文章導航綠軟下載站軟件下載安卓資源蘋果資源專題

您當前所在位置:首頁網絡安全安全防護 → 局域網防監聽

局域網防監聽

時間:2015/6/28來源:IT貓撲網作者:網管聯盟我要評論(0)

  一、監聽原理

  監聽又稱嗅探,指在局域網內的一臺主機、網關上放入監聽程序,從而可以監聽出網絡的狀態、數據流動情況以及傳輸數據的信息。以太網協議的工作方式為將要發送的數據包發往連接在一起的所有主機,在包頭中包括著應該接收數據包的主機的正確地址。因此,只有與數據包中目標地址一致的那臺主機才能接收數據包,但是主機在監聽模式(即混雜模式)下,無論數據包中的目標物理地址是什么,主機都將接收(只有在同一網段內才可以進行監聽,也就是說一臺計算機只能監聽經過自己網絡接口的那些信息包,不是同一網段的數據包,在網關就被濾掉了)。在通常條件下,用戶的所有信息,包括帳號和密碼都是以明文的方式在網絡上傳輸的。

  二、局域網服務器防嗅探

  1、對于FTP的嗅探和防范

  (1).嗅探測試

  在企業環境下FTP服務器是非常普遍的,它滿足了用戶文件的存儲和彼此間的共享和交流。但是FTP信息默認是以明文的形式在網絡中傳輸,因此內網攻擊者可以通過嗅探技術進行監聽,從而獲取用戶的FTP帳戶和密碼,然后實施進一步的入侵獲取信息。

  下面我們做個簡單的測試:A、B兩臺計算機同屬于一個子網,攻擊者在A計算機上安裝了sniffer進行局域網的監聽嗅探。一員工在B計算機訪問公司的FTP服務器,登錄FTP時使用自己的用戶名和密碼。當B計算機登錄FTP后,A計算機的攻擊者也就獲得了該員工的FTP帳戶和密碼。試想,如果攻擊者獲得是FTP管理員的帳戶和密碼那整個FTP服務器不也就被它控制了嗎?   

圖1

(2).防范措施

  我們看到FTP的帳戶、密碼之所以被嗅探獲取是因為它是明文傳輸的,因此我們可以通過對其數據進行加密來防范。數據被加密后雖然可以被嗅探到,但由于嗅探到的是亂碼因此無法被利用。筆者就以最常用的Serv-U搭建的FTP為例進行演示設置對數據的加密。

  第一步:創建SSL證書。在"Serv-U管理員"窗口中,展開"本地服務器→設置"選項,然后切換到"SSL證書"標簽頁。在"普通名稱"欄中輸入FTP服務器的IP地址,接著其它欄目的內容,如電子郵件、組織和單位等,根據用戶的情況進行填寫。完成SSL證書標簽頁中所有內容的填寫后,點擊下方的"應用"按鈕即可,這時Serv-U就會生成一個新的SSL證書。

圖2    
    第二步:啟用SSL證書。要啟用Serv-U服務器中域名為"ftp"的SSL功能。在"Serv-U管理員"窗口中,依次展開"本地服務器→域→ftp"選項。在右側的"域"管理框中找到"安全性"下拉列表選項。這里Serv-U提供了3種選項,分別是"僅僅規則FTP,無SSL/TLS進程"、"允許SSL/TLS和規則進程"、"只允許SSL/TLS進程",默認情況下,Serv-U使用的是"僅僅規則FTP,無SSL/TLS進程",因此是沒有啟用SSL加密功能的。在"安全性"下拉選項框種選擇"只允許SSL/TLS進程"選項,然后點擊"應用"按鈕,即可啟用softer域的SSL功能。

圖3

這樣,所有的FTP信息都是加密的再也不用怕嗅探監聽了。不過需要注意的是,啟用了SSL功能后,Serv-U服務器使用的默認端口號就不再是"21"了而是"990"了,登錄FTP服務器是可以通過Flash FXP這樣的工具進行登錄。

圖4
    2、Web的防嗅探

  Web也是企業中重要的網絡服務,和FTP類似Web數據也是以明文的形式傳輸的,同樣可被攻擊者嗅探得到。如果被攻擊者嗅探得到Web站點的后臺帳戶、密碼那Web服務器就岌岌可危了。我們同樣可以通過SSL對Web進行加密來防嗅探。

  (1).生成證書申請

  運行IIS管理器,展開Web服務器名選擇要安裝證書的Web站點,右鍵單擊該Web站點,選擇"屬性"點擊"目錄安全性"選項卡,單擊"安全通信"中的"服務器證書"按鈕,啟動 Web 服務器證書向導。單擊"下一步"跳過歡迎對話框,點選"創建一個新證書",單擊"下一步"出現一個對話框,選擇"現在準備申請,但稍后發送",然后根據向導輸入實際情況輸入"單位"、"部門"、"國家"等信息。在"證書請求文件名"窗口選擇證書文件保存的位置,最后一路完成證書的申請。   

圖5

(2).提交證書申請

  用"記事本"打開在前面的過程中生成的證書文件,將它的整個內容復制到剪貼板。啟動Internet Explorer瀏覽器,正在地址欄中輸入http://hostname/CertSrv格式的URL地址,其中hostname是運行Microsoft 證書服務的計算機的名稱。 單擊"申請一個證書",在"選擇一個證書類型"下單擊"高級證書申請",在打開的頁面中選擇點擊"使用 base64 編碼的 CMC 或 PKCS #10 文件提交 一個證書申請,或使用 base64 編碼的 PKCS #7 文件續訂證書申請。",在"提交一個保存的申請"頁中,將剛才復制的內容粘貼到"Base64 編碼的證書申請(PKCS #10 或 #7)"右側的文本框中在"證書模板"組合框中,最后單擊"提交"按鈕即可。

圖6

    (3).頒發證書

  從"開始→管理工具"程序組中啟動"證書頒發機構"工具,展開的"證書頒發機構",然后選擇"掛起的申請"文件夾。選擇剛才提交的證書申請,在"操作"菜單中,指向"所有任務",然后單擊"頒發",確認該證書顯示在"頒發的證書"文件夾中,然后雙擊查看它。在"詳細信息"選項卡中,單擊"復制到文件",在文件格式中選擇"Base-64編碼的 X.509",最后根據向導完成證書的頒發和導出。

圖7

    (4).安裝證書

  啟動IIS管理器,展開服務器名稱,選擇要安裝證書的Web站點右鍵單擊該Web站點,選擇"屬性"單擊"目錄安全性"選項卡。點擊"服務器證書"啟動 Web 服務器證書向導。單擊"處理掛起的申請并安裝證書",然后單擊"下一步"在"路徑和文件名"下的文本框中輸入剛才導出的證書文件名,也可以點擊"瀏覽"按鈕定位到該證書文件,單擊"下一步"可以看到網站默認使用的SSL端口是443,我們保存默認一路"下一步"完成證書的安裝。

圖8
    返回"目錄安全性"選項卡,單擊"安全通信"下的"編輯"按鈕勾選其中的"要求安全通道(SSL)",根據安全需要可以勾選"要求128位加密"。至此我們就完成了SSL加密站點的配置工作,客戶端訪問服務器的IIS網站時所瀏覽的信息是通過加密的,就是被惡意嗅探看到的也只是加密信息。

圖9

(5).瀏覽SSL加密站點

  在訪問通過SSL加密的站點時所輸入的地址應該以https://開頭,例如本文中應該使用https://192.168.1.10。如果仍然那使用http://192.168.1.10則會出現"該網頁必須通過安全頻道查看,您要查看的網頁要求在地址中使用"https"。禁止訪問:要求SSL"的提示。服務器上設置完SSL加密站點功能后我們在客戶機上通過瀏覽器訪問該站點時就會彈出一個"安全警報"窗口。只有信任該證書后才能夠正常瀏覽網站信息。這樣在客戶端嗅探與Web服務器之間的通信都是經過加密的,這樣有效杜絕了從嗅探開始的滲透入侵。

圖10

    三、綜合防范措施

  當然,局域網中除了各種服務器之外,更多的是客戶端主機。對于嗅探我們除了防范之外,定位嗅探主機也非常重要。

  1. 嗅探檢測

  (1).Ping測試。對于懷疑運行監聽程序的機器,用正確的IP地址和錯誤的物理地址ping,運行監聽程序的機器會有響應,這是因為正常的機器不接收錯 關鍵詞標簽:局域網,證書;,監聽

相關閱讀

文章評論
發表評論

熱門文章 自己動手打造高性能入侵檢測防御系統(一)自己動手打造高性能入侵檢測防御系統(一)安全技巧:利用軟件限制策略阻止網馬侵襲安全技巧:利用軟件限制策略阻止網馬侵襲巧設瑞星推薦規則 拒絕創建劫持項行為巧設瑞星推薦規則 拒絕創建劫持項行為局域網防監聽局域網防監聽

相關軟件

人氣排行 企業網絡安全事件應急響應方案xp系統關閉445端口方法_ 教你如何關閉xp系統445端口什么是IPS(入侵防御系統)linux iptables如何封IP段隱藏ip地址增加網絡信息的安全性Windows Server 2008利用組策略的安全設置如何保障Server 2008服務器的遠程桌面安全ARP協議的反向和代理

王琳羽毛球