如何發現和防止Sniffer

　　 

如何在網絡中發現一個Sniffer

簡單的一個回答是你發現不了。因為他們根本就沒有留下任何痕跡。

因為sniffer是如此囂張又安靜，如何知道有沒有sniffer存在，這也是一個很難說明的問題，比較有說服力的理由證明你的網絡有sniffer目前有這么兩條：

網絡通訊掉包率反常的高。

通過一些網絡軟件，可以看到信息包傳送情況（不是sniffer），向ping這樣的命令會告訴你掉了百分幾的包。如果網絡中有人在Listen，那么信息包傳送將無法每次都順暢的流到目的地。（這是由于sniffer攔截每個包導致的）

網絡帶寬出現反常。

通過某些帶寬控制器（通常是防火墻所帶），可以實時看到目前網絡帶寬的分布情況，如果某臺機器長時間的占用了較大的帶寬，這臺機器就有可能在監聽。在非高速信道上，如56Kddn等，如果網絡中存在sniffer,你應該也可以察覺出網絡通訊速度的變化。

還有一個辦法是看看計算機上當前正在運行的所有程序。但這通常并不可靠，但你可以控制哪個程序可以在你的計算機上運行。

在Unix系統下使用下面的命令：　ps -aux 　或：　ps -augx。 這個命令列出當前的所有進程，啟動這些進程的用戶，它們占用CPU的時間，占用內存的多少等等。

Windows系統下，按下Ctrl+Alt+Del，看一下任務列表。不過，編程技巧高的Sniffer即使正在運行，也不會出現在這里的。

另一個方法就是在系統中搜索，查找可疑的文件。但可能入侵者用的是他們自己寫的程序，所以都會給發現sniffer造成相當大的困難。

還有許多工具，能用來看看你的系統會不會在雜收模式。從而發現是否有一個Sniffer正在運行。

怎樣防止被sniffer

對于嗅探器如此強大的‘靈敏度’，我們力求作到：

檢測和消滅嗅探器

會話加密

將數據隱藏，使嗅探器無法發現

加密

你最關心的可能是傳輸一些比較敏感的數據，如用戶ID或口令等等。有些數據是沒有經過處理的，一旦被sniffer，就能獲得這些信息。解決這些問題的辦法是加密。

我們介紹以下SSH，它又叫Secure Shell。SSH是一個在應用程序中提供安全通信的協議。它是建立在客戶機/服務器模型上的。SSH服務器的分配的端口是22。連接是通過使用一種來自RSA的算法建立的。在授權完成后，接下來的通信數據是用IDEA技術來加密的。這通常是較強的，適合與任何非秘密和非經典的通訊。

SSH后來發展成為F-SSH，提供了高層次的，軍方級別的對通信過程的加密。它為通過TCP/IP網絡通信提供了通用的最強的加密。如果某個站點使用F-SSH，用戶名和口令成為不是很重要的一點。目前，還沒有人突破過這種加密方法。即使是sniffer，收集到的信息將不再有價值。當然最關鍵的是怎樣使用它。

SSH和F-SSH都有商業或自由軟件版本存在。

其他的方法

另一個比較容易接受的是使用安全拓撲結構。這聽上去很簡單，但實現起來花銷是很大的。

在我們小的時候也許都玩過一種智力游戲，它通常由一系列數字組成。游戲的目的是要安排好數字，用最少的步驟，把它們按遞減順序排好。當處理網絡拓撲時，就和玩這個游戲一樣。

這樣的拓撲結構需要有這樣的規則：一個網絡段必須有足夠的理由才能信任另一網絡段。網絡段應該考慮你的數據之間的信任關系上來設計，而不是硬件需要。

讓我們開始處理這個網絡拓撲，來看看：

第一點：一個網絡段是僅由能互相信任的計算機組成的。通常它們在同一個房間里，或在同一個辦公室里。比如你的財務信息，應該固定在某一節點，就象你的財務部門被安排在辦公區域的的一個不常變動的地方。

注意每臺機器是通過硬連接線接到Hub的。Hub再接到交換機上。由于網絡分段了，數據包只能在這個網段上被sniffer。其余的網段將不可能被sniffer。

所有的問題都歸結到信任上面。計算機為了和其他計算機進行通信，它就必須信任那臺計算機。作為系統管理員，你的工作是決定一個方法，使得計算機之間的信任關系很小。這樣，就建立了一種框架，可以告訴你什么時候放置了一個sniffer，它放在那里了，是誰放的等等。

如果你的局域網要和INTERNET相連，僅僅使用防火墻是不夠的。入侵者已經能從一個防火墻后面掃描，并探測正在運行的服務。你要關心的是一旦入侵者進入系統，他能得到些什么。你必須考慮一條這樣的路徑，即信任關系有多長。舉個例子，假設你的WEB服務器對某一計算機A是信任的。那么有多少計算機是A信任的呢。又有多少計算機是受這些計算機信任的呢？在信任關系中，這臺計算機之前的任何一臺計算機都可能對你的計算機進行攻擊，并成功。你的任務就是保證一旦出現的Sniffer，它只對最小范圍有效。

Sniffer往往是攻擊者在侵入系統后使用的，用來收集有用的信息。因此，防止系統被突破是關鍵。系統安全管理員要定期的對所管理的網絡進行安全測試，防止安全隱患。同時要控制擁有相當權限的用戶的數量。請記住，許多攻擊往往來自網絡內部。

原文轉自：http://www.kjueaiud.com