浅论校园网络中存在嗅探器的解决方案(2)

　　因为嗅探器需要将网络中入侵的网卡设置为混杂模式才能工作，所以检测嗅探器可以采用检测混杂模式网卡的工具?比如Ant isniff等工具。
　　当系统在混杂模式下，系统会对某些特定类型的数据包回应，对其它的数据包则置之不理。在Antisniff进行操作系统详细测试时，Antisniff会通过广播或非广播方式发送一个并不存在的Ether地址，并对系统回应进行监听。Antisniff发送虚假地址的请求ICMP回应数据帧，如果系统在混杂模式下则会对该数据帧进行应答，否则放弃。
　　对于不同的操作系统，计算机采用的检测工具也不尽相同。大多数LI NUX、UNI X操作系统都可以使用ifconf i g。利用ifconfig网络管理人员可以知道网卡是否工作在混杂模式下。但是因为安装未被授权的sniffer时，特洛伊木马程序也有可能被同时安装，因而ifconf ig的输出结果就可能完全不可信。 　　大多数版本的UNI X都可以使用lsof来检测嗅探器的存在。lsof的最初的设计目的并非为了防止嗅探器入侵?但因为在被入侵的系统中，嗅探器会打开其输出文件，并不断传送信息给该文件?这样该文件的内容就会越来越大?因而lsof就有了用武之地。如果利用lsof发现有文件的内容不断的增大,我们就有理由怀疑系统被人装了嗅探器。因为大多数嗅探器都会把截获的’TCP/IP”数据写入自己的输出文件中,因而系统管理人员可以把lsof的结果输出至grep来减少系统被破坏的可能性。
　　完全主动的解决方案很难找到，我们可以采用一些被动的防御措施。
　　安全的拓扑结构，嗅探器只能在当前网络段上进行数据捕获。这就意味着，将网络分段工作进行得越细，嗅探器能够收集的信息就越少。有三种网络设备是嗅探器不可能跨过的，交换机、路由器、网桥。我们可以通过灵活的运用这些设备来进行网络分段。比如对网络进行分段，比如在交换机上设置VLAN，使得网络隔离不必要的数据传送。
　　会话加密，会话加密提供了另外一种解决方案。不用特别地担心数据被嗅探，而是要想办法使得嗅探器不认识嗅探到的数据。这种方法的优点是明显的?即使攻击者嗅探到了数据，这些数据对他也是没有用的。在加密时有两个主要的问题?一个是技术问题，一个是人为问题。技术是指加密能力是否高。例如，32位的加密就可能不够，而且并不是所有的应用程序都集成了加密支持。而且?跨平台的加密方案还不多，一般只在一些特殊的应用之中才有。人为问题是指有些用户可能不喜欢加密，他们觉得这太麻烦。用户可能开始会使用加密，但他们很少能够坚持下。总之我们必须寻找一种友好的媒介使用支持强大这样的应用程序，还要具有一定的用户友好性。使用secur e shell、secure copy或者IPv6协议都可以使得信息安全的传输。传统的网络服务程序，SMTP、HTTP、FTP、POP3和Tel net等在本质上都是不安全的?因为它们在网络上用明文传送口令和数据，嗅探器非常容易就可以截获这些口令和。SSH的英文全称是Secur e Shell。通过使用SSH，你可以把所有传输的进行加密，这样通过中间服务器的攻击方式就不可能实现了，而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。
　　用静态的ARP或者IP—MAc对应表代替动态的APR或者I P—MAC对应表。该措施主要是进行渗透嗅探的防范，采用诸如ARP欺骗手段能够让入侵者在交换网络中顺利完成嗅探。网络管理员需要对各种欺骗手段进行深入了解，比如嗅探中通常使用的ARP欺骗，主要是通过欺骗进行ARP动态缓存表的修改。在重要的主机或者工作站上设置静态的ARP对应表，比如WINDOWS2003系统使用a r p命令设置，在交换机上设置静态的I P一M AC对应表等，防止利用欺骗手段进行嗅探的手法。
　　系统管理人员还应该坚决阻止系统内核的重新载入。为了把嗅探器隐藏在服务级，恶意攻击者可能更改内核的代码内容并重新载入该内核。系统管理人员应该生成静态的系统内核，并禁止核心相关模块的重新的卸载和载入。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说计算机浅论校园网络中存在嗅探器的解决方案(2)在线全文阅读。