由于嗅探器需要将网络中入侵的网卡设置为混杂模式才能工作,所以有效检测混杂模式网卡的工具Anto-sniff就是一个好的工具。软件可以在下载。但是嗅探器是非常难以被发现,因为它们是被动的程序。一个老练的黑客可以轻易通过破坏日志文件来掩盖信息,它并不会给别人留下进行核查的尾巴。
此处将对于第二种方法:将数据隐藏,使嗅探器无法发现重点介绍。
一般有两种防御的方法:
1.安全的拓扑结构;
2.会话加密。
嗅探器只能在当前网络段上进行数据捕获。这就意味着,将网络分段工作进行得越细,嗅探器能够收集的信息就越少。但是,除非你的公司是一个ISP,或者资源相对不受限制,否则这样的解决方案需要很大的代价。网络分段需要昂贵的硬件设备。有三种网络设备是嗅探器不可能跨过的:交换机、路由器、桥。
我们可以通过灵活的运用这些设备来进行网络分段。读者可能采用20个工作站为一组,这是一个比较合理的数字。然后,每个月人为地对每段进行检测(也可以每个月采用MD5随机地对某个段进行检测)。网络分段只适应于小的网络。如果有一个500个工作站的网络,分布在50个以上的部门中,那么完全的分段是价格所不允许的。即使在单位预算时有安全方面的考虑,也难以让单位主管相信需要50个硬件设备,而这只是为了防止嗅探器的攻击。在这样的情况下,对会话进行加密就是一种很好的选择。会话加密提供了另外一种解决方案。不要特别地担心数据被嗅探,而是要想办法使得嗅探器不认识嗅探到的数据。这种方法的优点是明显的:即使攻击者嗅探到了数据,这些数据对他也是没有用的。但是,其存在的缺点也非常明显。在加密时有两个主要的问题:一个是技术问题,一个是人为问题。
技术问题包括是否该加密到足够强大的程度,还是仅仅是想当然地认为它比较强大。例如,40位的加密就可能不够,而且并不是所有的应用程序都集成了加密支持。而且,跨平台的加密方案还比较少见,一般只在一些特殊的应用之中才有。再者,有些用户可能抵制使用加密,他们觉得这太麻烦。用户在开始时可能会同意使用加密,但他们很少能够坚持下。总之我们必须寻找一种友好的媒介,它还要具有一定的用户友好性。而Secure Shell(SSH)就具有上述的特征。通过使用SSH,你可以把所有传输的数据进行加密,这样“中间服务器”这种攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为 FTP、POP,甚至PPP提供一个安全的“通道”。SSH绑定在端口22上,其连接采用协商方式使用RSA加密。身份鉴别完成之后,后面的所有流量都使用IDEA进行加密。SSH(Secure Shell)程序可以通过网络登录到远程主机并执行命令。SSH的加密隧道保护的只是中间传输的安全性,使得任何通常的嗅探工具软件无法获取发送的内容。它提供了很强的安全验证可以在不安全的网络中进行安全的通信.所以它是防范嗅探器的一种方法。