阻止sniffer
主动式集线器只向目标地址主机发送数据包,从而使混杂模式sniffer失效。它仅适用于10Base-T以太网。(注:这种现在已在计算机市场消失。)
只有两家厂商曾生产过主动式集线器: * 3Com * HP
随着交换机的成本和价格的大幅度降低,交换机已成为非常有效的使sniffer失效的设备。目前最常见的交换机在第三层(网络层)根据数据包目标地址进行转发,而不太采取集线器的广播方式,从而使sniffer失去了用武之地。
加密
目前有许多软件包可用于加密连接,从而使入侵者即使捕捉到数据,但无法将数据解密而失去窃听的意义。
以下是以前常用的一些软件包
* deslogin
coast.cs.purdue.edu:/pub/tools/unix/deslogin .
* swipe
FTP.csua.berkeley.edu:/pub/cypherpunks/swIPe/
* Netlock
Kerberos
Kerberos是另一个加密网络中帐号信息的软件包。它的缺点是所有帐号信息都存放在一台主机中,假如该主机被入侵,则会危及整个网络安全。另外配置它也不是一件简单的事情。Kerberos包括流加密rlogind和流加密telnetd等,它可以防止入侵者捕捉用户在登录完成后所进行的操作。
Kerberos FAQ可从ftp站点rtfm.mit.edu中得到:/pub/usenet/comp.PRotocols/kerberos/Kerberos_Users__Frequently_Asked_Questions_1.11一次性口令技术
S/key和其它一次性口令技术一样,使窃听帐号信息失去意义。S/key的原理是远程主机已得到一个口令(这个口令不会在不安全的网络中传输),当用户连接时会获得一个"挑战"(challenge)信息,用户将这个信息和口令经过某个算法运算,产生正确的"响应"(response)信息(假如通讯双方口令正确的话)。这种验证方式无需在网络中传输口令,而且相同的"挑战/响应"也不会出现两次。S/key可从以下网址得到:
ftp://thumper.bellcore.com/pub/nmh/skey
还有一种一次性口令技术是ID卡系统。每个授权用户都有一个产生用于访问各自帐
号的数字号码的ID卡。假如没有这个ID卡,不可能猜出这个数字号码。
新闻热点
疑难解答
