诱饵
抓住使用协议分析器的人的关键是观察DNS域名解析。你可以在你的网络上设置一个诱饵机器。这台机器除了运行 Windows操作系统之外实际上与任何事情都没有关系。关键的问题是你不要告诉任何人有这台机器。由于没有人知道这台机器的存在,这台机器什么事情也不做,那么,就没有任何人有理由与这台机器进行通信。然而,由于这台机器运行Windows操作系统,这台机器偶尔会发出数据包。一般来说,你的网络上的计算机不会注意这个数据包。然而,一个协议分析器将注意到这个通信来自于这个网络的一个未知的主机。然后,这个协议分析器将进行一次DNS查询以设法确定这台机器的身份。一般来说,没有任何人有理由对你的诱饵机器进行DNS查询。因此,这些类型的查询几乎总是表明有人在运行协议分析器或者其它黑客工具。
IPsec
保护你的网络防止受到这些类型的攻击的另一方法是使用IPsec加密网络通信。我已经向你们介绍了如何绕过加密的方法,因此,你们可能很想知道IPsec有什么不同的地方。
这个区别就是IPsec的全部工作是加密在网络上流动的数据。在一个进程被加密之前,IPsec坚持进行双向身份识别。这个意义是如果计算机A要加密传输一个数据包到计算机B,IPsec在批准这个进程之前会要求这两台计算机证明它们的身份。
IPsec还采取措施保证数据包在传输过程中不被篡改。以前,我曾介绍过黑客如何窜改一个数据包的源地址。然而,除了篡改地址之外,黑客还能篡改更多的东西。例如,假设一个黑客知道计算机A要向计算机B发送一封重要的电子邮件。黑客可能向计算机B实施拒绝服务攻击,阻止计算机B接收这个电子邮件。同时,黑客拦截这封电子邮件并且篡改电子邮件的内容,使内容与计算机A的用户原来说的内容完全不同。黑客然后终止向计算机 B实施的拒绝服务攻击并且发送修改后的数据包。这个结果就是计算机B的用户收到了一封假冒合法身份的人发来的欺骗性的电子邮件。
IPsec能够报告对数据包的修改。IPsec能够根据原数据包的内容计算校验和的值。如果数据包被修改,那么,校验和的值就会变得非法,IPsec就知道数据包已经被修改了。
IPsec甚至能够防止重放攻击。每一个IPsec数据包分配一个队列号码。如果一个黑客试图回放一个IPsec加密的数据包,队列号码与当前的数据包队列就不匹配,IPsec就知道这个数据包是非法的。
正如你看到的那样,在你的网络中应用IPsec能够极大地提高你的网络的安全性。然而,在你决定使用IPsec之前,你还需要了解一些事情。首先,IPsec需要你的网络配置一台身份识别服务器。Windows Server 2003能够设置为具有身份识别功能,但是,你需要一台专用的身份识别服务器。从技术上说,一台专用的服务器并不是身份识别权限的绝对要求。但是,从安全方面说,在身份识别服务器上运行任何其它服务都是非常糟糕的想法。
你需要知道的另一件事情是IPsec不会给你的网络增加额外的负担。额外的CPU运行周期对于进行加密和解密过程是必要的,IPsec加密通常会增加流过你的网络的通信流量。减少这种负担的一种方法是使用具有IPsec功能的网卡。这些网卡可以把机器处理器加密和解密的工作量转移到自己身上。
你需要知道IPsec的最后一件事情是并非所有的操作系统都支持IPsec。IPsec最初是在Windows 2000操作系统中推出来的。老版本的Windows不支持IPsec。
总结
在这篇文章中,我说明了黑客能够利用流经你的网络的通信中的安全漏洞的不同方法。然后,我介绍了你如何使用诱饵机器和IPsec加密来对抗这些黑客技术。
翻译:东缘
