2. 优化网络拓扑杜绝嗅探

(1).网络分段

网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。

(2).使用交换式集线器

对局域网的中心交换机进行网络分段后,局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包还是会被同一台集线器上的其他用户所监听。

因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法监听。当然,交换式集线器只能控制单播包而无法控制广播包和多播包。但广播包和多播包内的关键信息,要远远少于单播包。

(3).划分VLAN

运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,可以防止大部分基于网络监听的入侵。 一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性,也有效地防范了嗅探攻击。

图12

图12

总结:嗅探是一柄“双刃剑”,入侵者通过它获取网络中的敏感信息然后实施攻击,当然我也可以利用嗅探技术进行反嗅探捕获入侵者。作为网络管理员只有了解嗅探的原理,掌握必要的防嗅探技术才有可能在嗅探与反嗅探的斗争中掌握主动权取得最后的胜利。

  1. 局域网网络层存在的不安全地方及其解决
  2. 局域网网络监控软件部署方案探讨


共5页: 上一页12345下一页

相关内容