全面介绍sniffer（3）

阻止sniffer

主动式集线器只向目标地址主机发送数据包，从而使混杂模式sniffer失效。它仅适用于10Base-T以太网。（注：这种现在已在计算机市场消失。）

只有两家厂商曾生产过主动式集线器：　　　* 3Com　　　* HP

随着交换机的成本和价格的大幅度降低，交换机已成为非常有效的使sniffer失效的设备。目前最常见的交换机在第三层（网络层）根据数据包目标地址进行转发，而不太采取集线器的广播方式，从而使sniffer失去了用武之地。

加密

目前有许多软件包可用于加密连接，从而使入侵者即使捕获到数据，但无法将数据解密而失去窃听的意义。

以下是以前常用的一些软件包

* deslogin

coast.cs.purdue.edu:/pub/tools/unix/deslogin .

* swIPe

ftp.csua.berkeley.edu:/pub/cypherpunks/swIPe/

* Netlock

Kerberos

Kerberos是另一个加密网络中帐号信息的软件包。它的缺点是所有帐号信息都存放在一台主机中，如果该主机被入侵，则会危及整个网络安全。另外配置它也不是一件简单的事情。Kerberos包括流加密rlogind和流加密te.netd等，它可以防止入侵者捕获用户在登录完成后所进行的操作。

Kerberos FAQ可从ftp站点rtfm.mit.edu中得到：/pub/usenet/comp.protocols/kerberos/Kerberos_Users__Frequently_Asked_Questions_1.11一次性口令技术

S/key和其它一次性口令技术一样，使窃听帐号信息失去意义。S/key的原理是远程主机已得到一个口令（这个口令不会在不安全的网络中传输），当用户连接时会获得一个"挑战"(challenge)信息，用户将这个信息和口令经过某个算法运算，产生正确的"响应"(response)信息（如果通讯双方口令正确的话）。这种验证方式无需在网络中传输口令，而且相同的"挑战/响应"也不会出现两次。S/key可从以下网址得到：

ftp://thumper.bellcore.com/pub/nmh/skey

还有一种一次性口令技术是ID卡系统。每个授权用户都有一个产生用于访问各自帐

号的数字号码的ID卡。如果没有这个ID卡，不可能猜出这个数字号码。