如何清除系统内的IPguard这个局域网监控软件?
呵呵,你不怕你卸了你的BOSS监控不到你然后大发雷霆么?
呵呵,可以用优化大师和超级兔子魔法试一试的。
公司使用监控软件监控电脑,如何摆脱
企业员工电脑监控,局域网软件监控,如何对员工进行监控?企业员工全部上网活动中,50%以上都是与工作无关的。仅此一项,美国公司每年将付出几十亿美元的代价。那么在中国又是怎样呢?我们向大家推荐一款有效的监控软件--网眼监控软件,这款软件是扬州艾沃特网络科技有限公司倾情打造的一款网络安全软件,为你免去后顾之忧,欢迎来电洽谈!
在今天崭露头角的数字经济中,如果说有一个变化是最明显的,那就是近年来的许多显著收益都可以直接归功于互联网连接。对于绝大多数公司来说,互联网已经和电话、复印机一起,成为不可或缺的技术。 然而,伴随着收益而来的也有痛苦。除了要为电子商务和在线获取信息付出高额费用外,互联网还悄悄地变成了员工的娱乐场。上网炒股票、下载音乐、赌博、打游戏、购书、看体育新闻、发电子贺卡,以及逛网上红灯区的人越来越多了——而且都是在上班时间。还有一些人总是在公司内发送连锁信和笑话,浪费着本来就有些紧张的带宽和脑力资源。
2000年1月时,Saratoga研究所曾作过一项调查,发现大约2/3的美国公司都对员工上网有规定,有将近1/3的公司因此开除过员工。56%的公司承认知道有员工通过互联网赌博、观看色情内容,或者涉足其他与工作无关的活动。此外,美国管理协会1999年所作的一项调查还表明,企业员工全部上网活动中,50%以上都是与工作无关的。那么为此付出的代价总共有多少呢?一年有几十亿美元。 虽然大部分员工都将他们的这种业余活动限制在最低限度——而且一些机构因此对于上网不加任何限制——网上冲浪和放任上网正日益成为普遍存在的大问题,许多公司都已开始采取措施严加管束。有些公司装备了最新最尖端的监控系统。还有些公司将上网无度的员工停职或解雇。然而,“道高一尺,魔高一丈”,在公司千方百计地制定政策的同时,员工们也在绞尽脑汁地想对策。 使问题更加复杂的是,因私上网实际上也能产生积极的影响。
华盛顿的一家提供工作/生活计划服务的公司Xylo去年8月曾作过一项调查,发现56%因私人原因上网的雇员都说这使得他们工作做得更好,或者说使他们轻松愉快,感到压力有所减轻,大约43%的人称上网对他们的工作表现没有任何影响,无论是积极的还是消极的。 当然,将所有问题都澄清不是件简单的事。很显然,最基本的问题不是该不该连接因特网以及该不该让员工在线干私事,而是怎样使工作环境更有效率。制定一项专门的战略和可行的政策有助于使员工和管理者都能心情舒畅、干劲十足。归根到底,人力资源部门必须根据企业的需求、文化和价值观研究出策略。
开除--企业怒不可遏
一些企业对这个问题开始较起真来。施乐公司对于员工上网冲浪曾极为宽容,后来也决心要惩处过分违纪者。1999年10月,施乐因炒掉40余名员工而上了众多报纸的头条,解雇原因是这些员工在工作场所登录了内容不适当的网站。有些人是在线赌博,有些是炒股或观看色情内容。其中有的员工在上班时间从事非业务活动的时间竟长达8小时。 自那以后,施乐还因此解雇过一些员工,而纽约时报、爱德华·琼斯投资公司、第一花旗银行以及道尔化学公司等也加入了这一行列。在道尔公司,因不适当地使用计算机资源,去年夏天有50名员工被解雇,另有200人受到了纪律处分,包括停职。
该公司一名员工曾向部门领导抱怨同事间在传递一些不恰当的资料,引起了管理层的重视。于是公司开始严密监视其E-mail服务器,结果发现相当一批员工违犯了公司的E-mail纪律和反骚扰规定。道尔公司在作出纪律处分时,曾鼓励所有员工使用公司的员工帮助系统(Employee Assistance Program)寻求咨询。现在,该公司定期进行核查,并对员工加强了教育和沟通。
Young认为,所有雇主和人力资源工作者在制定涵盖整个公司范围的互联网应用政策时,都应当遵循一些基本原则。首要的是对现行的IT和人力资源政策进行评估,看看“公司是否已制定有员工政策?是否对这些政策作过调整,以适应互联网时代飞快前进的步伐?”一旦企业明白了缺陷在哪里和应该怎样弥补,就能制定出公务E-mail及互联网运用的政策,并教育员工这些政策的意义及重要性,然后执行并不断强化这些政策。 Young说,关键是要不断地进行沟通交流。要使“突然弹出”的提示语定期出现在每位员工的计算机上,并要求每个人都阅读并认可这些条款,才能够使政策深入人心。而且,她还强调“一个行之有效的教育方法还应当包括有关上网容易成瘾的信息及其警示标志”。最后,政策中还应包括对“上网成瘾”者如何进行“康复治疗”及对“屡教不改者给予公正合理的惩罚”的条款。一般来说,制定政策的目的是使有价值的员工回归正轨,而不是将他们抛弃。
那么最终的结果会怎样呢?使生产率提高、使士气增强、使损耗降低,还能使企业少惹上许多官司。Young指出:“互联网是一个改变了做生意方式的神奇的交流工具。雇主和人力资源工作者如果能认识到随着互联网应用的深入而带来的问题会越来越多……他们就能使生产率得到提高,使公司在生意场上如鱼得水。” 随着互联网及其他新技术,诸如电话机上的无线网络浏览器和个人数字助理等越来越多的应用,可以预期新的更难以捉摸的“智斗”还会出现。关键是要在员工士气和生产率之间保持合理的平衡。
我电脑好像被一个黑客给监控了,重装系统没用,哪位兄台能彻底帮帮我。感激不尽
下面我们就来看看通过什么样的手段来更有效的防范攻击。
1.察看本地共享资源
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
2.删除共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3.删除ipc$空连接
在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
4.关闭自己的139端口,ipc和RPC漏洞存在于此。
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
5.防止rpc漏洞
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
XP SP2和2000 pro sp4,均不存在该漏洞。
6.445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
7.3389的关闭
XP:我的电脑上点右键选属性-- 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
Win2000server 开始-- 程序-- 管理工具-- 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始-- 设置-- 控制面板-- 管理工具-- 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
8.4899的防范
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
9、禁用服务
打开控制面板,进入管理工具——服务,关闭以下服务
1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务]
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD 录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
8.Kerberos Key Distribution Center[授权协议登录网络]
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10.Messenger[警报]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
14.Print Spooler[打印机服务,没有打印机就禁止吧]
15.Remote Desktop Help nbsp;Session Manager[管理并控制远程协助]
16.Remote Registry[使远程计算机用户修改本地注册表]
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
21.Telnet[允许远程用户登录到此计算机并运行程序]
22.Terminal Services[允许用户以交互方式连接到远程计算机]
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
10、账号密码的安全原则
首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~)
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。
打开管理工具.本地安全设置.密码策略
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是8
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用
11、本地策略:
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
打开管理工具
找到本地安全设置.本地策略.审核策略
1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
然后再到管理工具找到
事件查看器
应用程序:右键 属性 设置日志大小上限,我设置了50mb,选择不覆盖事件
安全性:右键 属性 设置日志大小上限,我也是设置了50mb,选择不覆盖事件
系统:右键 属性 设置日志大小上限,我都是设置了50mb,选择不覆盖事件
12、本地安全策略:
打开管理工具
找到本地安全设置.本地策略.安全选项
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的]
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的值删除
4.网络访问.可匿名的命名管道 将后面的值删除
5.网络访问.可远程访问的注册表路径 将后面的值删除
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.(前面已经详细讲过)
13、用户权限分配策略:
打开管理工具
找到本地安全设置.本地策略.用户权限分配
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
2.从远程系统强制关机,Admin帐户也删除,一个都不留
3.拒绝从网络访问这台计算机 将ID删除
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
5.通过远端强制关机。删掉
14、终端服务配置
打开管理工具
终端服务配置
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
2.常规,加密级别,高,在使用标准Windows验证上点√!
3.网卡,将最多连接数上设置为0
4.高级,将里面的权限也删除.[我没设置]
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
15、用户和组策略
打开管理工具
计算机管理.本地用户和组.用户;
删除Support_388945a0用户等等
只留下你更改好名字的adminisrator权限
计算机管理.本地用户和组.组
组.我们就不分组了,每必要把
16、自己动手DIY在本地策略的安全选项
1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3)对匿名连接的额外限制
4)禁止按 alt+crtl +del(没必要)
5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6)只有本地登陆用户才能访问cd-rom
7)只有本地登陆用户才能访问软驱
8)取消关机原因的提示
A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
B、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
D4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
9)禁止关机事件跟踪
开始“Start - ”运行“ Run - 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )- ”管理模板“(Administrative Templates)- ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口
17、常见端口的介绍
TCP
21 FTP
22 SSH
23 TELNET
25 TCP SMTP
53 TCP DNS
80 HTTP
135epmap
138[冲击波]
139smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389 Terminal Services
4444[冲击波]
UDP
67[冲击波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了
18、另外介绍一下如何查看本机打开的端口和tcp\ip端口的过滤
开始--运行--cmd
输入命令netstat -a
会看到例如(这是我的机器开放的端口)
Proto Local AddressForeign AddressState
TCPyf001:epmap yf001:0 LISTE
TCPyf001:1025(端口号)yf001:0 LISTE
TCP(用户名)yf001:1035yf001:0 LISTE
TCPyf001:netbios-ssn yf001:0 LISTE
UDPyf001:1129*:*
UDPyf001:1183*:*
UDPyf001:1396*:*
UDPyf001:1464*:*
UDPyf001:1466*:*
UDPyf001:4000*:*
UDPyf001:4002*:*
UDPyf001:6000*:*
UDPyf001:6001*:*
UDPyf001:6002*:*
UDPyf001:6003*:*
UDPyf001:6004*:*
UDPyf001:6005*:*
UDPyf001:6006*:*
UDPyf001:6007*:*
UDPyf001:1030*:*
UDPyf001:1048*:*
UDPyf001:1144*:*
UDPyf001:1226*:*
UDPyf001:1390*:*
UDPyf001:netbios-ns *:*
UDPyf001:netbios-dgm *:*
UDPyf001:isakmp *:*
现在讲讲基于Windows的tcp/ip的过滤
控制面板——网络和拨号连接——本地连接——INTERNET协议(tcp/ip)--属性--高级---选项-tcp/ip筛选--属性!!
然后添加需要的tcp 和UDP端口就可以了~如果对端口不是很了解的话,不要轻易进行过滤,不然可能会导致一些程序无法使用。
19、胡言乱语
(1)、TT浏览器
选择用另外一款浏览器浏览网站.我推荐用TT,使用TT是有道理的。
TT可以识别网页中的脚本,JAVA程序,可以很好的抵御一些恶意的脚本等等,而且TT即使被感染,你删除掉又重新安装一个就是。
MYIE浏览器
是一款非常出色的浏览器,篇幅有险,不做具体介绍了。(建议使用)
(2)、移 动“我的文档”
进入资源管理器,右击“我的文档”,选择“属性”,在“目标文件夹”选项卡中点“移 动”按钮,选择目标盘后按“确定”即可。在Windows 2003 中“我的文档”已难觅芳踪,桌面、开始等处都看不到了,建议经常使用的朋友做个快捷方式放到桌面上。
(3)、移 动IE临时文件
进入“开始→控制面板→Internet 选项”,在“常规”选项“Internet 文件”栏中点“设置”按钮,在弹出窗体中点“移 动文件夹”按钮,选择目标文件夹后,点“确定”,在弹出对话框中选择“是”,系统会自动重新登录。点本地连接 高级 安全日志,把日志的目录更改专门分配日志的目录,不建议是C:再重新分配日志存储值的大小,我是设置了10000KB。
20、避免被恶意代码 木马等病毒攻击
以上主要讲怎样防止黑客的恶意攻击,下面讲避免机器被恶意代码,木马之类的病毒攻击。
其实方法很简单,所以放在最后讲。
我们只需要在系统中安装杀毒软件
如 卡巴基斯,瑞星,金山独霸等
还有防止木马的木马克星和金山的反木马软件(可选)
并且能够及时更新你的病毒定义库,定期给你的系统进行全面杀毒。杀毒务必在安全模式下进行,这样才能有效清除电脑内的病毒以及驻留在系统的非法文件。
还有就是一定要给自己的系统及时的打上补丁,安装最新的升级包。微软的补丁一般会在漏洞发现半个月后发布,而且如果你使用的是中文版的操作系统,那么至少要等一个月的时间才能下到补丁,也就是说这一个月的时间内你的系统因为这个漏洞是很危险的。
本人强烈建议个人用户安装使用防火墙(目前最有效的方式)
例如:天网个人防火墙、诺顿防火墙、瑞星防火墙等等。
因为防火墙具有数据过滤功能,可以有效的过滤掉恶意代码,和阻止DDOS攻击等等。总之如今的防火墙功能强大,连漏洞扫描都有,所以你只要安装防火墙就可以杜绝大多数网络攻击,但是就算是装防火墙也不要以为就万事无忧。因为安全只是相对的,如果哪个邪派高手看上你的机器,防火墙也无济于事。我们只能尽量提高我们的安全系数,尽量把损失减少到最小。
安全意识也很重要,我们平时上网的时候都应该有一个好的安全意识。加上我们的不懈努力,相信我们的网络生活会更美好。
这个是各大黑客网站都推崇的防护措施,你重装后一条条照做,会使机子的状况好很多,我也是这么照着做的,从此金山网镖没有再报过有恶意攻击。
网络监控软件可以监控到聊天内容吗?密码之类吗?
可以的,10年之前就可以了,目前国内这样的软件,AnyView(网络警)是最强大的了,做了10年以上了吧,我读书的时候就用过了;不过后来可能因为密码的隐私性好像屏蔽掉监控密码这个功能了,但聊天内容肯定是可以监控的了;
AnyView(网络警)网络监控软件是一款国内目前最专业的企业级的网络监控软件产品。包含局域网上网监控和内网监控功能;上网监控、网页浏览监控、邮件监控、Webmail发送监视、聊天监控、BT禁止、流量监视、上下行分离流量带宽限制、并发连接数限制、FTP命令监视、TELNET命令监视、网络行为审计、操作员审计、软网关功能、端口映射和PPPOE拨号支持等;内网监控、屏幕监视和录象、软硬件资产管理、光驱和USB等硬件禁止、应用软件限制、打印监控、ARP火墙、消息发布、日志报警、远程文件自动备份功能、禁止修改本地连接属性、禁止聊天工具传输文件、通过网页发送文件监视、远程文件资源管理、支持远程关机注销等、支持MSN/MSN shell/新浪UC/ICQ/AOL/SKYPE/E话通/YAHOO通/贸易通/google talk/淘宝旺旺/飞信/UUCALL/飞鸽传书/TM/QQ聊天记录等功能;
有啥可以帮助我们预防黑客入侵企业内网呢?
我们在电视或者电影中经常会看到这样的情景,间谍或者警察,在某户人家的电话线总线上,拉出一根电话分线,对这个电话进行窃听。现在这种方法在网络中也逐渐蔓延开来。
由于局域网中采用的是广播方式,因此在某个广播域中(往往是一个企业局域网就是一个广播域),可以监听到所有的信息报。而非法入侵者通过对信息包进行分析,就能够非法窃取局域网上传输的一些重要信息。如现在很多黑客在入侵时,都会把局域网稍描与监听作为他们入侵之前的准备工作。因为凭这些方式,他们可以获得用户名、密码等重要的信息。如现在不少的网络管理工具,号称可以监听别人发送的邮件内容、即时聊天信息、访问网页的内容等等,也是通过网络监听来实现的。可见,网络监听是一把双刃剑,用到正处,可以帮助我们管理员工的网络行为;用的不好,则会给企业的网络安全以致命一击。
一、监听的工作原理。
要有效防止局域网的监听,则首先需要对局域网监听的工作原理有一定的了解。知己知彼,百战百胜。只有如此,才能有针对性的提出一些防范措施。
现在企业局域网中常用的网络协议是“以太网协议”。而这个协议有一个特点,就是某个主机A如果要发送一个主机给B,其不是一对一的发送,而是会把数据包发送给局域网内的包括主机B在内的所有主机。在正常情况下,只有主机B才会接收这个数据包。其他主机在收到数据包的时候,看到这个数据库的目的地址跟自己不匹配,就会把数据包丢弃掉。
但是,若此时局域网内有台主机C,其处于监听模式。则这台数据不管数据包中的IP地址是否跟自己匹配,就会接收这个数据包,并把数据内容传递给上层进行后续的处理。这就是网络监听的基本原理。
在以太网内部传输数据时,包含主机唯一标识符的物理地址(MAC地址)的帧从网卡发送到物理的线路上,如网线或者光纤。此时,发个某台特定主机的数据包会到达连接在这线路上的所有主机。当数据包到达某台主机后,这台主机的网卡会先接收这个数据包,进行检查。如果这个数据包中的目的地址跟自己的地址不匹配的话,就会丢弃这个包。如果这个数据包中的目的地址跟自己地址匹配或者是一个广播地址的话,就会把数据包交给上层进行后续的处理。在这种工作模式下,若把主机设置为监听模式,则其可以了解在局域网内传送的所有数据。如果这些数据没有经过加密处理的话,那么后果就可想而知了。
二、常见的防范措施。
1、采用加密技术,实现密文传输。
从上面的分析中,我们看到,若把主机设置为监听模式的话,则局域网中传输的任何数据都可以被主机所窃听。但是,若窃听者所拿到的数据是被加密过的,则其即使拿到这个数据包,也没有用处,无法解密。这就好像电影中的电报,若不知道对应的密码,则即使获得电报的信息,对他们来说,也是一无用处。
所以,比较常见的防范局域网监听的方法就是加密。数据经过加密之后,通过监听仍然可以得到传送的信息,但是,其显示的是乱码。结果是,其即使得到数据,也是一堆乱码,没有多大的用处。
现在针对这种传输的加密手段有很多,最常见的如IPSec协议。Ipsec 有三种工作模式,一是必须强制使用,二是接收方要求,三是不采用。当某台主机A向主机B发送数据文件的时候,主机A与主机B是会先进行协商,其中包括是否需要采用IPSec技术对数据包进行加密。一是必须采用,也就是说,无论是主机A还是主机B都必须支持IPSec,否则的话,这个传输将会以失败告终。二是请求使用,如在协商的过程中,主机A会问主机B,是否需要采用IPSec。若主机B回答不需要采用,则就用明文传输,除非主机A的IPSec策略设置的是必须强制使用。若主机B回答的是可以用IPSec加密,则主机A就会先对数据包进行加密,然后再发送。经过IPSec技术加密过的数据,一般很难被破解。而且,重要的是这个加密、解密的工作对于用户来说,是透明的。也就是说,我们网络管理员之需要配置好IPSec策略之后,员工不需要额外的动作。是否采用IPSec加密、不采用会有什么结果等等,员工主机之间会自己进行协商,而不需要我们进行额外的控制。
在使用这种加密手段的时候,唯一需要注意的就是如何设置IPSec策略。也就是说,什么时候采用强制加密,说明时候采用可有可无的。若使用强制加密的情况下,一定要保证通信的双方都支持IPSec技术,否则的话,就可能会导致通信的不成功。最懒的方法,就是不管三七二十一,给企业内的所有电脑都配置IPSec策略。虽然,都会在增加一定的带宽,给网络带来一定的压力,但是,基本上,这不会对用户产生多大的直接影响。或者说,他们不能够直观的感受到由于采用了IPSec技术而造成的网络性能减慢。
2、利用路由器等网络设备对网络进行物理分段。
我们从上面的以太网工作原理的分析中可以知道,如果销售部门的某位销售员工发送给销售经理的一份文件,会在公司整个网络内进行传送。我们若能够设计一种方案,可以让销售员工的文件直接给销售经理,或者至少只在销售部门内部的员工可以收的到的话,那么,就可以很大程度的降低由于网络监听所导致的网络安全的风险。
如我们可以利用路由器来分离广播域。若我们销售部门跟其他部门之间不是利用共享式集线器或者普通交换机进行连接,而是利用路由器进行连接的话,就可以起到很好的防范局域网监听的问题。如此时,当销售员A发信息给销售经理B的时候,若不采用路由器进行分割,则这份邮件会分成若干的数据包在企业整个局域网内部进行传送。相反,若我们利用路由器来连接销售部门跟其他部门的网络,则数据包传送到路由器之后,路由器会检查数据包的目的IP地址,然后根据这个IP地址来进行转发。此时,就只有对应的IP地址网络可以收到这个数据包,而其他不相关的路由器接口就不会收到这个数据包。很明显,利用路由器进行数据报的预处理,就可以有效的减少数据包在企业网络中传播的范围,让数据包能够在最小的范围内传播。
不过,这个利用路由器来分段的话,有一个不好地地方,就是在一个小范围内仍然可能会造成网络监听的情况。如在销售部门这个网络内,若有一台主机被设置为网络监听,则其虽然不能够监听到销售部门以外的网络,但是,对于销售部门内部的主机所发送的数据包,仍然可以进行监听。如财务经理发送一份客户的应手帐款余额表给销售经理的话,有路由器转发到销售部门的网络后,这个数据包仍然会到达销售部门网络内地任一主机。如此的话,只要销售网络中有一台网络主机被设置为监听,就仍然可以窃听到其所需要的信息。不过若财务经理发送这份文件给总经理,由于总经理的网段不在销售部门的网段,所以数据包不会传送给财务部门所在的网络段,则销售部门中的侦听主机就不能够侦听到这些信息了。
另外,采用路由器进行网络分段外,还有一个好的副作用,就是可以减轻网络带宽的压力。若数据包在这个网络内进行传播的话,会给网络带来比较大的压力。相反,通过路由器进行网络分段,从而把数据包控制在一个比较小的范围之内,那么显然可以节省网络带宽,提高网络的性能。特别是企业在遇到DDOS等类似攻击的时候,可以减少其危害性。
3、利用虚拟局域网实现网络分段。
我们不仅可以利用路由器这种网络硬件来实现网络分段。但是,这毕竟需要企业购买路由器设备。其实,我们也可以利用一些交换机实现网络分段的功能。如有些交换机支持虚拟局域网技术,就可以利用它来实现网络分段,减少网络侦听的可能性。
虚拟局域网的分段作用跟路由器类似,可以把企业的局域网分割成一个个的小段,让数据包在小段内传输,将以太网通信变为点到点的通信,从而可以防止大部分网络监听的入侵。
不过,这毕竟还是通过网络分段来防止网络监听,所以,其也有上面所说的利用路由器来实现这个需求的缺点,就是只能够减少网络监听入侵的几率。在某个网段内,仍然不能够有效避免网络监听。
所以,比较好的方法,笔者还是推荐采用加密技术来防止网络监听给企业所带来的危害,特别似乎防止用户名、密码等关键信息被窃听。
0条大神的评论