网络监听的防范措施有哪些
网络监听的防范措施主要有:
从逻辑或物理上对网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。
使用管理工具
网络监听是网络管理很重要的一个环节,同时也是黑客们常用的一种方法。事实上,网络监听的原理和方法是广义的。例如,路由器也是将传输中的包截获,进行分析并重新发送出去。许多的网络管理软件都少不了监听这一环节,而网络监听工具只是这一大类应用中的一个小的方面。
安装防火墙
防火墙型安全保障技术是基于被保护网络具有明确定义的边界和服务、并且网络安全的威胁仅来自外部的网络。通过监测、限制以及更改跨越“防火墙”的数据流,尽可能的对外部网络屏蔽有关被保护网络的信息、结构,实现对网络的安全保护,因此比较适合于相对独立,与外部网络互连途径有限并且网络服务种类相对单一、集中的网络系统,如Internet。“防火墙”型系统在技术原理上对来自内部网络系统的安全威胁不具备防范作用,对网络安全功能的加强往往以网络服务的灵活行、多样性和开放性为代价,且需要较大的网络管理开销。
使用加密技术
目前有许多软件包可用于加密连接,使入侵者即使捕获到数据,但无法将数据解密而失去窃听的意义。
划分 VLAN
运用 VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,可以防止大部分基于网络监听的入侵。
以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包 Unicast Packet)还是会被同一台集线器上的其他用户所监听。因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法监听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。但广播包和多播包内的关键信息,要远远少于单播包。