如何防御Sniffer攻击

1.怎样发现 Sniffer 
    Sniffer最大的危险性就是它很难被发现，在单机情况下发现一个Sniffer还是比较容易的，可以通过查看计算机上当前正在运行的所有程序来实现，当然这不一定可靠。 
    在UNIX系统下可以使用下面的命令：ps-aux。这个命令列出当前的所有进程、启动这些进程的用户、它们占用CPU的时间以及占用多少内存等等。在Windoos系统下，可以按下Ctrl＋Alt＋Del键，查看任务列表。不过，编程技巧高的Sniffer即使正在运行，也不会出现在这里。 
    另一个方法就是在系统中搜索，查找可怀疑的文件。但人侵者用的可能是他们自己写的程序，所以这给发现Sniffer造成相当大的困难。还有许多工具能用来查看你的系统会不会处于混杂模式，从而发现是否有一个Sniffer正在运行。 但在网络情况下要检测出哪一台主机正在运行Sniffer是非常困难的，因为Sniffer是一种被动攻击软件，它并不对任何主机发出数据包，而只是静静地运行着，等待着要捕获的数据包经过。 
2．抵御 Sniffer 
    虽然发现一个Sniffer是非常困难的，但是我们仍然有办法抵御Sniffer的嗅探攻击。既然Sniffer要捕获我们的机密信息，那我们干脆就让它捕获，但事先要对这些信息进行加密，黑客即使捕捉到了我们的机密信息，也无法解密，这样，Sniffer就失去了作用。 
    黑客主要用Sniffer来捕获Telnet、FTP、POP3等数据包，因为这些协议以明文在网上传输，我们可以使用一种叫做SSH的安全协议来替代Telnet等容易被Sniffer攻击的协议。 
    SSH又叫Secure Shell，它是一个在应用程序中提供安全通信的协议，建立在客户／服务器模型上。SSH服务器分配的端口是22，连接是通过使用一种来自RSA的算法建立的。在授权完成后，接下来的通信数据用IDEA技术来加密。这种加密方法通常是比较强的，适合于任何非秘密和非经典的通信。 
    SSH后来发展成为F－SSH，提供了高层次的、军方级别的对通信过程的加密。它为通过TCP／IP的网络通信提供了通用的最强的加密。如果某个站点使用F—SSH，用户名和口令就不再重要了。目前，还没有人突破过这种加密方法。即使是Sniffer，收集到的信息将不再有价值。有兴趣的读者可以参看与SSH相关的书籍。 
    另一种抵御Sniffer攻击的方法是使用安全的拓扑结构。因为Sniffer只对以太网、令牌环网等网络起作用，所以尽量使用交换设备的网络可以从最大程度上防止被Sniffer窃听到不属于自己的数据包。还有一个原则用于防止Snther的被动攻击 一个网络段必须有足够的理由才能信任另一网络段。网络段应该从考虑具体的数据之间的信任关系上来设计，而不是从硬件需要上设计。一个网络段仅由能互相信任的计算机组成。通常它们在同一个房间里，或在同一个办公室里，应该固定在建筑的某一部分。注意每台机器是通过硬连接线接到集线器（Hub）的，集线器再接到交换机上。由于网络分段了，数据包只能在这个网段上被捕获，其余的网段将不可能被监听。  
 

[1] [2] 下一页