局域网中应对攻击与防御战略

　　(4).安装ARP防火墙，这样防火墙产品很多，比如彩影ARP防火墙、金山ARP防火墙、AntiARP-DNS防火墙、ARP卫士、360ARP防火墙。图9是笔者用360ARP防火墙检测到的ARP欺骗。(图9)

　　(5).反欺骗，通过命令设置一个错误的网关地址，反欺骗ARP病毒，如图10。然后再添加一条静态路由，设置正确的网关如图11，用来正常的网络访问，并且比那条用来欺骗ARP病毒的那条路由的权限要高。(图10)(图11)

　　五、嗅探

　　1、黑篇

　　局域网是监听嗅探的温床，这是由嗅探的原理决定的。攻击者在局域网内的一台主机、网关上放入监听程序，从而可以监听出网络的状态、数据流动情况以及传输数据的信息。因为在通常条件下，用户的所有信息，包括帐号和密码都是以明文的方式在网络上传输的。在局域网中进行嗅探技术门槛比较底，而且类似sniffer这样的嗅探工具非常多，几乎是傻瓜式的操作，因此，只要具有初步的TCP/IP知识的人利用嗅探程序获取用户的各种信息并不是一件很困难的事，危害极大。如下图是笔者在局域网中用sniffer嗅探到的某用户登陆FTP服务器时的用户名和密码。(图12)

　　2、防篇

　　(1).检测

　　当局域网中存在用户的帐户密码被窃取的事件时，网络管理员就应该进行网络监听的检测。检测的方法是：用正确的IP地址和错误的物理地址ping某可疑的客户端，如果该客户端运行监听程序就会有响应。这是因为正常的机器不接收错误的物理地址，处理监听状态的机器能接收就会响应。其次，向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降。通过比较前后该机器性能加以判断。这种方法难度比较大。另外，使用反监听工具如antisniffer等进行检测 。

　　(2).防范

　　网络分段：从逻辑或物理上对网络分段，网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。

　　数据加密：数据经过加密后，通过监听仍然可以得到传送的信息,但显示的是乱码如图13。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在网络速度和安全性上进行折中。

　　划分VLAN：运用VLAN(虚拟局域网)技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵。

　　总结：局域网中的“黑”与“防”永远是对立的，总是此消彼长，它们的斗争永远不会结束。作为网络管理员如何才能掌握斗争的主动权呢?做好安全部署，以预防为主，防在黑之前。当然，还要掌握一定的防黑技巧，在不幸被黑后能分析原因，找到根源维护局域网的安全。