包监听
在你已经采取了所有必要的步骤来保护经过你的网络中的通信之后,我建议偶尔采用包监听来监视网络通信。这仅仅是一个预防措施,因为它帮助你了解在你的网络中究竟发生了哪些类型的通信。如果你发现了意料不到的通信包类型,你就可以查找到这些包的来源。
协议分析器的最大问题在于它可能被黑客所利用,成为黑客手中的利器。由于包监听的特性,我曾经认为不可能探测出谁在我的网络中进行包监听。包监听仅仅是监视线缆中发生的通信。由于包监听不改变通信包,那又怎么能够知道谁在进行监听呢?
其实检查包监听比你想象的要容易得多。你所需要的仅仅是一台机器作为诱饵。诱饵机器应该是一台除了你之外任何人都不知道它存在的工作站。确保你的诱饵机器有一个IP地址,但是不在域之中。现在把诱饵机器连接到网络中,并让它产生一些通信包。如果有人在监听网络。监听这就会发现这些由诱饵机器所发出的通信包。问题在于监听者会知道诱饵机器的IP地址,但是却不知道它的主机名。通常,监听者会进行一次DNS查找,试图找到这台机器的主机名。由于你是唯一知道这台机器存在的人,没有人会进行DNS查找来寻找这台机器。所以,如果你发现DNS日志中有人进行DNS查找来查找你的诱饵机器,那么你就有理由怀疑这台机器被利用来监听网络了。
另一个你可以采取、用以阻止监听的步骤是用VLAN交换机替换掉所有现有的集线器。这些交换机在包的发送者和接受者创建虚拟网络。包不再经过网络里的所有机器。它将直接从发送端发送到接受端。这意味着如果有监听者在监听你的网络,他就很难获得有用的信息。
这种类型的交换机还有其他的优点。对于一个标准的集线器,所有的节点都落在同一个域中。这就意味着如果你有100 Mbps的总带宽,那么带宽将在所有的节点之间进行分配。但是VLAN交换机却不是如此,每一个虚拟LAN都有专有的带宽,它不需要进行分享。这就意味着一台100 Mbps交换机能够同时处理好几百Mbps的通信量,所有的通信都发生在不同的虚拟网络上。采用VLAN交换机能够同时提高安全性和效率。
