隔窗有耳 局域网防监听(1)

隔窗有耳 局域网防监听(1)

一、监听原理

监听又称嗅探，指在局域网内的一台主机、网关上放入监听程序，从而可以监听出网络的状态、数据流动情况以及传输数据的信息。以太网协议的工作方式为将要发送的数据包发往连接在一起的所有主机，在包头中包括着应该接收数据包的主机的正确地址。因此，只有与数据包中目标地址一致的那台主机才能接收数据包，但是主机在监听模式(即混杂模式)下，无论数据包中的目标物理地址是什么，主机都将接收(只有在同一网段内才可以进行监听，也就是说一台计算机只能监听经过自己网络接口的那些信息包，不是同一网段的数据包，在网关就被滤掉了)。在通常条件下，用户的所有信息，包括帐号和密码都是以明文的方式在网络上传输的。

二、局域网服务器防嗅探

1、对于FTP的嗅探和防范

(1).嗅探测试

在企业环境下FTP服务器是非常普遍的，它满足了用户文件的存储和彼此间的共享和交流。但是FTP信息默认是以明文的形式在网络中传输，因此内网攻击者可以通过嗅探技术进行监听，从而获取用户的FTP帐户和密码，然后实施进一步的入侵获取信息。

下面我们做个简单的测试：A、B两台计算机同属于一个子网，攻击者在A计算机上安装了sniffer进行局域网的监听嗅探。一员工在B计算机访问公司的FTP服务器，登录FTP时使用自己的用户名和密码。当B计算机登录FTP后，A计算机的攻击者也就获得了该员工的FTP帐户和密码。试想，如果攻击者获得是FTP管理员的帐户和密码那整个FTP服务器不也就被它控制了吗?

图1

(2).防范措施

我们看到FTP的帐户、密码之所以被嗅探获取是因为它是明文传输的，因此我们可以通过对其数据进行加密来防范。数据被加密后虽然可以被嗅探到，但由于嗅探到的是乱码因此无法被利用。笔者就以最常用的Serv-U搭建的FTP为例进行演示设置对数据的加密。

第一步：创建SSL证书。在“Serv-U管理员”窗口中，展开“本地服务器→设置”选项，然后切换到“SSL证书”标签页。在“普通名称”栏中输入FTP服务器的IP地址，接着其它栏目的内容，如电子邮件、组织和单位等，根据用户的情况进行填写。完成SSL证书标签页中所有内容的填写后，点击下方的“应用”按钮即可，这时Serv-U就会生成一个新的SSL证书。

图2

第二步：启用SSL证书。要启用Serv-U服务器中域名为“ftp”的SSL功能。在“Serv-U管理员”窗口中，依次展开“本地服务器→域→ftp”选项。在右侧的“域”管理框中找到“安全性”下拉列表选项。这里Serv-U提供了3种选项，分别是“仅仅规则FTP，无SSL/TLS进程”、“允许SSL/TLS和规则进程”、“只允许SSL/TLS进程”，默认情况下，Serv-U使用的是“仅仅规则FTP，无SSL/TLS进程”，因此是没有启用SSL加密功能的。在“安全性”下拉选项框种选择“只允许SSL/TLS进程”选项，然后点击“应用”按钮，即可启用softer域的SSL功能。

图3

这样，所有的FTP信息都是加密的再也不用怕嗅探监听了。不过需要注意的是，启用了SSL功能后，Serv-U服务器使用的默认端口号就不再是“21”了而是“990”了，登录FTP服务器是可以通过Flash FXP这样的工具进行登录。

图4