科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道隔窗有耳 局域网防监听(下)

隔窗有耳 局域网防监听(下)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

监听又称嗅探,指在局域网内的一台主机、网关上放入监听程序,从而可以监听出网络的状态、数据流动情况以及传输数据的信息。以太网协议的工作方式为将要发送的数据包发往连接在一起的所有主机,在包头中包括着应该接收数据包的主机的正确地址。因此,只有与数据包中目标地址一致的那台主机才能接收数据包,但是主机在监听模式(即混杂模式)下,无论数据包中的目标物理地址是什么,主机都将接收(只有在同一网段内才可以进行监听,也就是说一台计算机只能监听经过自己网络接口的那些信息包,不是同一网段的数据包,在网关就被滤掉了)。在通常条件下,用户的所有信息,包括帐号和密码都是以明文的方式在网络上传输的。

来源:论坛整理 2008年9月1日

关键字: 网络管理 网络安全 局域网

  • 评论
  • 分享微博
  • 分享邮件
 (5).浏览SSL加密站点

  在访问通过SSL加密的站点时所输入的地址应该以https://开头,例如本文中应该使用https://192.168.1.10。如果仍然那使用http://192.168.1.10则会出现“该网页必须通过安全频道查看,您要查看的网页要求在地址中使用"https"。禁止访问:要求SSL”的提示。服务器上设置完SSL加密站点功能后我们在客户机上通过浏览器访问该站点时就会弹出一个“安全警报”窗口。只有信任该证书后才能够正常浏览网站信息。这样在客户端嗅探与Web服务器之间的通信都是经过加密的,这样有效杜绝了从嗅探开始的渗透入侵。

 

   

图10

    
    三、综合防范措施

  当然,局域网中除了各种服务器之外,更多的是客户端主机。对于嗅探我们除了防范之外,定位嗅探主机也非常重要。

  1. 嗅探检测

  (1).Ping测试。对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址ping,运行监听程序的机器会有响应,这是因为正常的机器不接收错误的物理地址,处理监听状态的机器能接收。据此我们可以判断该主机是否是监听主机。

  (2).包测试。向网上发大量不存在的物理地址的包,由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,这将导致性能下降,我们可以通过比较前后该机器性能加以判断。我们可以利用网络分析工具来构造测试包,然后在局域网中发送让嗅探主机崩溃。

 

   

图11

    
    (3).专门工具。使用反监听工具如antisniffer等进行检测

2. 优化网络拓扑杜绝嗅探

  (1).网络分段

  网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。

  (2).使用交换式集线器

  对局域网的中心交换机进行网络分段后,局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包还是会被同一台集线器上的其他用户所监听。

  因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法监听。当然,交换式集线器只能控制单播包而无法控制广播包和多播包。但广播包和多播包内的关键信息,要远远少于单播包。

  (3).划分VLAN

  运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,可以防止大部分基于网络监听的入侵。 一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性,也有效地防范了嗅探攻击。

 

   

图12

    
    总结:嗅探是一柄“双刃剑”,入侵者通过它获取网络中的敏感信息然后实施攻击,当然我也可以利用嗅探技术进行反嗅探捕获入侵者。作为网络管理员只有了解嗅探的原理,掌握必要的防嗅探技术才有可能在嗅探与反嗅探的斗争中掌握主动权取得最后的胜利。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章