- 主题
- 0
- 积分
- 0
- 贝壳
- 0 个
- 注册时间
- 2006-11-29
- 最后登录
- 2006-11-29
|
需要帮忙
[这个贴子最后由chinanic在 2005/07/06 00:32am 第 1 次编辑]
消除网络监听所应采取的措施
消除嗅探器并不是一件很困难的事情,一般都根据所传输数据的重要性、安全性以及所需的花费来决定采用什么措施。通常采取加密和网络分割的办法来防止嗅探器的攻击。
1、加密
如果仅仅需要防止远程登录时用户ID和口令被截取,可以在主机上安装一次性口令系统(OTP)。在使用OTP的系统中,用户在登录时根据主机提出的一个迭代值和一个种子值计算出本次登录的口令。如果需要保护电子邮件免遭窃取,可以对邮件使用PGP加密。PGP采用RSA和IDEA混合的加密算法,对该算法目前还没有找到比穷尽算法更有效的破解办法。上面提到的这两种办法实现较简单,但是他们也不能完全阻止一个野蛮的监听者对网络上种种信息包的获取。SNP提供了一种安全的验证协议,TELNET,FTP,RLOGIN等应用的用户ID和口令不再是以文本方式传输。SNP系统所有传输数据是采用DES加密的、监听者所看到的信息包只是一些乱码。目前SNP系统可以运行在很多操作系统上。SSH提供端到端的验证与加密,他也是应用层的安全通信协议,是目前国际互联网上最好的安全通信工具之一。SSH是基于C/S模型的,标准的SSH服务端口为22。SSH采用RSA加密算法建立连接,验证过程结束后,所有的信息都采用IDEA技术加密,他是典型的强加密,适合于所有的通信。SSH曾一度为加密安全通信的主要协议。如果在网络系统中使用SSH,那么用户ID和口令被捕获的概率将大大降低。对于SSH有商业的和免费的版本,免费的版本是UNIX上的工具,商用的是用在Windows 3.1/95/NT上的。目前SSH和SNP的应用仍然不广泛,问题主要在于易用性不好,大多数用户也不愿意去接受新的应用软件。另外,强加密算法会或多或少地增大系统的负荷。
2、网络分割
通常人们所能接受的防止嗅探器攻击的办法是使用安全的网络拓扑结构,但是这种方法实现很麻烦,花费也比较大。我们知道,广播一般只存在于同一根网络总线上,所以信息包只能被同一网络块(或网络段)的嗅探器所捕获。我们可以利用网络分割的技术,使得网络进一步划分,减小嗅探器的监听范围,这样网络的其余部分就免受了嗅探器的攻击。一般可以采用Switch划分网段,使用网桥或者网络路由器来划分子网。实际上旧的PC和工作站都可以配置成网桥或者路由器。当然一个网络块应该是由那些互相可以信任的计算机组成。典型的情况是这些计算机在同一房间或者同一办公室。网络分割有很多优点。一名不道德的雇员安装了嗅探器,由于受到物理限制,他仅仅能够捕获合作伙伴的工作站的信息流。如果发现了在某一分支有嗅探器,那么很容易确定是那些人所设置。网络分割要解决的问题是确立信任关系,只有在此基础上才能设计网络拓扑。
根据以上介绍的两种方法,我们便可以挫败嗅探器了。
不知道楼主,你看懂没有! |
|
