阻止网络嗅探的方法

　　网络嗅探确实是难于检测的，但它确实是可以预防的，下面就介绍一些网络嗅探的预防方法。网络管理人员常用的方法有：主动集线器、加密、Kerberos、一次性口令技术、混杂模式网络接口设备等。下面将就这些方法分别展开论述。

　　1.主动集线器

　　集线器是连接网络较常用的设备。通常的集线器是采用广播的方式进行数据传输的，而主动式集线器只向目标地址主机发送数据包，这就使混杂模式Sniffer失效。它仅适用于10Base-T以太网(注：这种类型现在已在计算机市场消失)。 只有两家厂商曾生产过主动式集线器：3Com和HP。

　　随着交换机的成本和价格的大幅度降低，交换机已成为非常有效的使Sniffer失效的设备。目前最常见的交换机在第三层(网络层)根据数据包目标地址进行转发，而采取集线器的广播方式，这样就使Sniffer失去了用武之地。当然对于抵御黑客而言，交换设备的出现对于广大的网络用户而言是不错的，但是对于需要对于网络进行监控的网络管理人员而言，没有广播数据就像被人蒙上了眼睛，如何实现对于网络数据的监控呢?将监控设备串接在网络中吗?这不现实，这难免会影响网络的实际使用的。

　　实际上，网络设备的生产厂商在其设备的设计和生产的时候加入了网络监听端口，又被称为径向端口，这样就可以将通过这样的端口监视到其他端口的通信。

　　2.加密

　　目前有许多软件包可用于加密连接，这样入侵者即使捕获到数据，也无法将数据解密，使窃听失去意义。以下是以前常用的一些软件包：

　　*deslogin：coast.cs.purdue.edu:/pub/tools/unix/deslogin.* swIPe：ftp.csua.berkeley.edu:/pub/cypherpunks/swIPe/* Netlock* SSL

　　3.Kerberos

　　它是另一个加密网络中账号信息的软件包。它的缺点是所有账号信息都存放在一台主机中，如果该主机被入侵，则会危及整个网络安全。另外配置它也不是一件简单的事情。Kerberos包括流加密rlogind和流加密telnetd等，可防止入侵者捕获用户在登录完成后所进行的操作。Kerberos FAQ可从ftp站点rtfm.mit.edu/pub/usenet/comp.protocols/kerberos/Kerberos_Users__Frequently_Asked_ Questions_1.11中得到。

　　4.一次性口令技术

　　一次性口令技术的工作原理是远程主机已得到一个口令(这个口令不会在不安全的网络中传输)，当用户连接时会获得一个“挑战”(challenge)信息，用户将这个信息和口令经过某个算法运算，产生正确的“响应”(response)信息(如果通信双方口令正确的话)。这种验证方式无须在网络中传输口令，而且相同的“挑战/响应”也不会出现两次。

　　S/key就是一种一次性口令技术，可从ftp://thumper.bellcore.com/pub/nmh/skey中得到。另一种常用的一次性口令技术是ID卡系统。每个授权用户都有一个产生用于访问各自账号的数字号码的ID卡。如果没有这个ID卡，不可能猜出这个数字号码。一次性口令技术不仅仅是防止监听的好方法，它确实也是保证认证安全的有效方法。

　　5.非混杂模式网络接口设备

　　以前，大多数IBM DOS兼容机器的网卡都不支持混杂模式，所以无法进行网络嗅探。但DOS已退出计算机网络舞台，对于现在计算机市场中的网络接口设备，在使用的时候请向供应商查询是否为非混杂模式设备(即不支持混杂模式)。