宽带上网环境中的Sniffer攻防实例

核心提示： 实验为了验证我的观点，特地做了以下实验：我的主机现在被分配到的ip地址是211.167.123.8，宽带上网环境中的Sniffer攻防实例(2)，这是一个标准的c类地址，因此子网掩码是24位，如果能用硬件路由器代替软路由那就更佳了，写这篇文章的目的是希望起到抛砖引玉的作用，这就意味着理论上

实验

为了验证我的观点，特地做了以下实验：

我的主机现在被分配到的ip地址是211.167.123.8，这是一个标准的c类地址，因此子网掩码是24位，这就意味着理论上有252台主机（去掉网关和我自己）和我是处在同一网段中，考虑到有线通的实际使用率，252台估计是没有的，但同时间几十台应该还是有的，应该说我是可以访问到这些主机的。

于是我就ping，从211.167.123.2开始，到211.167.123.15 ping通了，说明这台主机正联线，我马上打开IE，在地址栏中输入\211.167.123.15，系统提示我输入用户名和密码，用户名输入administrator，密码为空，嘿嘿，进入了。除了打印机外看不到什么共享资源？没关系，我已经是管理员了，还怕找不到资源？我再输入\211.167.123.15c$，c盘的根目录不就出来了，这是windows2000的默认共享，是为管理而设的，去不掉的。接下来d$、e$，要找什么自己输入。
　　在整个实验的过程中，配合上FluxayIV（流光），一个网段3、5分钟就搞定了，发现有3x台主机正联线，其中居然有5、6台主机的administrator账号密码为空，这岂不是任人宰割了？就算那些设了密码的，一般也不会有人在自己的电脑上设得太复杂，如果有心拆解的话，配上个词典，也不是很困难的事。更有甚者，可能是一台某个公司的主机，居然直接共享了所有的资源，没有任何密码，看来是被他们作为文件服务器使用了。

结论

现在大家知道我上面说的两种方案哪个更好了吧？

由于有线通分配的是标准C类地址，不可能通过延长子网掩码去减少每个网段的主机数，所以本地网的安全始终是我们这些用户的大敌。而且DHCP服务器分配的IP地址是有存活期的，大概一个星期左右，你又会被分配到一个新的IP地址，也就意味着你又进入了一个新的网段，又有252个新邻居在等着你，可怕吧？最可怕的是，和你处在同一网段的主机被你的防火墙认为是局域网主机，一般防火墙的预设里不会对这类主机进行设防。

防范措施

首先，也是最起码的，就是为你的administrator账号设一个密码（不能太简单），因为这个账号是删不掉的，你即使不用也不能让密码空着。在实验的过程中我发现有好多用户平时可能用另外一个账号，密码倒是设了，但administrator的密码却是空的，那你岂不是白忙一场？

还有些用户administrator账号密码设了，但又开了几个密码为空的账号，这同样是危险的。记住，所有的可用账号都要设密码，而且要定时管理这些账号，关闭长期不用的账号，对于administrator账号最好是能经常更换密码。

安装一两个防火墙是好方法，但记住一定要对防火墙进行设置，因为一般预设里面对局域网主机是没有严密防范的，而你看到这里应该知道我们最需要防范的恰好是这些“局域网”主机。同时，防火墙本身也可能是有漏洞的，所以我用的是天网+Norton，这样交叉防范还是比较令我放心的。至于防火墙的具体设置方法就请参阅相关文章了，我就不赘述了。

还要提醒你的就是，作了这样防范之后，如果你的网络结构采用的是第一种方案，那么你的几台主机之间也不能共享了，因为这几台主机和本网段的其他主机是处在平等地位。所以你如果要建设自己的网络，考虑到安全性，建议你采用第二种方案，如果能用硬件路由器代替软路由那就更佳了。

写这篇文章的目的是希望起到抛砖引玉的作用，如果各位看官想到方便、安全、高效的防范手段请一定和我交流。