二、防御网络嗅探的方法

　　应对网络嗅探，只进行被动的检查是不行。有些攻击者会想法躲避你的检测。因此，你还应当采取一些积极的方法来防御网络嗅探。下面分别说明在以太网和无线局域网中防御网络嗅探的方法。

　　1、在以太网中防御网络嗅探的方法

　　在以太网中，你可以使用下列的方法来防御网络嗅探：

　　(1)、尽量在网络中使用交换机和路由器。虽然这种方法不能够完全杜绝被嗅探，但是，攻击者要想达到目的，也不是一件很容易的事。况且，你还可以在交换机中使用静态MAC地址与端口绑定功能，来防止MAC地址欺骗。

　　(2)、对在网络中传输的数据进行加密。不管是局域网内部还是互联网传输都应该对传输的数据进行加密。现在，已经有许多提供加密功能的网络传输协议，例如SSL、SSH、IPSEC、OPENVPN等等。这样，一些网络嗅探器对这些加密了的数据就无法进行正确的解码了。

　　(3)、对于E-mail，你也应该对它的内容进行加密后再传输。应用于E-Mail加密的方法主要有数字认证与数字签名。

　　(4)、划分VLAN(虚拟局域网)

　　应用VLAN技术，将连接到交换机上的所有主机逻辑分开。将它们之间的通信变为点到点通信方式，可以防止大部分网络嗅探器的嗅探。

　　(5)、在你的网络中布置入侵检测系统(IDS)或入侵防御系统(IPS)，以网络防火墙等安全设备。它们对于许多针对交换机和路由器的攻击方法，很容易就识别出来。

　　(6)、你应当强化你的安全策略，加强员工安全培训和管理工作。

　　(7)、在内部关键位置布置防火墙和IDS，防止来自内部的嗅探。

　　(8)、如果要在你的网络中布置网络分析器，应当保证你的网络分析器本身的安全，最好事先制定一个网络分析策略来规范使用。

　　2、在无线局域网中防御无线网络嗅探的方法

　　尽管检测无线网络嗅探器有一定的难度，但是，还是可以使用一些方法来防御无线网络嗅探的。

　　这些方法有：

　　(1)、禁止SSID广播;

　　(2)、对数据进行加密。你可以在无线访问点(AP)后再连接一个VPN网关，通过VPN强大的数据加密功能来保护无线数据传输;

　　(3)、使用MAC地址过滤，强制访问控制;

　　(4)、使用定向天线;

　　(5)、采取屏蔽无线信号方法，将超出使用范围的无线信号屏蔽得;

　　(6)、使用无线嗅探软件实时监控无线局域网中无线访问点(AP)和无线客户连入情况。