围堵局域网中“耳朵”:网络嗅探与监听

2.预防为主——从根本上防御网络监听

虽然利用ARP欺骗报文进行的网络监听很难察觉，但它并不是无法防御的，与ARP寻址相对的，在一个相对稳定的局域网里(机器数量和网卡被更换的次数不多，也没有人一没事干就去更改自己IP)，我们可以使用静态ARP映射，即记录下局域网内所有计算机的网卡MAC地址和对应的IP，然后使用“arp –s IP地址 MAC地址”进行静态绑定，这样计算机就不会通过ARP广播来找人了，自然不会响应ARP欺骗工具发送的动态ARP应答包(静态地址的优先度大于动态地址)，但是这个方法存在的劣势就是对操作用户要求挺高，要知道并不是所有人都理解MAC地址是干什么用的，另外一点就是如果机器数量过多或者变动频繁，会对操作用户(通常是网络管理员)造成巨大的心灵伤害……

因此，一般常用的方法是使用软件防御，例如Anti Arp Sniffer，它可以强行绑定本机与网关的MAC关系，让伪装成网关获取数据的监听机成了摆设，而如果是监听者仅仅欺骗了某台计算机的情况呢?这就要使用ARP Watch了，ARP Watch会实时监控局域网中计算机MAC地址和ARP广播报文的变化情况，如果有ARP欺骗程序发送虚假地址报文，必然会造成MAC地址表不符，ARP Watch就会弹出来警告用户了。

此外，对网络进行VLAN划分也是有效的方法，每个VLAN之间都是隔离的，必须通过路由进行数据传输，这个时候MAC地址信息会被丢弃，每台计算机之间都是采用标准TCP/IP进行数据传输的，即使存在嗅探器也无法使用虚假的MAC地址进行欺骗了。

四. 结语

网络监听技术作为一种工具，总是扮演着正反两方面的角色，尤其在局域网里更是经常以黑暗的身份出现。对于入侵者来说，通过网络监听可以很容易地获得用户的关键信息，因此他们青睐。而对于入侵检测和追踪者来说，网络监听技术又能够在与入侵者的斗争中发挥重要的作用，因此他们也离不开必要的嗅探。我们应该努力学习网络安全知识，进一步挖掘网络监听技术的细节，扎实掌握足够的技术基础，才能在与入侵者的斗争中取得胜利。