隔窗有耳 局域网防监听

　　作者: 甘肃老五, 　出处:IT专家网,　责任编辑: 张宾,　 2008-08-26 01:30

　　局域网是嗅探(sniffer)的温床，攻击者籍此可以看到一些机密文件及用户的个人的隐私。因此其严重地威胁到网络的安全，造成信息的泄露。作为网络管理人员，维护网络的畅通是必须的。除此之外，还有义务保护公司及其用户的信息安全，防止来自局域网内部的嗅探。

　　【IT专家网独家】

　　一、监听原理

　　监听又称嗅探，指在局域网内的一台主机、网关上放入监听程序，从而可以监听出网络的状态、数据流动情况以及传输数据的信息。以太网协议的工作方式为将要发送的数据包发往连接在一起的所有主机，在包头中包括着应该接收数据包的主机的正确地址。因此，只有与数据包中目标地址一致的那台主机才能接收数据包，但是主机在监听模式(即混杂模式)下，无论数据包中的目标物理地址是什么，主机都将接收(只有在同一网段内才可以进行监听，也就是说一台计算机只能监听经过自己网络接口的那些信息包，不是同一网段的数据包，在网关就被滤掉了)。在通常条件下，用户的所有信息，包括帐号和密码都是以明文的方式在网络上传输的。

　　二、局域网服务器防嗅探

　　1、对于FTP的嗅探和防范

　　(1).嗅探测试

　　在企业环境下FTP服务器是非常普遍的，它满足了用户文件的存储和彼此间的共享和交流。但是FTP信息默认是以明文的形式在网络中传输，因此内网攻击者可以通过嗅探技术进行监听，从而获取用户的FTP帐户和密码，然后实施进一步的入侵获取信息。

　　下面我们做个简单的测试：A、B两台计算机同属于一个子网，攻击者在A计算机上安装了sniffer进行局域网的监听嗅探。一员工在B计算机访问公司的FTP服务器，登录FTP时使用自己的用户名和密码。当B计算机登录FTP后，A计算机的攻击者也就获得了该员工的FTP帐户和密码。试想，如果攻击者获得是FTP管理员的帐户和密码那整个FTP服务器不也就被它控制了吗?

　　图1

　　作者: 甘肃老五, 　出处:IT专家网,　责任编辑: 张宾,　 2008-08-26 01:30

　　局域网是嗅探(sniffer)的温床，攻击者籍此可以看到一些机密文件及用户的个人的隐私。因此其严重地威胁到网络的安全，造成信息的泄露。作为网络管理人员，维护网络的畅通是必须的。除此之外，还有义务保护公司及其用户的信息安全，防止来自局域网内部的嗅探。

　　(2).防范措施

　　我们看到FTP的帐户、密码之所以被嗅探获取是因为它是明文传输的，因此我们可以通过对其数据进行加密来防范。数据被加密后虽然可以被嗅探到，但由于嗅探到的是乱码因此无法被利用。笔者就以最常用的Serv-U搭建的FTP为例进行演示设置对数据的加密。

　　第一步：创建SSL证书。在“Serv-U管理员”窗口中，展开“本地服务器→设置”选项，然后切换到“SSL证书”标签页。在“普通名称”栏中输入FTP服务器的IP地址，接着其它栏目的内容，如电子邮件、组织和单位等，根据用户的情况进行填写。完成SSL证书标签页中所有内容的填写后，点击下方的“应用”按钮即可，这时Serv-U就会生成一个新的SSL证书。

　　图2

　　第二步：启用SSL证书。要启用Serv-U服务器中域名为“ftp”的SSL功能。在“Serv-U管理员”窗口中，依次展开“本地服务器→域→ftp”选项。在右侧的“域”管理框中找到“安全性”下拉列表选项。这里Serv-U提供了3种选项，分别是“仅仅规则FTP，无SSL/TLS进程”、“允许SSL/TLS和规则进程”、“只允许SSL/TLS进程”，默认情况下，Serv-U使用的是“仅仅规则FTP，无SSL/TLS进程”，因此是没有启用SSL加密功能的。在“安全性”下拉选项框种选择“只允许SSL/TLS进程”选项，然后点击“应用”按钮，即可启用softer域的SSL功能。

　　图3

　　作者: 甘肃老五, 　出处:IT专家网,　责任编辑: 张宾,　 2008-08-26 01:30

　　局域网是嗅探(sniffer)的温床，攻击者籍此可以看到一些机密文件及用户的个人的隐私。因此其严重地威胁到网络的安全，造成信息的泄露。作为网络管理人员，维护网络的畅通是必须的。除此之外，还有义务保护公司及其用户的信息安全，防止来自局域网内部的嗅探。

　　这样，所有的FTP信息都是加密的再也不用怕嗅探监听了。不过需要注意的是，启用了SSL功能后，Serv-U服务器使用的默认端口号就不再是“21”了而是“990”了，登录FTP服务器是可以通过FlashFXP这样的工具进行登录。

　　图4

　　2、Web的防嗅探

　　Web也是企业中重要的网络服务，和FTP类似Web数据也是以明文的形式传输的，同样可被攻击者嗅探得到。如果被攻击者嗅探得到Web站点的后台帐户、密码那Web服务器就岌岌可危了。我们同样可以通过SSL对Web进行加密来防嗅探。

　　(1).生成证书申请

　　运行IIS管理器，展开Web服务器名选择要安装证书的Web站点，右键单击该Web站点，选择“属性”点击“目录安全性”选项卡，单击“安全通信”中的“服务器证书”按钮，启动 Web 服务器证书向导。单击“下一步”跳过欢迎对话框，点选“创建一个新证书”，单击“下一步”出现一个对话框，选择“现在准备申请，但稍后发送”，然后根据向导输入实际情况输入“单位”、“部门”、“国家”等信息。在“证书请求文件名”窗口选择证书文件保存的位置，最后一路完成证书的申请。

　　图5

　　作者: 甘肃老五, 　出处:IT专家网,　责任编辑: 张宾,　 2008-08-26 01:30

　　局域网是嗅探(sniffer)的温床，攻击者籍此可以看到一些机密文件及用户的个人的隐私。因此其严重地威胁到网络的安全，造成信息的泄露。作为网络管理人员，维护网络的畅通是必须的。除此之外，还有义务保护公司及其用户的信息安全，防止来自局域网内部的嗅探。

　　(2).提交证书申请

　　用“记事本”打开在前面的过程中生成的证书文件，将它的整个内容复制到剪贴板。启动InternetExplorer浏览器，正在地址栏中输入http://hostname/CertSrv格式的URL地址，其中hostname是运行Microsoft证书服务的计算机的名称。 单击“申请一个证书”，在“选择一个证书类型”下单击“高级证书申请”，在打开的页面中选择点击“使用 base64 编码的 CMC 或 PKCS#10 文件提交 一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请。”，在“提交一个保存的申请”页中，将刚才复制的内容粘贴到“Base64 编码的证书申请(PKCS #10 或 #7)”右侧的文本框中在“证书模板”组合框中，最后单击“提交”按钮即可。

　　图6

　　(3).颁发证书

　　从“开始→管理工具”程序组中启动“证书颁发机构”工具，展开的“证书颁发机构”，然后选择“挂起的申请”文件夹。选择刚才提交的证书申请，在“操作”菜单中，指向“所有任务”，然后单击“颁发”，确认该证书显示在“颁发的证书”文件夹中，然后双击查看它。在“详细信息”选项卡中，单击“复制到文件”，在文件格式中选择“Base-64编码的 X.509”，最后根据向导完成证书的颁发和导出。

　　图7

　　(4).安装证书

　　启动IIS管理器，展开服务器名称，选择要安装证书的Web站点右键单击该Web站点，选择“属性”单击“目录安全性”选项卡。点击“服务器证书”启动 Web 服务器证书向导。单击“处理挂起的申请并安装证书”，然后单击“下一步”在“路径和文件名”下的文本框中输入刚才导出的证书文件名，也可以点击“浏览”按钮定位到该证书文件，单击“下一步”可以看到网站默认使用的SSL端口是443，我们保存默认一路“下一步”完成证书的安装。

　　图8

　　返回“目录安全性”选项卡，单击“安全通信”下的“编辑”按钮勾选其中的“要求安全通道(SSL)”，根据安全需要可以勾选“要求128位加密”。至此我们就完成了SSL加密站点的配置工作，客户端访问服务器的IIS网站时所浏览的信息是通过加密的，就是被恶意嗅探看到的也只是加密信息。

　　图9

　　作者: 甘肃老五, 　出处:IT专家网,　责任编辑: 张宾,　 2008-08-26 01:30

　　局域网是嗅探(sniffer)的温床，攻击者籍此可以看到一些机密文件及用户的个人的隐私。因此其严重地威胁到网络的安全，造成信息的泄露。作为网络管理人员，维护网络的畅通是必须的。除此之外，还有义务保护公司及其用户的信息安全，防止来自局域网内部的嗅探。

　　(5).浏览SSL加密站点

　　在访问通过SSL加密的站点时所输入的地址应该以https://开头，例如本文中应该使用https://192.168.1.10。如果仍然那使用http://192.168.1.10则会出现“该网页必须通过安全频道查看，您要查看的网页要求在地址中使用"https"。禁止访问：要求SSL”的提示。服务器上设置完SSL加密站点功能后我们在客户机上通过浏览器访问该站点时就会弹出一个“安全警报”窗口。只有信任该证书后才能够正常浏览网站信息。这样在客户端嗅探与Web服务器之间的通信都是经过加密的，这样有效杜绝了从嗅探开始的渗透入侵。

　　图10

　　三、综合防范措施

　　当然，局域网中除了各种服务器之外，更多的是客户端主机。对于嗅探我们除了防范之外，定位嗅探主机也非常重要。

　　1. 嗅探检测

　　(1).Ping测试。对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址ping，运行监听程序的机器会有响应，这是因为正常的机器不接收错误的物理地址，处理监听状态的机器能接收。据此我们可以判断该主机是否是监听主机。

　　(2).包测试。向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降，我们可以通过比较前后该机器性能加以判断。我们可以利用网络分析工具来构造测试包，然后在局域网中发送让嗅探主机崩溃。

　　图11

　　(3).专门工具。使用反监听工具如antisniffer等进行检测

　　作者: 甘肃老五, 　出处:IT专家网,　责任编辑: 张宾,　 2008-08-26 01:30

　　局域网是嗅探(sniffer)的温床，攻击者籍此可以看到一些机密文件及用户的个人的隐私。因此其严重地威胁到网络的安全，造成信息的泄露。作为网络管理人员，维护网络的畅通是必须的。除此之外，还有义务保护公司及其用户的信息安全，防止来自局域网内部的嗅探。

　　2. 优化网络拓扑杜绝嗅探

　　(1).网络分段

　　网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。

　　(2).使用交换式集线器

　　对局域网的中心交换机进行网络分段后，局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包还是会被同一台集线器上的其他用户所监听。

　　因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法监听。当然，交换式集线器只能控制单播包而无法控制广播包和多播包。但广播包和多播包内的关键信息，要远远少于单播包。

　　(3).划分VLAN

　　运用VLAN(虚拟局域网)技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵。 一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性，也有效地防范了嗅探攻击。

　　图12

　　总结：嗅探是一柄“双刃剑”，入侵者通过它获取网络中的敏感信息然后实施攻击，当然我也可以利用嗅探技术进行反嗅探捕获入侵者。作为网络管理员只有了解嗅探的原理，掌握必要的防嗅探技术才有可能在嗅探与反嗅探的斗争中掌握主动权取得最后的胜利。

　　　IT专家网原创文章，未经许可，严禁转载!