上面我们介绍了可以用来进行网络监听的软件，那么对这种不受欢迎的行为，有没有一些防范手段呢？

　　上面我们知道，sniffer是发生在以太网内的，那么，很明显，首先就要确保以太网的整体安全性，因为sniffer行为要想发生，一个最重要的前提条件就是以太网内部的一台有漏洞的主机被攻破，只有利用被攻破的主机，才能进行sniffer，去收集以太网内敏感的数据信息。

　　其次，采用加密手段也是一个很好的办法，因为如果sniffer抓取到的数据都是以密文传输的，那对入侵者即使抓取到了传输的数据信息，意义也是不大的-比如作为telnet，ftp等安全替代产品目前采用ssh2还是安全的。这是目前相对而言使用较多的手段之一，在实际应用中往往是指替换掉不安全的采用明文传输数据的服务，如在server端用ssh,openssh等替换unix系统自带的telnet,ftp,rsh，在client端使用securecrt,sshtransfer替代telnet,ftp等。

　　除了加密外，使用交换机目前也是一个应用比较多的方式，不同于工作在第一层的hub,交换机是工作在二层，也就是说数据链路层的，以CISCO的交换机为例，交换机在工作时维护着一张ARP的数据库，在这个库中记录着交换机每个端口绑定的MAC地址，当有数据报发送到交换机上时，交换机会将数据报的目的MAC地址与自己维护的数据库内的端口对照，然后将数据报发送到"相应的"端口上，注意，不同于HUB的报文广播方式，交换机转发的报文是一一对应的。对二层设备而言，仅有两种情况会发送广播报文，一是数据报的目的MAC地址不在交换机维护的数据库中，此时报文向所有端口转发，二是报文本身就是广播报文。由此，我们可以看到，这在很大程度上解决了网络监听的困扰。但是有一点要注意，随着dsniff，ettercap等软件的出现，交换机的安全性已经面临着严峻的考验！我们将在后面对这种技术进行介绍。

　　此外，对安全性要求比较高的公司可以考虑kerberos，kerberos是一种为网络通信提供可信第三方服务的面向开放系统的认证机制，它提供了一种强加密机制使client端和server即使在非安全的网络连接环境中也能确认彼此的身份，而且在双方通过身份认证后，后续的所有通讯也是被加密的。在实现中也即建立可信的第三方服务器保留与之通讯的系统的密钥数据库，仅kerberos和与之通讯的系统本身拥有私钥（private key），然后通过private key以及认证时创建的session key来实现可信的网络通讯连接。

    检测网络监听的手段

　　对发生在局域网的其他主机上的监听，一直以来，都缺乏很好的检测方法。这是由于产生网络监听行为的主机在工作时总是不做声的收集数据包，几乎不会主动发出任何信息。但目前网上已经有了一些解决这个问题的思路和产品：

　　1：反应时间

　　向怀疑有网络监听行为的网络发送大量垃圾数据包，根据各个主机回应的情况进行判断，正常的系统回应的时间应该没有太明显的变化，而处于混杂模式的系统由于对大量的垃圾信息照单全收，所以很有可能回应时间会发生较大的变化。

　　2：观测dns

　　许多的网络监听软件都会尝试进行地址反向解析，在怀疑有网络监听发生时可以在dns系统上观测有没有明显增多的解析请求。

　　3：利用ping模式进行监测

　　上面我们说过：当一台主机进入混杂模式时，以太网的网卡会将所有不属于他的数据照单全收。按照这个思路，我们就可以这样来操作：假设我们怀疑的主机的硬件地址是00:30:6E:00:9B:B9,它的ip地址是192.168.1.1,那么我们现在伪造出这样的一种icmp数据包：硬件地址是不与局域网内任何一台主机相同的00:30:6E:00:9B:9B,目的地址是192.168.1.1不变，我们可以设想一下这种数据包在局域网内传输会发生什么现象：任何正常的主机会检查这个数据包，比较数据包的硬件地址，和自己的不同，于是不会理会这个数据包，而处于网络监听模式的主机呢？由于它的网卡现在是在混杂模式的，所以它不会去对比这个数据包的硬件地址，而是将这个数据包直接传到上层，上层检查数据包的ip地址，符合自己的ip，于是会对对这个ping的包做出回应。这样，一台处于网络监听模式的主机就被发现了。

　　这种方法，在10pht这个黑客组织的antisniff产品中有很好的体现。可参见：http://www.securitysoftwaretech.com/antisniff/download.html

　　4：利用arp数据包进行监测

　　除了使用ping进行监测外，目前比较成熟的有利用arp方式进行监测的。这种模式是上述ping方式的一种变体，它使用arp数据包替代了上述的icmp数据包。向局域网内的主机发送非广播方式的arp包，如果局域网内的某个主机响应了这个arp请求，那 么我们就可以判断它很可能就是处于网络监听模式了，这是目前相对而言比较好的监测模式。

　　这种方式，在neped和PromiScan这两个产品中有所体现。可分别参见：
　　http://www.apostols.org/、
　　http://www.securityfriday.com/ToolDownload/PromiScan/promiscan_doc.html

　　值得注意的是，现在互联网上流传着一些基于上面这两种技术的脚本和程序，它们宣称自己能准确捕捉到局域网内所有进行网络监听的主机，目前来讲，这种说法基本上是不可靠的，因为上述技术在实现中，除了要考虑网卡的硬件过滤外，还需要考虑到不同操作系统可能产生的软件过滤。因为虽然理论上网卡处于混杂模式的系统应该接收所有的数据包，但实际上不同的操作系统甚至相同的操作系统的不同版本在tcp/ip的实现上都有自己的一些特点，有可能不会接收这些理论上应该接收的数据包。

上一页  [1] [2] [3] [4] [5] [6] 下一页

下载免费游戏更新软件

相关文章

从入门到精通：网络监听技术全解