『壹』 如何防止網路監聽與埠掃描
SATAN是一個分析網路的管理、測試和報告許多信息,識別一些與網路相關的安全問題。 當然還有很多像這樣的安全工具。包括對TCP埠的掃描或者對多台主機的所有TCP埠實現監聽;分析網路協議、監視控制多個網段等,正確使用這些安全工具,及時發現系統漏洞,才能防患於未然。 而對於WindowsNT系統平台,可定期檢查EventLog中的SECLog記錄,查看是否有可疑的情況,防止網路監聽與埠掃描。 2.安裝防火牆防火牆型安全保障技術是基於被保護網路具有明確定義的邊界和服務、並且網路安全的威脅僅來自外部的網路。通過監測、限制以及更改跨越「防火牆」的數據流,盡可能的對外部網路屏蔽有關被保護網路的信息、結構,實現對網路的安全保護,因此比較適合於相對獨立,與外部網路互連途徑有限並且網路服務種類相對單一、集中的網路系統,如Internet。「防火牆」型系統在技術原理上對來自內部網路系統的安全威脅不具備防範作用,對網路安全功能的加強往往以網路服務的靈活行、多樣性和開放性為代價,且需要較大的網路管理開銷。 防火牆型網路安全保障系統實施相當簡單,是目前應用較廣的網路安全技術,但是其基本特徵及運行代價限制了其開放型的大規模網路系統中應用的潛力。由於防火牆型網路安全保障系統只在網路邊界上具有安全保障功能,實際效力范圍相當有限,因此「防火牆」型安全技術往往是針對特定需要而專門設計實施的系統。 對於個人用戶,安裝一套好的個人防火牆是非常實際而且有效的方法。現在許多公司都開發了個人防火牆,這些防火牆往往具有智能防禦核心,攻擊,並進行自動防禦,保護內部網路的安全。 比如藍盾防火牆系統在內核設計中引入自動反掃描機制,當黑客用掃描器掃描防火牆或防火牆保護的伺服器時,將掃描不到任何埠,使黑客無從下手;同進還具有實時告警功能,系統對受到的攻擊設有完備的紀錄功能,紀錄方式有簡短紀錄、詳細記錄、發出警告、紀錄統計(包括流量、連接時間、次數等)等記錄,當系統發生警告時,還可以把警告信息傳到呼機和手機上來,讓系統管理員及得到通知。 3.對絡上傳輸的信息進行加密,可以有效的防止網路監聽等攻擊 目前有許多軟體包可用於加密連接,使入侵者即使捕獲到數據,但無法將數據解密而失去竊聽的意義。 最後給系統及網路管理員的一些建議: (1)及時安裝各種防火牆;
『貳』 如何解決網路監聽您有幾中解決方案
在網路中,當信息進行傳播的時候,可以利用工具,將網路介面設置在監聽的模式,便可將網路
中正在傳播的信息截獲或者捕獲到,從而進行攻擊。網路監聽在網路中的任何一個位置模式下都可實
施進行。而黑客一般都是利用網路監聽來截取用戶口令。比如當有人佔領了一台主機之後,那麼他要
再想將戰果擴大到這個主機所在的整個區域網話,監聽往往是他們選擇的捷徑。很多時候我在各類安
全論壇上看到一些初學的愛好者,在他們認為如果佔領了某主機之後那麼想進入它的內部網應該是很
簡單的。其實非也,進入了某主機再想轉入它的內部網路里的其它機器也都不是一件容易的事情。因
為你除了要拿到他們的口令之外還有就是他們共享的絕對路徑,當然了,這個路徑的盡頭必須是有寫
的許可權了。在這個時候,運行已經被控制的主機上的監聽程序就會有大收效。不過卻是一件費神的事
情,而且還需要當事者有足夠的耐心和應變能力。
█網路監聽的原理
Ethernet(乙太網,它是由施樂公司發明的一種比較流行的區域網技術,它包含一條所有計算機
都連接到其上的一條電纜,每台計算機需要一種叫介面板的硬體才能連接到乙太網)協議的工作方式
是將要發送的數據包發往連接在一起的所有主機。在包頭中包括有應該接收數據包的主機的正確地址,
因為只有與數據包中目標地址一致的那台主機才能接收到信息包,但是當主機工作在監聽模式下的話
不管數據包中的目標物理地址是什麼,主機都將可以接收到。許多區域網內有十幾台甚至上百台主機
是通過一個電纜、一個集線器連接在一起的,在協議的高層或者用戶來看,當同一網路中的兩台主機
通信的時候,源主機將寫有目的的主機地址的數據包直接發向目的主機,或者當網路中的一台主機同
外界的主機通信時,源主機將寫有目的的主機IP地址的數據包發向網關。但這種數據包並不能在協議
棧的高層直接發送出去,要發送的數據包必須從TCP/IP協議的IP層交給網路介面,也就是所說的數據
鏈路層。網路介面不會識別IP地址的。在網路介面由IP層來的帶有IP地址的數據包又增加了一部分以
太禎的禎頭的信息。在禎頭中,有兩個域分別為只有網路介面才能識別的源主機和目的主機的物理地
址這是一個48位的地址,這個48位的地址是與IP地址相對應的,換句話說就是一個IP地址也會對應一
個物理地址。對於作為網關的主機,由於它連接了多個網路,它也就同時具備有很多個IP地址,在每
個網路中它都有一個。而發向網路外的禎中繼攜帶的就是網關的物理地址。
Ethernet中填寫了物理地址的禎從網路介面中,也就是從網卡中發送出去傳送到物理的線路上。
如果區域網是由一條粗網或細網連接成的,那麼數字信號在電纜上傳輸信號就能夠到達線路上的每一
台主機。再當使用集線器的時候,發送出去的信號到達集線器,由集線器再發向連接在集線器上的每
一條線路。這樣在物理線路上傳輸的數字信號也就能到達連接在集線器上的每個主機了。當數字信號
到達一台主機的網路介面時,正常狀態下網路介面對讀入數據禎進行檢查,如果數據禎中攜帶的物理
地址是自己的或者物理地址是廣播地址,那麼就會將數據禎交給IP層軟體。對於每個到達網路介面的
數據禎都要進行這個過程的。但是當主機工作在監聽模式下的話,所有的數據禎都將被交給上層協議
軟體處理。
當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網的時候,那麼要是有一台主機處於
監聽模式,它還將可以接收到發向與自己不在同一個子網(使用了不同的掩碼、IP地址和網關)的主
機的數據包,在同一個物理信道上傳輸的所有信息都可以被接收到。
在UNIX系統上,當擁有超級許可權的用戶要想使自己所控制的主機進入監聽模式,只需要向
Interface(網路介面)發送I/O控制命令,就可以使主機設置成監聽模式了。而在Windows9x的系統
中則不論用戶是否有許可權都將可以通過直接運行監聽工具就可以實現了。
在網路監聽時,常常要保存大量的信息(也包含很多的垃圾信息),並將對收集的信息進行大量
的整理,這樣就會使正在監聽的機器對其它用戶的請求響應變的很慢。同時監聽程序在運行的時候需
要消耗大量的處理器時間,如果在這個時候就詳細的分析包中的內容,許多包就會來不及接收而被漏
走。所以監聽程序很多時候就會將監聽得到的包存放在文件中等待以後分析。分析監聽到的數據包是
很頭疼的事情。因為網路中的數據包都非常之復雜。兩台主機之間連續發送和接收數據包,在監聽到
的結果中必然會加一些別的主機交互的數據包。監聽程序將同一TCP會話的包整理到一起就相當不容
易了,如果你還期望將用戶詳細信息整理出來就需要根據協議對包進行大量的分析。Internet上那麼
多的協議,運行進起的話這個監聽程序將會十分的大哦。
現在網路中所使用的協議都是較早前設計的,許多協議的實現都是基於一種非常友好的,通信的
雙方充分信任的基礎。在通常的網路環境之下,用戶的信息包括口令都是以明文的方式在網上傳輸的,
因此進行網路監聽從而獲得用戶信息並不是一件難點事情,只要掌握有初步的TCP/IP協議知識就可以
輕松的監聽到你想要的信息的。前些時間美籍華人China-babble曾提出將望路監聽從區域網延伸到廣
域網中,但這個想法很快就被否定了。如果真是這樣的話我想網路必將天下大亂了。而事實上現在在
廣域網里也可以監聽和截獲到一些用戶信息。只是還不夠明顯而已。在整個Internet中就更顯得微不
足道了。
下面是一些系統中的著名的監聽程序,你可以自己嘗試一下的。
Windows9x/NT NetXRay http://semxa.kstar.com/hacking/netxray.zip
DECUnix/Linux Tcpmp http://semxa.kstar.com/hacking/management.zip
Solaris Nfswatch http://semxa.kstar.com/hacking/nfswatch.zip
SunOS Etherfind http://semxa.kstar.com/hacking/etherfind012.zip
█檢測網路監聽的方法
網路監聽在上述中已經說明了。它是為了系統管理員管理網路,監視網路狀態和數據流動而設計
的。但是由於它有著截獲網路數據的功能所以也是黑客所慣用的伎倆之一。
一般檢測網路監聽的方法通過以下來進行:
►網路監聽說真的,是很難被發現的。當運行監聽程序的主機在進聽的過程中只是被動的
接收在乙太網中傳輸的信息,它不會跟其它的主機交換信息的,也不能修改在網路中傳輸的信息包。
這就說明了網路監聽的檢測是比較麻煩的事情。
一般情況下可以通過ps-ef或者ps-aux來檢測。但大多實施監聽程序的人都會通過修改ps的命令
來防止被ps-ef的。修改ps只需要幾個shell把監聽程序的名稱過濾掉就OK了。一能做到啟動監聽程
序的人也絕對不是個菜的連這個都不懂的人了,除非是他懶。
上邊提到過。當運行監聽程序的時候主機響應一般會受到影響變的會慢,所以也就有人提出來通
過響應的速率來判斷是否受到監聽。如果真是這樣判斷的話我想世界真的會大亂了,說不準一個時間
段內會發現無數個監聽程序在運行呢。呵呵。
如果說當你懷疑網內某太機器正在實施監聽程序的話(怎麼個懷疑?那要看你自己了),可以用
正確的IP地址和錯誤的物理地址去ping它,這樣正在運行的監聽程序就會做出響應的。這是因為正常
的機器一般不接收錯誤的物理地址的ping信息的。但正在進聽的機器就可以接收,要是它的IPstack
不再次反向檢查的話就會響應的。不過這種方法對很多系統是沒效果的,因為它依賴於系統的IPstack。
另一種就是向網上發大量不存在的物理地址的包,而監聽程序往往就會將這些包進行處理,這樣
就會導致機器性能下降,你可以用icmpechodelay來判斷和比較它。還可以通過搜索網內所有主機
上運行的程序,但這樣做其的難度可想而知,因為這樣不但是大的工作量,而且還不能完全同時檢查
所有主機上的進程。可是如果管理員這樣做也會有很大的必要性,那就是可以確定是否有一個進程是
從管理員機器上啟動的。
在Unix中可以通過ps–aun或ps–augx命令產生一個包括所有進程的清單:進程的屬主和這些
進程佔用的處理器時間和內存等。這些以標准表的形式輸出在STDOUT上。如果某一個進程正在運行,
那麼它將會列在這張清單之中。但很多黑客在運行監聽程序的時候會毫不客氣的把ps或其它運行中的
程序修改成TrojanHorse程序,因為他完全可以做到這一點的。如果真是這樣那麼上述辦法就不會有
結果的。但這樣做在一定程度上還是有所作為的。在Unix和WindowsNT上很容易就能得到當前進程的
清單了。但DOS、Windows9x好象很難做到哦,具體是不是我沒測試過不得而知。
還有一種方式,這種方式要靠足夠的運氣。因為往往黑客所用的監聽程序大都是免費在網上得到
的,他並非專業監聽。所以做為管理員用來搜索監聽程序也可以檢測。使用Unix可以寫這么一個搜索
的小工具了,不然的話要累死人的。呵呵。
有個叫Ifstatus的運行在Unix下的工具,它可以識別出網路介面是否正處於調試狀態下或者是在
進聽裝下。要是網路介面運行這樣的模式之下,那麼很有可能正在受到監聽程序的攻擊。Ifstatus一
般情況下不會產生任何輸出的,當它檢測到網路的介面處於監聽模式下的時候才回輸出。管理員可以
將系統的cron參數設置成定期運行Ifstatus,如果有好的cron進程的話可以將它產生的輸出用mail發
送給正在執行cron任務的人,要實現可以在crontab目錄下加****/usr/local/etc/ifstatus一行參數。
這樣不行的話還可以用一個腳本程序在crontab下00****/usr/local/etc/run-ifstatus。
抵禦監聽其實要看哪個方面了。一般情況下監聽只是對用戶口令信息比較敏感一點(沒有無聊的
黑客去監聽兩台機器間的聊天信息的那是個浪費時間的事情)。所以對用戶信息和口令信息進行加密
是完全有必要的。防止以明文傳輸而被監聽到。現代網路中,SSH(一種在應用環境中提供保密通信
的協議)通信協議一直都被沿用,SSH所使用的埠是22,它排除了在不安全信道上通信的信息,被
監聽的可能性使用到了RAS演算法,在授權過程結束後,所有的傳輸都用IDEA技術加密。但SSH並不就是
完全安全的。至少現在我們可以這么大膽評論了。
█著名的Sniffer監聽工具
Sniffer之所以著名,權因它在很多方面都做的很好,它可以監聽到(甚至是聽、看到)網上傳
輸的所有信息。Sniffer可以是硬體也可以是軟體。主要用來接收在網路上傳輸的信息。網路是可以
運行在各種協議之下的,包括乙太網Ethernet、TCP/IP、ZPX等等,也可以是集中協議的聯合體系。
Sniffer是個非常之危險的東西,它可以截獲口令,可以截獲到本來是秘密的或者專用信道內的
信息,截獲到信用卡號,經濟數據,E-mail等等。更加可以用來攻擊與己相臨的網路。
Sniffer可以使用在任何一種平台之中。而現在使用Sniffer也不可能別發現,這個足夠是對網
絡安全的最嚴重的挑戰。
在Sniffer中,還有「熱心人」編寫了它的Plugin,稱為TOD殺手,可以將TCP的連接完全切斷。
總之Sniffer應該引起人們的重視,否則安全永遠做不到最好。
『叄』 如何檢測並防範網路監聽
1.對可能存在的網路監聽的檢測 (1)對於懷疑運行監聽程序的計算機,用正確的IP地址和錯誤的物理地址Ping,運行監聽程序的計算機都會有響應。這是因為正常的計算機不接收錯誤的物理地址,處理監聽狀態的計算機能接收,但如果對方的Ipstack不再次反向檢查的話,就會響應。 (2)向網上發大量不存在的物理地址的包,由於監聽程序要分析和處理大量的數據包會佔用很多的CPU資源,這將導致性能下降。通過比較前後該計算機性能加以判斷,這種方法難度比較大。 (3)使用反監聽工具如Antisniffer等進行檢測。 2.對網路監聽的防範措施 (1)從邏輯或物理上對網路分段 網路分段通常被認為是控制網路廣播風暴的一種基本手段,但其實也是保證網路安全的一項措施。其目的是將非法用戶與敏感的網路資源相互隔離,從而防止可能的非法監聽。 (2)以交換式集線器代替共享式集線器對區域網的中心交換機進行網路分段後,區域網監聽的危險仍然存在。這是因為網路最終用戶的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共享式集線器。這樣,當用戶與主機進行數據通信時,兩台機器之間的數據包(稱為單播包Unicast Packet)還是會被同一台集線器上的其他用戶所監聽。因此,應該以交換式集線器代替共享式集線器,使單播包僅在兩個節點之間傳送,從而防止非法監聽。當然,交換式集線器只能控制單播包而無法控制廣播包(Broadcast Packet)和多播包(Multicast Packet)。但廣播包和多播包內的關鍵信息,要遠遠少於單播包。 (3)使用加密技術 數據經過加密後,通過監聽仍然可以得到傳送的信息,但顯示的是亂碼。使用加密技術的缺點是影響數據傳輸速度以及使用一個弱加密術比較容易被攻破。系統管理員和用戶需要在網路速度和安全性上進行折中。 (4)劃分VLAN 運用VLAN(虛擬區域網)技術,將乙太網通信變為點到點通信,可以防止大部分基於網路監聽的入侵。 網路監聽技術作為一種工具,總是扮演著正反兩方面的角色。對於入侵者來說,最喜歡的莫過於用戶的口令,通過網路監聽可以很容易地獲得這些關鍵信息。而對於入侵檢測和追蹤者來說,網路監聽技術又能夠在與入侵者的斗爭中發揮重要的作用。鑒於目前的網路安全現狀,我們應該進一步挖掘網路監聽技術的細節,從技術基礎上掌握先機,才能在與入侵者的斗爭中取得勝利。
『肆』 如何保護信息安全 防止區域網監聽
我們在電視或者電影中經常會看到這樣的情景,間諜或者警察,在某戶人家的電話線匯流排上,拉出一根電話分線,對這個電話進行竊聽。現在這種方法在網路中也逐漸蔓延開來。 由於區域網中採用的是廣播方式,因此在某個廣播域中(往往是一個企業區域網就是一個廣播域),可以監聽到所有的信息報。而非法入侵者通過對信息包進行分析,就能夠非法竊取區域網上傳輸的一些重要信息。如現在很多黑客在入侵時,都會把區域網稍描與監聽作為他們入侵之前的准備工作。因為憑這些方式,他們可以獲得用戶名、密碼等重要的信息。如現在不少的網路管理工具,號稱可以監聽別人發送的郵件內容、即時聊天信息、訪問網頁的內容等等,也是通過網路監聽來實現的。可見,網路監聽是一把雙刃劍,用到正處,可以幫助我們管理員工的網路行為;用的不好,則會給企業的網路安全以致命一擊。 一、監聽的工作原理。 要有效防止區域網的監聽,則首先需要對區域網監聽的工作原理有一定的了解。知己知彼,百戰百勝。只有如此,才能有針對性的提出一些防範措施。 現在企業區域網中常用的網路協議是「乙太網協議」。而這個協議有一個特點,就是某個主機A如果要發送一個主機給B,其不是一對一的發送,而是會把數據包發送給區域網內的包括主機B在內的所有主機。在正常情況下,只有主機B才會接收這個數據包。其他主機在收到數據包的時候,看到這個資料庫的目的地址跟自己不匹配,就會把數據包丟棄掉。 但是,若此時區域網內有台主機C,其處於監聽模式。則這台數據不管數據包中的ip地址是否跟自己匹配,就會接收這個數據包,並把數據內容傳遞給上層進行後續的處理。這就是網路監聽的基本原理。 在乙太網內部傳輸數據時,包含主機唯一標識符的物理地址(MAC地址)的幀從網卡發送到物理的線路上,如網線或者光纖。此時,發個某台特定主機的數據包會到達連接在這線路上的所有主機。當數據包到達某台主機後,這台主機的網卡會先接收這個數據包,進行檢查。如果這個數據包中的目的地址跟自己的地址不匹配的話,就會丟棄這個包。如果這個數據包中的目的地址跟自己地址匹配或者是一個廣播地址的話,就會把數據包交給上層進行後續的處理。在這種工作模式下,若把主機設置為監聽模式,則其可以了解在區域網內傳送的所有數據。如果這些數據沒有經過加密處理的話,那麼後果就可想而知了。 二、常見的防範措施。 1、採用加密技術,實現密文傳輸。 從上面的分析中,我們看到,若把主機設置為監聽模式的話,則區域網中傳輸的任何數據都可以被主機所竊聽。但是,若竊聽者所拿到的數據是被加密過的,則其即使拿到這個數據包,也沒有用處,無法解密。這就好像電影中的電報,若不知道對應的密碼,則即使獲得電報的信息,對他們來說,也是一無用處。 所以,比較常見的防範區域網監聽的方法就是加密。數據經過加密之後,通過監聽仍然可以得到傳送的信息,但是,其顯示的是亂碼。結果是,其即使得到數據,也是一堆亂碼,沒有多大的用處。 現在針對這種傳輸的加密手段有很多,最常見的如IPSec協議。Ipsec 有三種工作模式,一是必須強制使用,二是接收方要求,三是不採用。當某台主機A向主機B發送數據文件的時候,主機A與主機B是會先進行協商,其中包括是否需要採用IPSec技術對數據包進行加密。一是必須採用,也就是說,無論是主機A還是主機B都必須支持IPSec,否則的話,這個傳輸將會以失敗告終。二是請求使用,如在協商的過程中,主機A會問主機B,是否需要採用IPSec。若主機B回答不需要採用,則就用明文傳輸,除非主機A的IPSec策略設置的是必須強制使用。若主機B回答的是可以用IPSec加密,則主機A就會先對數據包進行加密,然後再發送。經過IPSec技術加密過的數據,一般很難被破解。而且,重要的是這個加密、解密的工作對於用戶來說,是透明的。也就是說,我們網路管理員之需要配置好IPSec策略之後,員工不需要額外的動作。是否採用IPSec加密、不採用會有什麼結果等等,員工主機之間會自己進行協商,而不需要我們進行額外的控制。 在使用這種加密手段的時候,唯一需要注意的就是如何設置IPSec策略。也就是說,什麼時候採用強制加密,說明時候採用可有可無的。若使用強制加密的情況下,一定要保證通信的雙方都支持IPSec技術,否則的話,就可能會導致通信的不成功。最懶的方法,就是不管三七二十一,給企業內的所有電腦都配置IPSec策略。雖然,都會在增加一定的帶寬,給網路帶來一定的壓力,但是,基本上,這不會對用戶產生多大的直接影響。或者說,他們不能夠直觀的感受到由於採用了IPSec技術而造成的網路性能減慢。 2、利用路由器等網路設備對網路進行物理分段。 我們從上面的乙太網工作原理的分析中可以知道,如果銷售部門的某位銷售員工發送給銷售經理的一份文件,會在公司整個網路內進行傳送。我們若能夠設計一種方案,可以讓銷售員工的文件直接給銷售經理,或者至少只在銷售部門內部的員工可以收的到的話,那麼,就可以很大程度的降低由於網路監聽所導致的網路安全的風險。 如我們可以利用路由器來分離廣播域。若我們銷售部門跟其他部門之間不是利用共享式集線器或者普通交換機進行連接,而是利用路由器進行連接的話,就可以起到很好的防範區域網監聽的問題。如此時,當銷售員A發信息給銷售經理B的時候,若不採用路由器進行分割,則這份郵件會分成若乾的數據包在企業整個區域網內部進行傳送。相反,若我們利用路由器來連接銷售部門跟其他部門的網路,則數據包傳送到路由器之後,路由器會檢查數據包的目的IP地址,然後根據這個IP地址來進行轉發。此時,就只有對應的IP地址網路可以收到這個數據包,而其他不相關的路由器介面就不會收到這個數據包。很明顯,利用路由器進行數據報的預處理,就可以有效的減少數據包在企業網路中傳播的范圍,讓數據包能夠在最小的范圍內傳播。 不過,這個利用路由器來分段的話,有一個不好地地方,就是在一個小范圍內仍然可能會造成網路監聽的情況。如在銷售部門這個網路內,若有一台主機被設置為網路監聽,則其雖然不能夠監聽到銷售部門以外的網路,但是,對於銷售部門內部的主機所發送的數據包,仍然可以進行監聽。如財務經理發送一份客戶的應手帳款余額表給銷售經理的話,有路由器轉發到銷售部門的網路後,這個數據包仍然會到達銷售部門網路內地任一主機。如此的話,只要銷售網路中有一台網路主機被設置為監聽,就仍然可以竊聽到其所需要的信息。不過若財務經理發送這份文件給總經理,由於總經理的網段不在銷售部門的網段,所以數據包不會傳送給財務部門所在的網路段,則銷售部門中的偵聽主機就不能夠偵聽到這些信息了。 另外,採用路由器進行網路分段外,還有一個好的副作用,就是可以減輕網路帶寬的壓力。若數據包在這個網路內進行傳播的話,會給網路帶來比較大的壓力。相反,通過路由器進行網路分段,從而把數據包控制在一個比較小的范圍之內,那麼顯然可以節省網路帶寬,提高網路的性能。特別是企業在遇到DDOS等類似攻擊的時候,可以減少其危害性。 3、利用虛擬區域網實現網路分段。 我們不僅可以利用路由器這種網路硬體來實現網路分段。但是,這畢竟需要企業購買路由器設備。其實,我們也可以利用一些交換機實現網路分段的功能。如有些交換機支持虛擬區域網技術,就可以利用它來實現網路分段,減少網路偵聽的可能性。 虛擬區域網的分段作用跟路由器類似,可以把企業的區域網分割成一個個的小段,讓數據包在小段內傳輸,將乙太網通信變為點到點的通信,從而可以防止大部分網路監聽的入侵。 不過,這畢竟還是通過網路分段來防止網路監聽,所以,其也有上面所說的利用路由器來實現這個需求的缺點,就是只能夠減少網路監聽入侵的幾率。在某個網段內,仍然不能夠有效避免網路監聽。 所以,比較好的方法,筆者還是推薦採用加密技術來防止網路監聽給企業所帶來的危害,特別似乎防止用戶名、密碼等關鍵信息被竊聽。
『伍』 怎麼防止網路出口的數據被別人監聽
你是說區域網的數據安全還是說Internet數據的安全?
一般在上網的時候,如果伺服器端沒有開啟SSL加密協議,你是無法針對用戶名和密碼甚至數據進行加密的。比如126.com這個郵箱,登陸就有SSL加密,這是網易公司實行的加密.可是Tom.com卻無法加密你的用戶名和密碼,因為Tom(新飛公司)沒有開啟加密業務.
你要知道,網站的加密功能是要向國際域名組織交費的,而且費用很多.不過你可以考慮用加密軟體加密你的文字或文件,這樣與別人交流,即使被搭線竊聽也可以保證數據本身的安全.PGP就是很好的加密軟體,同樣還有其他的小巧的軟體。這就要你自己找了。
如果是區域網的安全防護,就簡單了!
首先,防火牆可以有效的阻止別人非法進入你的電腦,很必要。
其次,你可以用STP(屏蔽雙絞線)做區域網,這樣可以有效防止電磁輻射,使得外網的用戶無法探查你們的通訊電磁波。
當然,在區域網你也可以採用加密軟體來保證你的安全。
『陸』 為了防止網路監聽最常用的方法是
採用網路工具防禦。現在科技發達,有許多工具可以讓我們發現系統中的漏洞,如SATAN等。安裝防火牆。防火牆型安全保障技術是基於被保護網路具有明確定義的邊界和服務、並且網路安全的威脅僅來自外部的網路。通過監測、限制以及更改跨越"防火牆"的數據流,盡可能的對外部網路屏蔽有關被保護網路的信息、結構,實現對網路的安全保護,因此比較適合於相對獨立,與外部網路互連途徑有限並且網路服務種類相對單一、集中的網路系統。對網路上傳輸的信息進行加密。軟體包可用於加密連接,使入侵者即使捕獲到數據,但無法將數據解密而失去竊聽的意義。
二、數據加密。數據加密的優越性在於,即使攻擊者獲得了數據,如果不能破譯,這些數據對他也是沒有用的。一般而言,人們真正關心的是那些秘密數據的安全傳輸,使其不被監聽和偷換。如果這些信息以明文的形式傳輸,就很容易被截獲而且閱讀出來。因此,對秘密數據進行加密傳輸是一個很好的辦法。
三、網路分段。即採用網路分段技術,建立安全的網路拓撲結構,將一個大的網路分成若干個小的網路,如將——個部門、一個辦公室等可以相互信任的主機放在一個物理網段上,網段之間再通過網橋、交換機或路由器相連,實現相互隔離。這樣,即使某個網段被監聽了,網路中其他網段還是安全的。因為數據包只能在該子網的網段內被截獲, 網路中剩餘的部分(不在同一網段的部分)則被保護了。
『柒』 防範網路監聽最有效的方法是
網路監聽的防範一般比較困難,通常可採取數據加密和網路分段兩種方法:
1.數據加密。數據加密的優越性在於,即使攻擊者獲得了數據,如果不能破譯,這些數據對他也是沒有用的。一般而言,人們真正關心的是那些秘密數據的安全傳輸,使其不被監聽和偷換。如果這些信息以明文的形式傳輸,就很容易被截獲而且閱讀出來。因此,對秘密數據進行加密傳輸是一個很好的辦法。
2.網路分段。即採用網路分段技術,建立安全的網路拓撲結構,將一個大的網路分成若干個小的網路,如將——個部門、一個辦公室等可以相互信任的主機放在一個物理網段上,網段之間再通過網橋、交換機或路由器相連,實現相互隔離。這樣,即使某個網段被監聽了,網路中其他網段還是安全的。因為數據包只能在該子網的網段內被截獲, 網路中剩餘的部分(不在同一網段的部分)則被保護了。
『捌』 網路監聽技術的防範
(1)發現可能存在的網路監聽。網路監聽是很難被發現的,因為運行網路監聽的主機只是被動地接收在區域網上傳輸的信息,不主動地與其他主機交換信息,也沒有修改在網上傳輸的數據包。
對於懷疑運行監聽程序的機器,用正確的IP地址和錯誤的物理地址ping,運行監聽程序的機器會有響應。或者向網上發大量還在的物理地址的包,由於監聽程序要分析和處理大量的數據包會佔用很多的CPU資源,這將導致性能下降。通過比較前後該機器性能加以判斷,這種方法難度比較大。也可以使用反監聽工具進行檢測。
(2)對網路監聽的防範措施,從邏輯或物理上對網路分段。網維分段通常被認為是控制網路廣播風暴的一種基本手段,但其實也是保證網路安全的王菲措施,其目的是將非法用戶與敏感的網路資源相互隔離,從而防止可能的非法監聽。
心交換式集線器代替共享式集線器。當用戶與主機進行數據通信時,兩台機器之間的數據包(稱為單播包Unicast Packet)會被同一台共享式集線器上的其他用戶所監聽。交換式集線器只能控制單播包而無法控制廣播包(Broadcast Packet)和多播包(Multicast Packet)。
使用加密技術。數據經過加密後,通過監聽仍然可以得到傳送的信息,但顯示的是亂碼。
劃分VLAN。運用VLAN(虛擬區域網)技術,將以網通信變為點到點通信,可以防止大部分基於網路監聽的入侵。