较近论坛上询问聊天和上网被监控的坛友们越来越多,都很关心如何防范,我根据自己了解的简单说一下。因为本人没有编写过这类软件,所以对具体实现并不了解,只是出于好奇,几年前曾经分析了一下这类软件的基本实现原理,所以可能有不正确的地方,欢迎大家指正。
监控聊天、邮件、网页浏览的软件有很多,还有能控制被监控者上网的,其基本原理都是类似的,就是监听局域网(内网)和Internet网(外网)之间传递的报文(数据包),比如网路岗、p2p终结者等等。
其实局域网内任何用户/电脑都可以安装这类软件,也就是说,你也能自己装一个去监控其他人的聊天记录(如果你有有偷窥癖的话),但是能监控到多少,就要看你的电脑在局域网中所处的位置,这也就是为什么通常只有公司网管才能进行监控的原因――他们能把监控软件安装在较合适的位置上。了解了这个安装的位置,就可以知道如何进行防范。
安装的基本需求:
内外网的[网关](宽带路由器、防火墙等)和监控软件所在的电脑接在同一个Hub上,记住,是Hub,不是交换机,为什么呢,因文Hub有个特点,Hub上任何一个端口都可以接收到通过这台Hub的所有数据包,这样一来,所有发到[网关]的数据包都要通过这台Hub,那么监控电脑就可以监听到所有的数据包,从而可以监控到所有的电脑。
但是现在Hub早就淘汰了,因为这种"任何一个端口都可以接收到通过这台Hub的所有数据包"的方式影响网络速度,都被交换机取代了,而交换机会根据数据包的目的地址来判断该把这个数据包发给哪个端口,这样一来,监控电脑就没法收到所有的数据包了(本来应该一个都收不到,但是由于交换机厂家降低成本的考虑,简化了"交换",所以能收到部分),也就不能监控到所有电脑,只能看到部分倒霉蛋的。呵呵,前面说过,人人都可以安装监控软件,但是安装后的效果就是这样,只能监控到部分电脑。
对于这个问题,后来的监控软件提出了新的解决办法
1、用具有端口复制功能的交换机替代普通交换机
高级交换机都有一个功能,就是可以设定把发往某个端口的所有数据包同时转发一份到另外一个端口上,于是,网管同志设置把发往[网关]的数据包同时转发一份到监控电脑所在的端口上,这样就又可以监控到所有人了。
2、arp欺骗,欺骗所有被监控电脑,让它们把监控电脑当成是[网关],把数据包发到监控电脑,再由监控电脑发往真正的网关。
根据现在这类监控软件的泛滥程度,我觉得应该是第二种方式比较多,毕竟花钱换交换机的公司还是少,不过话说回来,如是是用Hub或者较早种方式里说的换交换机,那么还真没有好办法了,只能换聊天软件和聊天方式,只有第二种arp方式是存在彻底防范的可能。
怎么防范呢:
1、当然就是防范Arp欺骗了,网上也很多,比如artiarp,安装一个,并且填入真实的外网出口的网卡地址――重要的地方就在这,你需要想法获得[网关]的真实物理地址――网卡地址,而不是监控电脑的那个,至于怎么获得,大家自己想办法了,呵呵,在监控软件关闭的情况下,可以通过artiarp远程获得真实网关的网卡地址,但是监控电脑打开的情况下就不一定了,不过你可以通过排除法(排除监控电脑网卡地址)来确定得到的网卡地址是否是真实网关的地址。
2、再就是,少用Msn,用QQ或者其它冷门的聊天软件。为什么呢,冷门的聊天软件,其数据包格式未被监控软件的开发者破解,所以看不到你的聊天记录,只会看到有数据包流过(不过,不排除有编写的差的聊天软件把聊天内容直接明码写在数据包里的)。QQ,其数据包是加密了的,监控者看不到内容,除非所购买的监控软件具有破解qq数据包的功能,不过这样的比较少,所以一般情况下,QQ还是相对安全的,尤其对于公司同事们自己私下安装监控软件的来说(有偷窥癖的除非花钱买正版)。
3、用记事本聊天,不过太麻烦了,存成文本,打个加密zip包发给对方。
4、其它方法,欢迎大家提供
