說到這次MSN監(jiān)聽事件,往往人們會將矛頭指向MSN Chat Monitor & Sniffer,應該是因為這個軟件的名字和本身的功能造成的。其實,對于交換式的局域網(wǎng)來說真正的幕后兇手另有其人。
一、防止ARP欺騙才是正解
說到這次MSN監(jiān)聽事件,往往人們會將矛頭指向MSN Chat Monitor & Sniffer,應該是因為這個軟件的名字和本身的功能造成的。其實,對于交換式的局域網(wǎng)來說真正的幕后兇手另有其人。
在之前的一篇文章中有專家說過,MSN監(jiān)控軟件基本上是一個采用網(wǎng)絡偵聽、協(xié)議分析、內(nèi)容還原機理的網(wǎng)絡工具。這種偵聽工具基本上是基于共享式網(wǎng)絡,網(wǎng)絡數(shù)據(jù)以廣播方式發(fā)送,因此連接在一臺HUB上每個網(wǎng)卡都能收到所有的網(wǎng)內(nèi)通訊,只要把網(wǎng)卡設置成混雜模式,就能監(jiān)聽到所有的通訊,自上世紀90年代后期,HUB基本上被交換機取代。如果一般的監(jiān)聽者只是在本地監(jiān)聽,那么只要網(wǎng)絡集線設備不是HUB,他只能看到自己的通訊。正是如此,在交換式局域網(wǎng)中監(jiān)聽者單用MSN Chat Monitor & Sniffer實際上只能監(jiān)聽到自己的聊天。
但是只要在本機運行一個ARP欺騙軟件結(jié)果就完全不同了。進行ARP欺騙之后局域網(wǎng)中任何人都可以利用MSN Chat Monitor & Sniffer監(jiān)聽局域網(wǎng)中的MSN使用者。其實ARP欺騙并不只用于MSN的監(jiān)聽,配合其他監(jiān)聽工具還可以實施局域網(wǎng)中的各種監(jiān)聽。本文的重點是講如何防御局域網(wǎng)中的MSN域聽,因此對ARP欺騙的原理不再詳述。
由此可見要防止局域中MSN監(jiān)聽或其他的監(jiān)聽就要先防止ARP欺騙。針對ARP的工作原理我們只需將MAC地址與IP地址綁定即可,綁定的方法為在DOS命令界面中輸入:arp -s 本機IP 本機MAC地址 。
同時我們還可以使用軟件來防御ARP欺騙,Anti ARP Sniffer就是比較常見的軟件之一。運行軟件后只需填入網(wǎng)關(guān)的IP地址,這個軟件便會自動尋找網(wǎng)關(guān)的MAC地址,之后填入本機MAC地址便可開始保護。當有人進行ARP欺騙攻擊后,這個軟件還可以記錄攻擊者的MAC地址并給出提示。因此這個軟件還能提標局域中某些中了有ARP尋址功能的木馬的機器。
二、MSN Messenger的文本加密
由于MSN Messenger采用明文發(fā)送而且易被截獲,對于用戶的穩(wěn)私基本上是沒有什么安全性可言。因此可以通過對文本加密的方式保護使用者的通訊內(nèi)容。
1、MSN自帶加密功能
雖然現(xiàn)在的Windows Live Messenger傳送文本仍采用明文發(fā)送的方法,但是在MSN Messnger 7.5以上的版本中已經(jīng)具備了文本加密功能。這樣雙方只要用加密方式監(jiān)聽者便束手無策了。有很多種途徑可以發(fā)起加密聊天,其中最直接的就是:鼠標右鍵點擊好友列表中的一個在線好友-選擇“開始一個活動”-在彈出的窗口中選擇“悄悄話(加密)”即可。
2、軟件加密
Secway公司為MSN Messenger、Yahoo messenger、ICQ、AIM等即時通訊軟件分別開發(fā)了加密工具,使用者可依自己的習慣選擇。這里介紹的是一個整合版本——Simp Pro,這個版本將常見的IM工具的加密功能整合在了一起。這種IM文本加密工具的特點就是發(fā)送者和接收者雙方都均需要安裝這個軟件才能達到加密目的。
安裝過程基本上屬于一路“Next”的那種,其間會讓用戶選擇上網(wǎng)方式和希望對本機安裝的哪些IM工具加密,由于Simp Pro采用RSA加密方式,安裝后為每個用戶生成一組密鑰,為了防止其他人冒用密鑰,因此在安裝過程中還需要用戶為Simp Pro設置一個密碼。
Simp Pro安裝完成后所有被保護的IM會自動注消重新登錄。如果雙方均安裝了Simp Pro在第一次通話時會彈出一個對話框,詢問用戶對對方的密鑰的處理是:接受、接受一次、拒絕、永遠拒絕。雙方承認了對方的密鑰后,他們之間發(fā)送的文本便開始受加密保護了。