局域网环境下若干安全问题及对策网络毕(5)

　　使用 PING 方法的具体步骤及结论如下：

　　① 假设可疑主机的IP 地址为192.168.10.11，MAC 地址是00-E0-4C-3A-4B-A5，检测者和可疑主机位于同一网段。

　　② 稍微修改可疑主机的MAC 地址，假设改成00-E0-4C-3A-4B-A4。

　　③ 向可疑主机发送一个PING 包，包含它的IP 和改动后的MAC 地址。

　　④ 没有被监听的主机不能够看到发送的数据包，因为正常的主机检查这个数据包，比较数据包的MAC 地址与自己的MAC 地址不相符，则丢弃这个数据包，不产生回应。

　　⑤ 如果看到回应，说明数据包没有被丢弃，也就是说，可疑主机被监听了。

　　（3）ARP 法。除了使用PING 进行监测外，还可以利用ARP 方式进行监测的。这种模式使用ARP数据包替代了上述的ICMP 数据包。向局域网内的主机发送非广播方式的ARP 包，如果局域网内的某个主机以自己的IP 地址响应了这个ARP 请求，那么就可以判断它很可能就处于网络监听模式了。

　　（4）响应时间测试法。这种检测已被证明是最有效的。它能够发现网络中处于监听模式的机器，而不管其操作系统是什么。非监听模式的机器的响应时间变化量会很小，而监听模式的机器的响应时间变化量则通常会较大。

　　2.2.4 网络监听的防范措施

　　为了防止网络上的主机被监听，有多种技术手段，可以归纳为以下三类。

　　第一种是，监听行为要想发生，一个重要的前提条件就是网络内部的一台有漏洞的主机被攻破，只有利用被攻破的主机，才能进行监听，从而收集以网络内重要的数据。因此，要预防网络中的主机被攻破。这就要求我们养成良好的使用的习惯，不随意下载和使用来历不明的软件，及时给计算机打上补丁程序，安装防火墙等措施，涉及到安全的部门还应该有防电辐射技术，干扰技术等等，防止数据被监听。

　　二是被动防御，主要是采取数据加密技术，数据加密是对付监听的最有效的办法。网上的信息绝大多数都是以明文的形式传输，容易辨认。一旦口令被截获，入侵者就可以非常容易地登录到另一台主机。对在网络上传输的信息进行加密后，监听器依然可以捕获传送的信息，但显示的是乱码。使用加密技术，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一，但是它的缺点是速度问题。几乎所有的加密技术都将导致网络的延迟，加密技术越强，网络速度就越慢。只有很重要的信息才采用加密技术进行保护。

　　三是主动防御，主要是使用安全的拓扑结构和利用交换机划分VLAN，这也是限制网络监听的有效方法，这样的监听行为只能发生在一个虚拟网中，最大限度地降低了监听的危害，但需要增加硬件设备的开支，实现起来要花费不少的钱。

　　3.无线局域网安全威胁

　　3.1 非授权访问

　　无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口。所以，未授权实体可以从外部或内部进入网络，浏览存放在网络上的信息；另外，也可以利用该网络作为攻击第三方的出发点，对移动终端发动攻击。而且，IEEE 802.11标准采用单向认证机制，只要求STA向AP进行认证，不要求AP向STA进行认证。入侵者可以通过这种协议上的缺陷对AP进行认证进行攻击，向AP发送大量的认证请求帧，从而导致AP拒绝服务。

　　3.2 敏感信息泄露

　　WLAN层的信号是无线、全方位的空中，开放传输使得其物理层的保密性无法保证。WLAN无线信号的覆盖范围一般都会超过实际需求，只要在信号覆盖范围内入侵者就可以利用无线监听技术捕获无线网络的数据包，对网络进行分析，从而获取有用信息。目前窃听已经成为无线局域网面临的最大问题之一。