隔窗有耳 局域网防监听(下)

　　在访问通过SSL加密的站点时所输入的地址应该以https://开头，例如本文中应该使用https://192.168.1.10。如果仍然那使用http://192.168.1.10则会出现“该网页必须通过安全频道查看，您要查看的网页要求在地址中使用"https"。禁止访问：要求SSL”的提示。服务器上设置完SSL加密站点功能后我们在客户机上通过浏览器访问该站点时就会弹出一个“安全警报”窗口。只有信任该证书后才能够正常浏览网站信息。这样在客户端嗅探与Web服务器之间的通信都是经过加密的，这样有效杜绝了从嗅探开始的渗透入侵。

图10

    
    三、综合防范措施

　　当然，局域网中除了各种服务器之外，更多的是客户端主机。对于嗅探我们除了防范之外，定位嗅探主机也非常重要。

　　1. 嗅探检测

　　(1).Ping测试。对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址ping，运行监听程序的机器会有响应，这是因为正常的机器不接收错误的物理地址，处理监听状态的机器能接收。据此我们可以判断该主机是否是监听主机。

　　(2).包测试。向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降，我们可以通过比较前后该机器性能加以判断。我们可以利用网络分析工具来构造测试包，然后在局域网中发送让嗅探主机崩溃。

图11

    
    (3).专门工具。使用反监听工具如antisniffer等进行检测

2. 优化网络拓扑杜绝嗅探

　　(1).网络分段

　　网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。

　　(2).使用交换式集线器

　　对局域网的中心交换机进行网络分段后，局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包还是会被同一台集线器上的其他用户所监听。

　　因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法监听。当然，交换式集线器只能控制单播包而无法控制广播包和多播包。但广播包和多播包内的关键信息，要远远少于单播包。

　　(3).划分VLAN

　　运用VLAN(虚拟局域网)技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵。 一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性，也有效地防范了嗅探攻击。

图12

    
    总结：嗅探是一柄“双刃剑”，入侵者通过它获取网络中的敏感信息然后实施攻击，当然我也可以利用嗅探技术进行反嗅探捕获入侵者。作为网络管理员只有了解嗅探的原理，掌握必要的防嗅探技术才有可能在嗅探与反嗅探的斗争中掌握主动权取得最后的胜利。