网路里的其它机器也都不是一件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径，当然了，这个路径的尽头必须是有写的许可权了。在这个时候，运行已经被控制的主机上的监听程式就会有大收效。不过却是一件费神的事情，而且还需要当事者有足够的耐心和应变能力。

Ethernet（乙太网，它是由施乐公司发明的一种比较流行的区域网路技术，它包含一条所有计算机都连线到其上的一条电缆，每台计算机需要一种叫接口板的硬体才能连线到乙太网）协定的工作方式是将要传送的数据包发往连线在一起的所有主机。在包头中包括有应该接收数据包的主机的正确地址，因为只有与数据包中目标地址一致的那台主机才能接收到信息包，但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什幺，主机都将可以接收到。许多区域网路内有十几台甚至上百台主机是通过一个电缆、一个集线器连线在一起的，在协定的高层或者用户来看，当同一网路中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机，或者当网路中的一台主机同外界的主机通信时，源主机将写有目的的主机IP位址的数据包发向网关。但这种数据包并不能在协定栈的高层直接传送出去，要传送的数据包必须从TCP/IP协定的IP层交给网路接口，也就是所说的数据链路层。网路接口不会识别IP位址的。在网路接口由IP层来的带有IP位址的数据包又增加了一部分以太祯的祯头的信息。在祯头中，有两个域分别为只有网路接口才能识别的源主机和目的主机的物理地址这是一个48位的地址，这个48位的地址是与IP位址相对应的，换句话说就是一个IP位址也会对应一个物理地址。对于作为网关的主机，由于它连线了多个网路，它也就同时具备有很多个IP位址，在每个网路中它都有一个。而发向网路外的祯中继携带的就是网关的物理地址。

Ethernet中填写了物理地址的祯从网路接口中，也就是从网卡中传送出去传送到物理的线路上。如果区域网路是由一条粗网或细网连线成的，那幺数位讯号在电缆上传输信号就能够到达线路上的每一台主机。再当使用集线器的时候，传送出去的信号到达集线器，由集线器再发向连线在集线器上的每一条线路。这样在物理线路上传输的数位讯号也就能到达连线在集线器上的每个主机了。当数位讯号到达一台主机的网路接口时，正常状态下网路接口对读入数据祯进行检查，如果数据祯中携带的物理地址是自己的或者物理地址是广播地址，那幺就会将数据祯交给IP层软体。对于每个到达网路接口的数据祯都要进行这个过程的。但是当主机工作在监听模式下的话，所有的数据祯都将被交给上层协定软体处理。

当连线在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候，那幺要是有一台主机处于监听模式，它还将可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP位址和网关）的主机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。

在UNIX系统上，当拥有超级许可权的用户要想使自己所控制的主机进入监听模式，只需要向Interface（网路接口）传送I/O控制命令，就可以使主机设定成监听模式了。而在Windows9x的系统中则不论用户是否有许可权都将可以通过直接运行监听工具就可以实现了。

在网路监听时，常常要保存大量的信息（也包含很多的垃圾信息），并将对收集的信息进行大量的整理，这样就会使正在监听的机器对其它用户的请求回响变的很慢。同时监听程式在运行的时候需要消耗大量的处理器时间，如果在这个时候就详细的分析包中的内容，许多包就会来不及接收而被漏走。所以监听程式很多时候就会将监听得到的包存放在档案中等待以后分析。分析监听到的数据包是很头疼的事情。因为网路中的数据包都非常之複杂。两台主机之间连续传送和接收数据包，在监听到的结果中必然会加一些别的主机互动的数据包。监听程式将同一TCP会话的包整理到一起就相当不容易了，如果你还期望将用户详细信息整理出来就需要根据协定对包进行大量的分析。Internet上那幺多的协定，运行进起的话这个监听程式将会十分的大喔。

现在网路中所使用的协定都是较早前设计的，许多协定的实现都是基于一种非常友好的，通信的双方充分信任的基础。在通常的网路环境之下，用户的信息包括口令都是以明文的方式在网上传输的，因此进行网路监听从而获得用户信息并不是一件难点事情，只要掌握有初步的TCP/IP协定知识就可以轻鬆的监听到你想要的信息的。前些时间美籍华人China-babble曾提出将望路监听从区域网路延伸到广域网中，但这个想法很快就被否定了。如果真是这样的话我想网路必将天下大乱了。而事实上现在在广域网里也可以监听和截获到一些用户信息。只是还不够明显而已。在整个Internet中就更显得微不足道了。

网路监听在上述中已经说明了。它是为了系统管理员管理网路，监视网路状态和数据流动而设计的。但是由于它有着截获网路数据的功能所以也是黑客所惯用的伎俩之一。

一般检测网路监听的方法通过以下来进行：

网路监听说真的，是很难被发现的。当运行监听程式的主机在监听的过程中只是被动的接收在乙太网中传输的信息，它不会跟其它的主机交换信息的，也不能修改在网路中传输的信息包。这就说明了网路监听的检测是比较麻烦的事情。

一般情况下可以通过ps-ef或者ps-aux来检测。但大多实施监听程式的人都会通过修改ps的命令来防止被ps-ef的。修改ps只需要几个shell把监听程式的名称过滤掉就OK了。一能做到启动监听程式的人也绝对不是个菜的连这个都不懂的人了，除非是他懒。

上边提到过。当运行监听程式的时候主机回响一般会受到影响变的会慢，所以也就有人提出来通过回响的速率来判断是否受到监听。如果真是这样判断的话我想世界真的会大乱了，说不準一个时间段内会发现无数个监听程式在运行呢。呵呵。

如果说当你怀疑网内某太机器正在实施监听程式的话（怎幺个怀疑？那要看你自己了），可以用正确的IP位址和错误的物理地址去ping它，这样正在运行的监听程式就会做出回响的。这是因为正常的机器一般不接收错误的物理地址的ping信息的。但正在进听的机器就可以接收，要是它的IP stack不再次反向检查的话就会回响的。不过这种方法对很多系统是没效果的，因为它依赖于系统的IP stack。

另一种就是向网上发大量不存在的物理地址的包，而监听程式往往就会将这些包进行处理，这样就会导致机器性能下降，你可以用icmp echo delay来判断和比较它。还可以通过搜寻网内所有主机上运行的程式，但这样做其的难度可想而知，因为这样不但是大的工作量，而且还不能完全同时检查所有主机上的进程。可是如果管理员这样做也会有很大的必要性，那就是可以确定是否有一个进程是从管理员机器上启动的。

在Unix中可以通过ps –aun或ps –augx命令产生一个包括所有进程的清单：进程的属主和这些进程占用的处理器时间和记忆体等。这些以标準表的形式输出在STDOUT上。如果某一个进程正在运行，那幺它将会列在这张清单之中。但很多黑客在运行监听程式的时候会毫不客气的把ps或其它运行中的程式修改成Trojan Horse程式，因为他完全可以做到这一点的。如果真是这样那幺上述办法就不会有结果的。但这样做在一定程度上还是有所作为的。在Unix和Windows NT上很容易就能得到当前进程的清单了。但DOS、Windows9x好象很难做到喔，具体是不是我没测试过不得而知。

还有一种方式，这种方式要靠足够的运气。因为往往黑客所用的监听程式大都是免费在网上得到的，他并非专业监听。所以做为管理员用来搜寻监听程式也可以检测。使用Unix可以写这幺一个搜寻的小工具了，不然的话要累死人的。呵呵。

网路监听技术是系统安全领域内一个非常敏感的话题,也是一项重要技术,具有很强的现实套用背景.对网路监听的原理和实现技术进行了比较详细的介绍,设计实现了一个网路监听器,并用其对当前网际网路的安全状况进行了初步的分析。

有个叫Ifstatus的运行在Unix下的工具，它可以识别出网路接口是否正处于调试状态下或者是在进听装下。要是网路接口运行这样的模式之下，那幺很有可能正在受到监听程式的攻击。Ifstatus一般情况下不会产生任何输出的，当它检测到网路的接口处于监听模式下的时候才回输出。管理员可以将系统的cron参数设定成定期运行Ifstatus，如果有好的cron进程的话可以将它产生的输出用mail传送给正在执行cron任务的人，要实现可以在crontab目录下加****/usr/local/etc/ifstatus一行参数。这样不行的话还可以用一个脚本程式在crontab下00****/usr/local/etc/run-ifstatus。

抵御监听其实要看哪个方面了。一般情况下监听只是对用户口令信息比较敏感一点（没有无聊的黑客去监听两台机器间的聊天信息的那是个浪费时间的事情）。所以对用户信息和口令信息进行加密是完全有必要的。防止以明文传输而被监听到。现代网路中，SSH（一种在套用环境中提供保密通信的协定）通信协定一直都被沿用，SSH所使用的连线埠是22，它排除了在不安全信道上通信的信息，被监听的可能性使用到了RAS算法，在授权过程结束后，所有的传输都用IDEA技术加密。但SSH并不就是完全安全的。至少现在我们可以这幺大胆评论了。

Sniffer之所以着名，权因它在很多方面都做的很好，它可以监听到（甚至是听、看到）网上传输的所有信息。Sniffer可以是硬体也可以是软体。主要用来接收在网路上传输的信息。网路是可以运行在各种协定之下的，包括乙太网Ethernet、TCP/IP、ZPX等等，也可以是集中协定的联合体系。

Sniffer是个非常之危险的东西，它可以截获口令，可以截获到本来是秘密的或者专用信道内的信息，截获到信用卡号，经济数据，E-mail等等。更加可以用来攻击与己相临的网路。

Sniffer可以使用在任何一种平台之中。而现在使用Sniffer也不可能被发现，这个足够是对网路安全的最严重的挑战。

在Sniffer中，还有“热心人”编写了它的Plugin，称为TOD杀手，可以将TCP的连线完全切断。总之Sniffer应该引起人们的重视，否则安全永远做不到最好。

手机监听器、电话监听器、无线监听器、车用数码监听器、密码监听器等，在生活中比较多数人使用的是手机，因此手机监听器被视为一块大肥肉。也被很多人积极为利益而研製开发更加简单安全的民用手机监听器。来认识下手机监听器：

它属于一种手机窃听器，通过监听软体来实施，此方法只可以监听被监听人的一部手机。实际需要的人根本不必去购买，此软体可以在网上免费下载，它只是一款用于侦测手机噪音的套用软体而已。

通过加装晶片实现监听，它同样只可以监听一部手机，有些晶片供应商居然报价达八千多元，实际晶片价格不到一千元。

专业手机监听器

专业手机监听器（以色列生产），拦截距离可达上万公里，但是它已经不是在手机与基站间进行拦截了，它的有效监听距离，与地球同步通讯卫星信号覆盖範围几乎相等，但只可以监听GSM制式手机，监听器的主体与下述五的普通手机监听器相仿，但这种机器的发射功率极大，在其运行后周围的无线电信号都会受其干扰，而且在至少在两公里的距离内，所有手机都没有信号，如果使用的话，无管委及国安会马上侦测到它的具体位置，因此决定了专业手机监听器根本不可能民用，而且它的销售价格极高，为人民币四十六万，目前所知台湾有此设备出售。

即军用及间谍使用器材，对通讯信号的拦截时间只需要几十纳秒，那是国家机器才使用的，相信个人没人买得起。

它可截获被监听手机的一切资料，并且可以盗用被监听号码作为主叫或被叫，总之，可以行使被监听手机的一切功能。由此可以看出，主动式监听器的危害之大，可能只有官方掌握着这种技术。

所谓的"监听王"就属于这种被动式监听器，由于受监听距离的限制，实际没有多大用处，所以即使公安机关也不採用这种设备，他们需要监听时都是在检察院授权之后，委託电讯部门去进行，当然这也是法律规定。

被动式监听器，实际通讯公司内精通通讯网路的专业技术人员，基本上就可以组装，除了电脑之外几乎没什幺硬体成本。这里不得不佩服那些从业人员的职业素质，不然手机监听器就真的就会满天飞了，道理就如同医生知道某些药物混合使用后，将会产生什幺后果的道理，但出于职业道德他们不会随便去谈及一样，当然也不排除可能他们怕失去铁饭碗而已。主动式监听器和被动式监听器有一共性，就是在启动监听设备后，必须与被监听手机同处在同一个基站内，这也就是说它们都是受距离限制的，并非像某些人夸张的那样，可以无距离限制的进行电话监听，而且CDMA在监听开始时有几秒钟时间的监听滞后。那些称可以拦截几百公里、无距离限制的被动式监听器，属无稽之谈，除非全国只有一个基站。那些相信的人，只要找个通讯公司的技术人员，问一下就知道这些说法有多荒唐了，普通手机监听器只可以在手机与基站间使用。

总之，称被动式手机监听器可以远距离监听，在本人的知识和能力範围内认为是不可能的，如果真的可以的话，那只存在一种可能性，只能是出售者与电讯部门内部技术人员勾结，通过电讯部门内部的人员实施监听，但相信没人敢这样做。

2003年记者披露的"手机监听器"事件，销售商仅让记者去楼上打电话进行监听，构想：如果"监听王"真的像销售商说的那样，可以去监听千里之外的手机通话（如果它的实际有效距离可以达到五十公里），那幺他们为什幺仅让记者去楼上打电话？理由只有一个，就是--"监听器"实际也只是被动式监听器，它同样受距离限制。

GSM的原理是在系统信道上把语音信号信道进行编码、加密、交织，形成突发脉冲串经调製后发射。在移动手机接收端，信号经解调后去交织、信道解码、语音解码，然后在用户的移动手机里恢复成语音信号。GSM系统在传输过程中採用窄带时分多址（TDMA）技术，它的每个载频信道的频宽是200KHz，每帧8个时隙，理论上允许一个射频同时进行8组通话，每个时隙长度为0.577ms，帧时长4.615ms，就是把时间分割成周期性的帧，每一帧再分割成许多个时间间隙，之后根据特定的时间间隙分配原则，使移动手机用户在每帧中按指定的时间间隙，向着基站传送信号，基站分别在各自指定的时间间隙中，接收到不同的移动手机用户的信号，同时基站也按规定的时间间隙，给不同的移动手机用户发射信号，各移动用户在指定的时间间隙中接受信号，这样却并不能保证，在同一信道上的用户可以相互不受干扰，这就是个别移动用户在使用行动电话的时候，偶尔会从话筒里会听到别人的谈话的原因，当就这个问题去谘询运营商的时候，他们是不会说的，当然，关于对手机监听器是在哪个环节上实施监听的，他们就更不会说了。

从2003年"监听器"被曝光到目前为止，无论是那些所谓出售手机监听器公司，还是移动通讯专家，及电讯运营商在谈到手机监听器的时候，都对手机监听器的原理避而不谈，想必是运营商故意不说，以至于让人感觉手机监听器越来越神秘，也给某种人提供了一些机会。实际普通的手机监听器就是知道GSM密钥的运算方法，採用载波侦听检测技术，採用监听软体去把手机编码进行解码就实现了。总之，那些否认手机可以被监听的人，本质都是出于各自的利益需要，否认就意味着他们在掩盖，照他们说法就是世上只有矛而没有盾，或者说是只有盾而没有矛，其实这本身就是在自相矛盾，而把手机监听器性能给刻意夸大的那些人，也是出于自身利益方面的考虑。

改装后的被动式监听器，如果使用零分贝的接收天线，可以有效拦截的距离为，大约半径六、七百米区域内的手机信号，与9600比特率的数据通信和手机简讯息，如果採用高分贝接收天线，它的最大有效距离可以达到十五公里左右，这就是极限了，并且要根据具体的地理情况而定，如果要人为刻意增加监听距离，则製作成本就会增加。重庆等地形複杂的地方，由于地势的因素使天线偏高，就造成了信号越区覆盖，而产生孤岛效应，使监听距离受到限制，因此重庆使用距离只可以达到五公里左右。其次是，GSM系统是通过微蜂窝来改善网路，并且密度很大，与宏蜂窝相比它的信号覆盖範围小一些，使用微蜂窝系统是为了提高行动网路整体的通信质量，但等距离範围内的微蜂窝安装数量越多，就会直接导致被监听手机、监听笔记本频繁更换站点，而使重选增多，间接造成监听器的实际监听距离受限。

省城某通讯技术公司的业内人士告诉记者，运营商对通话过程进行了加密，但也不排除某些技术已经能够对通话内容和简讯内容进行拦截。