围堵局域网中“耳朵”:网络嗅探与监听

三. 围堵“耳朵”:局域网监听的防御

知道了局域网监听的实现，我们就不难重现开篇提及的检察员小洁的日记内容是如何被别人看到的了:虽然办公室的网络是交换式局域网，但是窃听者使用ARP欺骗工具篡改了小洁机器的MAC地址表，使小洁的机器发出的数据实际上是在窃听者机器里走一圈后才真正发送出去的，这时候只要小洁登录任何使用明文传输密码的网页表单，她输入的网址、用户名和密码就会被嗅探软件记录下来，窃听者只要使用这个密码登录网站，就可以把小洁写在日记本上的隐私一览无余了。

由此可见，由网络监听引发的信息泄漏后果是非常严重的，轻则隐私泄漏，重则因为银行密码、经过网络传输的文档内容失窃而导致无法计量的经济损失，因此，如何有效防止局域网监听，一直是令管理员操心的问题。

由于共享式局域网的局限性(集线器不会选择具体端口)，在上面流通的数据基本上是“你有，我也有”的，窃听者连ARP信息都不需要更改，自然无法躲过被监听的命运，要解决这个问题，只能先把集线器更换为交换机，杜绝这种毫无隐私的数据传播方式。

好了，现在我们换到交换式局域网了，下一步，就该开始着手围堵这些不受欢迎的耳朵们了。

1.寻找隐匿的耳朵

如果我们怀疑某台机器在偷听数据，应该怎么办呢?

早在几年前，有一种被称为ping检测的方法就已经开始流行了，它的原理还是利用MAC地址自身，大部分网卡允许用户在驱动程序设置里自行指定一个MAC地址(特别说明:这种通过驱动程序指定的MAC地址仅仅能用于自身所处的局域网本身，并不能用于突破远程网关的MAC+IP绑定限制!)，因此我们就可以利用这一特性让正在欺骗MAC地址的机器自食其果。

假设IP为192.168.1.4的机器上装有ARP欺骗工具和嗅探器，所以ping 192.168.1.4，然后arp –a | find “192.168.1.4” 得到它的MAC地址“00-00-0e-40-b4-a1”