如何在網(wǎng)絡(luò)中發(fā)現(xiàn)一個Sniffer,，簡單的一個回答是你發(fā)現(xiàn)不了,。因為他們根本就沒有留下任何痕跡，sniffer是如此囂張又安靜,，如何知道有沒有sniffer存在,，這也是一個很難說明的問題。  
 
    查找網(wǎng)絡(luò)存在sniffer  
    一,、網(wǎng)絡(luò)通訊掉包率反常的高  
    通過一些網(wǎng)絡(luò)軟件,，可以看到信息包傳送情況，向ping這樣的命令會告訴你掉了百分幾的包,。如果網(wǎng)絡(luò)中有人在Listen,，那么信息包傳送將無法每次都順暢的流到目的地。（這是由于sniffer攔截每個包導(dǎo)致的） ,。  
 
    二,、網(wǎng)絡(luò)帶寬出現(xiàn)反常  
    通過某些帶寬控制器（通常是防火墻所帶）,，可以實時看到目前網(wǎng)絡(luò)帶寬的分布情況，如果某臺機器長時間的占用了較大的帶寬,，這臺機器就有可能在監(jiān)聽,。在非高速信道上，如56Kddn等,，如果網(wǎng)絡(luò)中存在sniffer,你應(yīng)該也可以察覺出網(wǎng)絡(luò)通訊速度的變化,。   
 
    三、查看計算機上當(dāng)前正在運行的所有程序,。  
    但這通常并不可靠,，但可以控制計算機中程序運行。在Unix系統(tǒng)下使用下面的命令：　ps -aux 　或：　ps -augx,。 這個命令列出當(dāng)前的所有進(jìn)程,，啟動這些進(jìn)程的用戶，它們占用CPU的時間,，占用內(nèi)存的多少等等,。   
 
    Windows系統(tǒng)下，按下Ctrl+Alt+Del,，看一下任務(wù)列表,。不過，編程技巧高的Sniffer即使正在運行,，也不會出現(xiàn)在這里的,。   
 
    系統(tǒng)中搜索，查找可疑的文件,。但入侵者可能使用自己編寫的程序,，所以都會給發(fā)現(xiàn)sniffer造成相當(dāng)大的困難。   
 
    還有許多工具,，能用來看看你的系統(tǒng)會不會在雜收模式,。從而發(fā)現(xiàn)是否有一個Sniffer正在運行。   
 
    防止sniffer 駐入  
    對于嗅探器如此強大的‘靈敏度’,，你最關(guān)心的可能是傳輸一些比較敏感的數(shù)據(jù),，如用戶ID或口令等等。有些數(shù)據(jù)是沒有經(jīng)過處理的,，一旦被sniffer,，就能獲得這些信息，解決這些問題的辦法是加密,。  
 
    介紹一下SSH，全名Secure Shell,，是一個在應(yīng)用程序中提供安全通信的協(xié)議,，建立在客戶機/服務(wù)器模型上的,。SSH服務(wù)器的分配的端口是22，連接是通過使用一種來自RSA的算法建立的,，在授權(quán)完成后,，接下來的通信數(shù)據(jù)是用IDEA技術(shù)來加密的。這通常是較強的,，適合與任何非秘密和非經(jīng)典的通訊,。  
 
    SSH后來發(fā)展成為F-SSH，提供了高層次的,，軍方級別的對通信過程的加密,。它為通過TCP/IP網(wǎng)絡(luò)通信提供了通用的最強的加密。如果某個站點使用F-SSH,，用戶名和口令成為不是很重要的一點,。目前，還沒有人突破過這種加密方法,。即使是sniffer,，收集到的信息將不再有價值，當(dāng)然最關(guān)鍵的是怎樣使用它,。  
 
    另類安全之法   
    另一個比較容易接受的是使用安全拓?fù)浣Y(jié)構(gòu),。這聽上去很簡單，但實現(xiàn)起來花銷是很大的,。這樣的拓?fù)浣Y(jié)構(gòu)需要有這樣的規(guī)則：一個網(wǎng)絡(luò)段必須有足夠的理由才能信任另一網(wǎng)絡(luò)段,。網(wǎng)絡(luò)段應(yīng)該考慮你的數(shù)據(jù)之間的信任關(guān)系上來設(shè)計，而不是硬件需要,。開始處理網(wǎng)絡(luò)拓?fù)鋭t要做到以下幾點：  
 
    第一點：一個網(wǎng)絡(luò)段是僅由能互相信任的計算機組成的,。通常它們在同一個房間里，或在同一個辦公室里,。比如你的財務(wù)信息,，應(yīng)該固定在某一節(jié)點，就象你的財務(wù)部門被安排在辦公區(qū)域的的一個不常變動的地方,。   
 
    第二點：注意每臺機器是通過硬連接線接到Hub的,。Hub再接到交換機上。由于網(wǎng)絡(luò)分段了,，數(shù)據(jù)包只能在這個網(wǎng)段上被sniffer,。其余的網(wǎng)段將不可能被sniffer。   
 
    第三點：所有的問題都?xì)w結(jié)到信任上面,。計算機為了和其他計算機進(jìn)行通信,，它就必須信任那臺計算機。作為系統(tǒng)管理員,，你的工作是決定一個方法,，使得計算機之間的信任關(guān)系很小,。這樣，就建立了一種框架,，可以告訴你什么時候放置了一個sniffer,，它放在那里了，是誰放的等等,。   
 
    第四點：如果你的局域網(wǎng)要和INTERNET相連,，僅僅使用防火墻是不夠的。入侵者已經(jīng)能從一個防火墻后面掃描,，并探測正在運行的服務(wù),。你要關(guān)心的是一旦入侵者進(jìn)入系統(tǒng)，他能得到些什么,。你必須考慮一條這樣的路徑,，即信任關(guān)系有多長。舉個例子,，假設(shè)你的WEB服務(wù)器對某一計算機A是信任的,。那么有多少計算機是A信任的呢。又有多少計算機是受這些計算機信任的呢,？在信任關(guān)系中,，這臺計算機之前的任何一臺計算機都可能對你的計算機進(jìn)行攻擊，并成功,。你的任務(wù)就是保證一旦出現(xiàn)的Sniffer,，它只對最小范圍有效。   
 
    編者按：Sniffer往往是攻擊者在侵入系統(tǒng)后使用的,，用來收集有用的信息,。因此，防止系統(tǒng)被突破是關(guān)鍵,。系統(tǒng)安全管理員要定期的對所管理的網(wǎng)絡(luò)進(jìn)行安全測試,，防止安全隱患。同時要控制擁有相當(dāng)權(quán)限的用戶的數(shù)量,。請記住,，許多攻擊往往來自網(wǎng)絡(luò)內(nèi)部