第1-1章：網(wǎng)絡監(jiān)聽及防御技術

網(wǎng)絡監(jiān)聽及防御技術2025/2/152內(nèi)容介紹1.1網(wǎng)絡監(jiān)聽概述1.2監(jiān)聽技術1.3監(jiān)聽的防御1.4小結(jié)1.1網(wǎng)絡監(jiān)聽概述1.2監(jiān)聽技術1.3監(jiān)聽的防御1.4小結(jié)2025/2/1531.1網(wǎng)絡監(jiān)聽概述1.1.1基礎知識與實例1.1.2網(wǎng)絡監(jiān)聽技術的發(fā)展情況2025/2/1542025/2/1551.1.1基礎知識與實例1．網(wǎng)絡監(jiān)聽的概念網(wǎng)絡監(jiān)聽技術又叫做網(wǎng)絡嗅探技術(NetworkSniffing)，顧名思義，這是一種在他方未察覺的情況下捕獲其通信報文或通信內(nèi)容的技術。在網(wǎng)絡安全領域，網(wǎng)絡監(jiān)聽技術對于網(wǎng)絡攻擊與防范雙方都有著重要的意義，是一把雙刃劍。對網(wǎng)絡管理員來說，它是了解網(wǎng)絡運行狀況的有力助手，對黑客而言，它是有效收集信息的手段。網(wǎng)絡監(jiān)聽技術的能力范圍目前只限于局域網(wǎng)。2025/2/1561.1.1基礎知識與實例2．相關網(wǎng)絡基礎

網(wǎng)絡傳輸技術：廣播式和點到點。

廣播式網(wǎng)絡傳輸技術：僅有一條通信信道，由網(wǎng)絡上的所有機器共享。信道上傳輸?shù)姆纸M可以被任何機器發(fā)送并被其他所有的機器接收。點到點網(wǎng)絡傳輸技術：點到點網(wǎng)絡由一對對機器之間的多條連接構(gòu)成，分組的傳輸是通過這些連接直接發(fā)往目標機器，因此不存在發(fā)送分組被多方接收的問題。2025/2/1571.1.1基礎知識與實例3．網(wǎng)卡的四種工作模式（1）廣播模式：該模式下的網(wǎng)卡能夠接收網(wǎng)絡中的廣播信息。（2）組播模式：該模式下的網(wǎng)卡能夠接受組播數(shù)據(jù)。（3）直接模式：在這種模式下，只有匹配目的MAC地址的網(wǎng)卡才能接收該數(shù)據(jù)幀。（4）混雜模式：（PromiscuousMode）在這種模式下，網(wǎng)卡能夠接受一切接收到的數(shù)據(jù)幀，而無論其目的MAC地址是什么。2025/2/1581.1.1基礎知識與實例實例：用Ethereal嗅探sina郵箱密碼U=hack_tesingPsw=hacktesting2025/2/1591.1網(wǎng)絡監(jiān)聽概述1.1.1基礎知識與實例1.1.2網(wǎng)絡監(jiān)聽技術的發(fā)展情況2025/2/15101.1.2網(wǎng)絡監(jiān)聽技術的發(fā)展情況網(wǎng)絡監(jiān)聽（Sniffer）的發(fā)展歷史

Sniffer這個名稱最早是一種網(wǎng)絡監(jiān)聽工具的名稱，后來其也就成為網(wǎng)絡監(jiān)聽的代名詞。在最初的時候，它是作為網(wǎng)絡管理員檢測網(wǎng)絡通信的一種工具。網(wǎng)絡監(jiān)聽器分軟、硬兩種2025/2/15111.1.2網(wǎng)絡監(jiān)聽技術的發(fā)展情況1．網(wǎng)絡監(jiān)聽（Sniffer）的發(fā)展歷史軟件嗅探器便宜易于使用，缺點是功能往往有限，可能無法抓取網(wǎng)絡上所有的傳輸數(shù)據(jù)(比如碎片)，或效率容易受限；硬件嗅探器通常稱為協(xié)議分析儀，它的優(yōu)點恰恰是軟件嗅探器所欠缺的，處理速度很高，但是價格昂貴。目前主要使用的嗅探器是軟件的。2025/2/15121.1.2網(wǎng)絡監(jiān)聽技術的發(fā)展情況2．Sniffer軟件的主要工作機制驅(qū)動程序支持：需要一個直接與網(wǎng)卡驅(qū)動程序接口的驅(qū)動模塊，作為網(wǎng)卡驅(qū)動與上層應用的“中間人”，它將網(wǎng)卡設置成混雜模式，捕獲數(shù)據(jù)包，并從上層接收各種抓包請求。分組捕獲過濾機制：對來自網(wǎng)卡驅(qū)動程序的數(shù)據(jù)幀進行過濾，最終將符合要求的數(shù)據(jù)交給上層。 鏈路層的網(wǎng)卡驅(qū)動程序上傳的數(shù)據(jù)幀就有了兩個去處：一個是正常的協(xié)議棧，另一個就是分組捕獲過濾模塊，對于非本地的數(shù)據(jù)包，前者會丟棄（通過比較目的IP地址），而后者則會根據(jù)上層應用的要求來決定上傳還是丟棄。2025/2/15131.1.2網(wǎng)絡監(jiān)聽技術的發(fā)展情況2．Sniffer軟件的主要工作機制許多操作系統(tǒng)都提供這樣的“中間人”機制，即分組捕獲機制。在UNIX類型的操作系統(tǒng)中，主要有3種：BSD系統(tǒng)中的BPF(BerkeleyPacketFilter)、SVR4中的DLPI(DateLinkInterface)和Linux中的SOCK_PACKET類型套接字。在Windows平臺上主要有NPF過濾機制。目前大部分Sniffer軟件都是基于上述機制建立起來的。如Tcpdump、Wireshark等。2025/2/15141.1.2網(wǎng)絡監(jiān)聽技術的發(fā)展情況3．網(wǎng)絡監(jiān)聽的雙刃性

現(xiàn)在的監(jiān)聽技術發(fā)展比較成熟，可以協(xié)助網(wǎng)絡管理員測試網(wǎng)絡數(shù)據(jù)通信流量、實時監(jiān)控網(wǎng)絡狀況。 然而事情往往都有兩面性，Sniffer的隱蔽性非常好，它只是“被動”的接收數(shù)據(jù)，所以在傳輸數(shù)據(jù)的過程中，根本無法察覺到有人在監(jiān)聽。網(wǎng)絡監(jiān)聽給網(wǎng)絡維護提供便利同時，也給網(wǎng)絡安全帶來了很大隱患。2025/2/15151.2監(jiān)聽技術1.2.1局域網(wǎng)中的硬件設備簡介1.2.2共享式局域網(wǎng)的監(jiān)聽技術1.2.3交換式局域網(wǎng)的監(jiān)聽技術1.2.4網(wǎng)絡監(jiān)聽工具舉例2025/2/15161.2.1局域網(wǎng)中的硬件設備簡介1．集線器

(1)集線器的原理： 集線器（又稱為Hub）是一種重要的網(wǎng)絡部件，主要在局域網(wǎng)中用于將多個客戶機和服務器連接到中央?yún)^(qū)的網(wǎng)絡上。 集線器工作在局域網(wǎng)的物理環(huán)境下，其主要應用在OSI參考模型第一層，屬于物理層設備。它的內(nèi)部采取電器互連的方式，當維護LAN的環(huán)境是邏輯總線或環(huán)型結(jié)構(gòu)時，完全可以用集線器建立一個物理上的星型或樹型網(wǎng)絡結(jié)構(gòu)。2025/2/15171.2.1局域網(wǎng)中的硬件設備簡介1．集線器

(2)集線器的工作特點 依據(jù)IEEE802.3協(xié)議，集線器功能是隨機選出某一端口的設備，并讓它獨占全部帶寬，與集線器的上聯(lián)設備(交換機、路由器或服務器等)進行通信。集線器在工作時具有以下兩個特點： 首先是集線器只是一個多端口的信號放大設備； 其次集線器只與它的上聯(lián)設備(如上層Hub、交換機或服務器)進行通信，同層的各端口之間不會直接進行通信，而是通過上聯(lián)設備再將信息廣播到所有端口上。2025/2/1518D-LINKDES-1024D24PORT2025/2/15191.2.1局域網(wǎng)中的硬件設備簡介1．集線器

(3)用集線器組建的局域網(wǎng)示意圖2025/2/15201.2.1局域網(wǎng)中的硬件設備簡介2．交換機

(1)交換機的原理： 交換機是一種網(wǎng)絡開關（Switch）,也稱交換器，由于和電話交換機對出入線的選擇有相似的原理，因此被人稱為交換機。 交換機在局域網(wǎng)的環(huán)境下，工作在比集線器更高一層鏈路層上。交換機被定義成一個能接收發(fā)來的信息幀，加以暫時存儲，然后發(fā)到另一端的網(wǎng)絡部件，其本質(zhì)上就是具有流量控制能力的多端口網(wǎng)橋。2025/2/15211.2.1局域網(wǎng)中的硬件設備簡介2．交換機

(2)交換機的工作特點 把每個端口所連接的網(wǎng)絡分割為獨立的LAN，每個LAN成為一個獨立的沖突域。 每個端口都提供專用的帶寬。這是交換機與集線器的本質(zhì)區(qū)別，集線器不管有多少端口，都是共享其全部帶寬。 轉(zhuǎn)發(fā)機制。交換機維護有每個端口對應的地址表，其中保存與該端口連接的各個主機的MAC地址。2025/2/1522CISCOWS-C2950-24交換機

2025/2/15231.2.1局域網(wǎng)中的硬件設備簡介2．交換機

(2)用交換機組建的局域網(wǎng)示意圖2025/2/15241.2監(jiān)聽技術1.2.1局域網(wǎng)中的硬件設備簡介1.2.2共享式局域網(wǎng)的監(jiān)聽技術1.2.3交換式局域網(wǎng)的監(jiān)聽技術1.2.4網(wǎng)絡監(jiān)聽工具舉例2025/2/1525什么是共享式局域網(wǎng)共享式局域網(wǎng)就是使用集線器或共用一條總線的局域網(wǎng)，它采用了載波檢測多路偵聽（CarriesSenseMultipleAccesswithCollisionDetection，簡稱CSMA/CD）機制來進行傳輸控制。共享式局域網(wǎng)是基于廣播的方式來發(fā)送數(shù)據(jù)的，因為集線器不能識別幀，所以它就不知道一個端口收到的幀應該轉(zhuǎn)發(fā)到哪個端口，它只好把幀發(fā)送到除源端口以外的所有端口，這樣網(wǎng)絡上所有的主機都可以收到這些幀。2025/2/1526共享式局域網(wǎng)的監(jiān)聽原理在正常的情況下，網(wǎng)卡應該工作在廣播模式、直接模式，一個網(wǎng)絡接口（網(wǎng)卡）應該只響應這樣的兩種數(shù)據(jù)幀：與自己的MAC地址相匹配的數(shù)據(jù)幀（目的地址為單個主機的MAC地址）。發(fā)向所有機器的廣播數(shù)據(jù)幀（目的地址為0xFFFFFFFFFF）。2025/2/1527共享式局域網(wǎng)的監(jiān)聽的工作原理(2)但如果共享式局域網(wǎng)中的一臺主機的網(wǎng)卡被設置成混雜模式狀態(tài)的話，那么，對于這臺主機的網(wǎng)絡接口而言，任何在這個局域網(wǎng)內(nèi)傳輸?shù)男畔⒍际强梢员宦牭降?。主機的這種狀態(tài)也就是監(jiān)聽模式。處于監(jiān)聽模式下的主機可以監(jiān)聽到同一個網(wǎng)段下的其他主機發(fā)送信息的數(shù)據(jù)包。2025/2/15281.2監(jiān)聽技術1.2.1局域網(wǎng)中的硬件設備簡介1.2.2共享式局域網(wǎng)的監(jiān)聽技術1.2.3交換式局域網(wǎng)的監(jiān)聽技術1.2.4網(wǎng)絡監(jiān)聽工具舉例2025/2/15291.2.3交換式局域網(wǎng)的監(jiān)聽技術什么是交換式局域網(wǎng)交換式以太網(wǎng)就是用交換機或其它非廣播式交換設備組建成的局域網(wǎng)。這些設備根據(jù)收到的數(shù)據(jù)幀中的MAC地址決定數(shù)據(jù)幀應發(fā)向交換機的哪個端口。因為端口間的幀傳輸彼此屏蔽，因此節(jié)點就不擔心自己發(fā)送的幀會被發(fā)送到非目的節(jié)點中去。2025/2/15301.2.3交換式局域網(wǎng)的監(jiān)聽技術產(chǎn)生交換式局域網(wǎng)的原因：系統(tǒng)管理人員常常通過在本地網(wǎng)絡中加入交換設備，來預防sniffer(嗅探器)的侵入。交換機工作在數(shù)據(jù)鏈路層，工作時維護著一張MAC地址與端口的映射表。在這個表中記錄著交換機每個端口綁定的MAC地址。不同于HUB的報文廣播方式，交換機轉(zhuǎn)發(fā)的報文是一一對應的。2025/2/15311.2.3交換式局域網(wǎng)的監(jiān)聽技術交換式局域網(wǎng)在很大程度上解決了網(wǎng)絡監(jiān)聽的困擾。但是交換機的安全性也面臨著嚴峻的考驗，隨著嗅探技術的發(fā)展，攻擊者發(fā)現(xiàn)了有如下方法來實現(xiàn)在交換式以太網(wǎng)中的網(wǎng)絡監(jiān)聽：溢出攻擊ARP欺騙（常用技術）2025/2/15321.2.3交換式局域網(wǎng)的監(jiān)聽技術溢出攻擊交換機工作時要維護一張MAC地址與端口的映射表。但是用于維護這張表的內(nèi)存是有限的。如用大量的錯誤MAC地址的數(shù)據(jù)幀對交換機進行攻擊，交換機就可能出現(xiàn)溢出。這時交換機就會退回到HUB的廣播方式，向所有的端口發(fā)送數(shù)據(jù)包，一旦如此，監(jiān)聽就很容易了。2025/2/15331.2.3交換式局域網(wǎng)的監(jiān)聽技術ARP欺騙(arp-a)計算機中維護著一個IP-MAC地址對應表，記錄了IP地址和MAC地址之間的對應關系。該表將隨著ARP請求及響應包不斷更新。通過ARP欺騙，改變表里的對應關系，攻擊者可以成為被攻擊者與交換機之間的“中間人”，使交換式局域網(wǎng)中的所有數(shù)據(jù)包都流經(jīng)自己主機的網(wǎng)卡，這樣就可以像共享式局域網(wǎng)一樣分析數(shù)據(jù)包了。dsniff和parasite等交換式局域網(wǎng)中的嗅探工具就是利用ARP欺騙來實現(xiàn)的。2025/2/15341.2.3交換式局域網(wǎng)的監(jiān)聽技術ARP欺騙(arp-a)A的地址為：IP：MAC:AA-AA-AA-AA-AA-AAB的地址為：IP：MAC:BB-BB-BB-BB-BB-BBC的地址為：IP：MAC:CC-CC-CC-CC-CC-CCarp–darp-d命令用于清除并重建本機arp表。

2025/2/15351.2監(jiān)聽技術1.2.1局域網(wǎng)中的硬件設備簡介1.2.2共享式局域網(wǎng)的監(jiān)聽技術1.2.3交換式局域網(wǎng)的監(jiān)聽技術1.2.4網(wǎng)絡監(jiān)聽工具舉例2025/2/15361.2.4網(wǎng)絡監(jiān)聽工具舉例常用的網(wǎng)絡監(jiān)聽工具Tcpdump/WindumpNgrepEthereal/WiresharkSnifferProNetXray網(wǎng)絡監(jiān)聽工具的主要功能大都相似，我們以Wireshark為例。2025/2/1537Wireshark簡介Wireshark是一個免費的開源網(wǎng)絡數(shù)據(jù)包分析工具，可以在Linux、Solaris、Windows等多種平臺運行。它允許用戶從一個活動的網(wǎng)絡中捕捉數(shù)據(jù)包并進行分析，詳細探究數(shù)據(jù)包的協(xié)議字段信息和會話過程。幫助網(wǎng)絡管理員解決網(wǎng)絡問題，幫助網(wǎng)絡安全工程師檢測安全隱患，開發(fā)人員可以用它來測試協(xié)議執(zhí)行情況、學習網(wǎng)絡協(xié)議。具有很好的可擴展性，用戶能自由地增加插件以實現(xiàn)額外功能。2025/2/1538Wireshark更名的故事2006年6月8號,Ethereal軟件的創(chuàng)始人GeraldCoombs宣布離開NIS公司(Ethereal所屬公司)，正式加入CaceTech。由于Coombs最終沒能與NIS公司達成協(xié)議，Coombs想保留Ethereal商標權，因此將Ethereal后續(xù)版本更名為Wireshark，屬于CaceTech公司。Ethereal原網(wǎng)站(/)依舊提供下載服務。2025/2/1539如何獲得軟件Ethereal官網(wǎng)（終結(jié)版本0.99.0）：http://www.E/Wireshark官網(wǎng)：/在安裝Wireshark時，要同時安裝Winpcap，它是提供Windows系統(tǒng)所需要的封包捕獲驅(qū)動程序2025/2/1540Wireshark的特點支持多種通訊接口（如Ethernet、Token-ring、X.25等）及數(shù)據(jù)包協(xié)議類型（如ARP、TCP、UDP等），可以組合TCP上的封包且顯示出以ASCII或是EBCDIC型態(tài)的數(shù)據(jù)（TCPStream），所捕獲的封包可以被儲存。支持CaptureFilter（捕獲前過濾）和DisplayFilter（捕獲后過濾）功能幫助用戶篩選想要的數(shù)據(jù)包。2025/2/1541在捕獲數(shù)據(jù)包之前設定。用于設定捕獲數(shù)據(jù)包時的過濾條件，屬于捕獲前過濾好處:可以讓你選擇要抓取的數(shù)據(jù)包Examples:tcptcporudptcp||udp（此過濾規(guī)則是上一條的不同寫法）tcpandip.addr=4Capturefilter2025/2/1542Displayfilter在捕獲數(shù)據(jù)包結(jié)束后設定。用來設定顯示數(shù)據(jù)包的條件，屬于捕獲后過濾好處:可以讓你選擇要看的數(shù)據(jù)包Example:同Capturefiltertcp.port==80tcpport80（此過濾規(guī)則是上一條的不同寫法）2025/2/1543案例一：觀察FTP數(shù)據(jù)流設置capturefilter，只對tcp包進行監(jiān)測開始抓取數(shù)據(jù)包，同時局域網(wǎng)內(nèi)有ftp登陸(隔一小段時間后)停止抓取封包觀察數(shù)據(jù)包的格式內(nèi)容設置displayfilter，只查看21端口與ftp主機相關的數(shù)據(jù)包使用followtcpstream功能重組數(shù)據(jù)包，查看ftp登陸過程2025/2/1544設置網(wǎng)卡如果有多個網(wǎng)絡接口（網(wǎng)卡），首先在CaptureOptions中設置在哪個網(wǎng)絡接口上抓包。勾選Capturepacketsinpromiscuousmode選項，將網(wǎng)卡設置成混雜模式。案例一：觀察FTP數(shù)據(jù)流2025/2/1545設置Capturefiltertcp2025/2/1546抓包正在進行中，只抓取了TCP包2025/2/1547抓包結(jié)束，查看封包內(nèi)容控制列封包總覽封包內(nèi)容十六進制碼2025/2/1548設置Displayfiltertcp.port==21andip.addr==502025/2/1549封包重組選定某一封包內(nèi)容后，執(zhí)行FollowTCPStream，即可對與被選中封包相關的所有封包內(nèi)容進行重組，可更清楚的看到封包中的Data。ftp登陸過程2025/2/1550案例二：監(jiān)聽TCP通信過程TCP通信過程回顧實驗環(huán)境用Wireshark抓包數(shù)據(jù)包詳細分析2025/2/1551TCP通信過程回顧TCP數(shù)據(jù)報格式正常TCP通信過程:建立連接數(shù)據(jù)傳輸斷開連接2025/2/1552TCP數(shù)據(jù)報格式2025/2/1553TCP連接建立過程2025/2/1554TCP數(shù)據(jù)傳輸過程TCPPacketEstablishedEstablishedSEQ=1001,ACK=751,dataLen=256Sending1Waiting1SEQ=751,ACK=1257OK1ACK1SEQ=751,ACK=1513OK2ACK2SEQ=1257,ACK=751,dataLen=256Sending2Waiting2…………2025/2/1555TCP連接斷開過程TCPPacketEstablishedEstablishedSEQ=1513,ACK=751,CTL=FIN|ACKFIN-WAIT-1CLOSE-WAITSEQ=751,ACK=1514,CTL=ACKFIN-WAIT-2CLOSE-WAITSEQ=751,ACK=1514,CTL=FIN|ACKTIME-WAITLAST-ACKSEQ=1514,ACK=752,CTL=ACKTIME-WAITCLOSEDCLOSED2025/2/1556實驗環(huán)境位于同一局域網(wǎng)內(nèi)的兩臺主機，IP分別為：4，19自己編寫了一個C/S模式的程序，實現(xiàn)簡單的TCP數(shù)據(jù)發(fā)送與接收Client運行在4Server運行在192025/2/1557實驗環(huán)境（2）Client發(fā)送兩次數(shù)據(jù)，內(nèi)容分別為123和456，然后發(fā)送0結(jié)束TCP連接。程序截圖如下?？蛻舳税l(fā)送數(shù)據(jù)服務端接收到數(shù)據(jù)2025/2/1558捕獲數(shù)據(jù)包在Client發(fā)送數(shù)據(jù)之前，在4主機(Client)上開啟Wireshark。在捕獲前不進行過濾，直接捕獲所有數(shù)據(jù)包。當Client結(jié)束TCP連接之后，停止捕獲數(shù)據(jù)包。采用捕獲后過濾的方法，過濾規(guī)則是

tcpandip.addr==19

其中，19是Server主機。過濾后，共得到11個數(shù)據(jù)包，見下頁圖。2025/2/15592025/2/1560數(shù)據(jù)包詳細分析這11個數(shù)據(jù)包的含義如下：1~3：三次握手，建立連接4~5：第一次發(fā)送數(shù)據(jù)6~7：第二次發(fā)送數(shù)據(jù)8~11：斷開連接下面將對這11個數(shù)據(jù)包進行詳細分析。2025/2/15611CSSYNSEQ=X+0與TCP報文格式相對應2025/2/15622

SCSYN,ACKSEQ=Y+0ACK=X+12025/2/15633CSACKSEQ=X+1ACK=Y+1三次握手結(jié)束2025/2/15644CSPSH,ACKSEQ=X+1,datalength=256,nextseq=257ACK=Y+1數(shù)據(jù)內(nèi)容見下頁圖2025/2/1565TCPsegmentdata(256bytes)這是第一次發(fā)送的數(shù)據(jù)1232025/2/15665SCACKSEQ=Y+1ACK=X+257第一次傳輸數(shù)據(jù)結(jié)束2025/2/15676CSPSH,ACKSEQ=X+257,datalength=256,nextseq=513ACK=Y+1數(shù)據(jù)內(nèi)容見下頁圖2025/2/1568TCPsegmentdata(256bytes)這是第二次發(fā)送的數(shù)據(jù)4562025/2/15697SCACKSEQ=Y+1ACK=X+513第二次傳輸數(shù)據(jù)結(jié)束2025/2/15708CSFIN,ACKSEQ=X+513ACK=Y+12025/2/15719SCACKSEQ=Y+1ACK=X+5142025/2/157210SCFIN,ACKSEQ=Y+1ACK=X+5142025/2/157311CSACKSEQ=X+514ACK=Y+2TCP連接已經(jīng)斷開2025/2/1574案例三：觀察登錄BBS過程設置過濾條件：捕獲前過濾2025/2/1575案例三：觀察登錄BBS過程設置過濾條件：捕獲后過濾如果Filter框背景顯示為綠色，說明所設定的過濾規(guī)則合乎Wireshark支持的語法規(guī)則。如果Filter框背景顯示為紅色，說明所設定的過濾規(guī)則不符合語法規(guī)則。2025/2/1576案例三：觀察登錄BBS過程登錄BBS的用戶名和密碼主機向服務器發(fā)送的POST請求2025/2/15771.3監(jiān)聽的防御1.3.1通用策略

1.3.2共享網(wǎng)絡下的防監(jiān)聽1.3.3交換網(wǎng)絡下的防監(jiān)聽2025/2/15781.3.1通用策略由于嗅探器是一種被動攻擊技術，因此非常難以被發(fā)現(xiàn)。完全主動的解決方案很難找到并且因網(wǎng)絡類型而有一些差異，但我們可以先采用一些被動但卻是通用的防御措施。這主要包括采用安全的網(wǎng)絡拓撲結(jié)構(gòu)和數(shù)據(jù)加密技術兩方面。此外要注意重點區(qū)域的安全防范。2025/2/1579安全的拓撲結(jié)構(gòu)網(wǎng)絡分段越細，嗅探器能夠收集的信息就越少。網(wǎng)絡分段：將網(wǎng)絡分成一些小的網(wǎng)絡，每一個網(wǎng)段的集線器被連接到一個交換器(Switch)上，所以數(shù)據(jù)包只能在該網(wǎng)段的內(nèi)部被網(wǎng)絡監(jiān)聽器截獲，這樣網(wǎng)絡的剩余部分（不在同一網(wǎng)段）便被保護了。網(wǎng)絡有三種網(wǎng)絡設備是嗅探器不可能跨過的：交換機、路由器、網(wǎng)橋。我們可以通過靈活的運用這些設備來進行網(wǎng)絡分段。劃分VLAN：使得網(wǎng)絡隔離不必要的數(shù)據(jù)傳送，一般可以采用20個工作站為一組，這是一個比較合理的數(shù)字。網(wǎng)絡分段只適應于中小的網(wǎng)絡。網(wǎng)絡分段需要昂貴的硬件設備。2025/2/1580數(shù)據(jù)加密數(shù)據(jù)通道加密：正常的數(shù)據(jù)都是通過事先建立的通道進行傳輸?shù)?，以往許多應用協(xié)議中明文傳輸?shù)馁~號、口令的敏感信息將受到嚴密保護。目前的數(shù)據(jù)加密通道方式主要有SSH、SSL(SecureSocketLayer，安全套接字應用層)和VPN。數(shù)據(jù)內(nèi)容加密：主要采用的是將目前被證實的較為可靠的加密機制對對互聯(lián)網(wǎng)上傳輸?shù)泥]件和文件進行加密。如PGP等。2025/2/15811.3監(jiān)聽的防御1.3.1通用策略1.3.2共享網(wǎng)絡下的防監(jiān)聽1.3.3交換網(wǎng)絡下的防監(jiān)聽2025/2/15821.3.2共享網(wǎng)絡下的防監(jiān)聽雖然共享式局域網(wǎng)中的嗅探很隱蔽，但也有一些方法來幫助判斷：檢測處于混雜模式的網(wǎng)卡網(wǎng)絡通訊丟包率非常高網(wǎng)絡帶寬出現(xiàn)反常檢測技術網(wǎng)絡和主機響應時間測試ARP檢測（如AntiSniff工具）2025/2/15831.3.2共享網(wǎng)絡下的防監(jiān)聽1.網(wǎng)絡和主機響應時間測試這種檢測已被證明是最有效的，它能夠發(fā)現(xiàn)網(wǎng)絡中處于監(jiān)聽模式的機器，而不管其操作系統(tǒng)是什么。2025/2/15841.3.2共享網(wǎng)絡下的防監(jiān)聽1.網(wǎng)絡和主機響應時間測試測試原理是處于非監(jiān)聽模式的網(wǎng)卡提供了一定的硬件底層過濾機制，即目標地址為非本地(廣播地址除外)的數(shù)據(jù)包將被網(wǎng)卡所丟棄。這種情況下驟然增加目標地址不是本地的網(wǎng)絡通訊流量對操作系統(tǒng)的影響很小。而處于混雜模式下的機器則缺乏底層的過濾，驟然增加目標地址不是本地的網(wǎng)絡通訊流量會對該機器造成較明顯的影響(不同的操作系統(tǒng)/內(nèi)核/用戶方式會有不同)。2025/2/15851.3.2共享網(wǎng)絡下的防監(jiān)聽1.網(wǎng)絡和主機響應時間測試實現(xiàn)方法是利用ICMPECHO請求及響應計算出需要檢測機器的響應時間基準和平均值。在得到這個數(shù)據(jù)后，立刻向本地網(wǎng)絡發(fā)送大量的偽造數(shù)據(jù)包，與此同時再次發(fā)送測試數(shù)據(jù)包以確定平均響應時間的變化值。非監(jiān)聽模式的機器的響應時間變化量會很小，而監(jiān)聽模式的機器的響應時間變化量則通常會有1～4個數(shù)量級。2025/2/15861.3.2共享網(wǎng)絡下的防監(jiān)聽2.ARP檢測地址解析協(xié)議(AddressResolutionProtocol,ARP)請求報文用來查詢硬件地址到IP地址的解析。適用于所有基于以太網(wǎng)的IPV4協(xié)議。我們可以使用這類分組來校驗網(wǎng)卡是否被設置為混雜模式。2025/2/15871.3.2共享網(wǎng)絡下的防監(jiān)聽2.ARP檢測 在混雜模式下，網(wǎng)卡不會阻塞目的地址不是自己的分組，而是照單全收，并將其傳送給系統(tǒng)內(nèi)核。然后，系統(tǒng)內(nèi)核會返回包含錯誤信息的報文。 基于這種機制，我們可以假造一些ARP請求報文發(fā)送到網(wǎng)絡上的各個節(jié)點，沒有處于混雜模式的網(wǎng)卡會阻塞這些報文，但是如果某些節(jié)點有回應，就表示這些節(jié)點的網(wǎng)卡處于混雜模式下。這些處于混雜模式的節(jié)點就可能運行嗅探器程序。2025/2/15881.3監(jiān)聽的防御1.3.1通用策略1.3.2共享網(wǎng)絡下的防監(jiān)聽1.3.3交換網(wǎng)絡下的防監(jiān)聽2025/2/15891.3.3交換網(wǎng)絡下的防監(jiān)聽

交換網(wǎng)絡下防監(jiān)聽，主要要防止ARP欺騙及ARP過載。如何檢測局域網(wǎng)中存在ARP欺騙攻擊如何發(fā)現(xiàn)正在進行ARP攻擊的主機ARP欺騙攻擊的防范2025/2/15網(wǎng)絡入侵與防范講義892025/2/15902025/2/15網(wǎng)絡入侵與防范講義90如何檢測局域網(wǎng)中存在ARP欺騙攻擊 網(wǎng)絡頻繁掉線網(wǎng)速突然變慢使用ARP–a命