寬頻上網環境中的Sniffer攻防執行個體

　　似乎有很多介紹寬頻上網安全的文章，但往往提到的是木馬、IE的漏洞之類的問題，殊不知有一類更危險的問題卻好像未被使用者注意，甚至不為防火牆所重視，但是一旦被人入侵卻可以隨意共用你的所有磁碟機和其中的檔案，而且實現起來是如此的簡單。是何危險？且聽我慢慢道來。

　　思考

　　近來我正在裝修新居，這兩天考慮到新家的區域網路的網路結構，因為我早使用上了有線通，到時候肯定移機過去，所以現在有兩種方案能被我考慮：

　　1、CABLE MODEM——HUB——各台主機；
　　2、CABLE MODEM——伺服器（軟路由）——HUB——各台主機

　　看到這裡大家一定認為第一種方案更好，很明顯網路結構簡單，至少可以節約一塊網卡，而且不需要有一台伺服器整天開著。有線通的說明書上也是這麼推薦的。但是，我正是想到第一種方案各台主機之間的共用時，才突然意識到長期未被我重視的安全問題。

　　大家都知道，所謂的小區寬頻是一種區域網路+互連網出口的解決方案，小區的使用者連在一個區域網路上，然後通過一個出口上互連網，這種方案的安全性是比較差的，主要是內部的安全性，因為是連在一個區域網路上嘛，如果你不注意，別人是可能共用到你的資源的。而有線通的問題則比較有隱蔽性，他在物理上並不是我們常見的星形乙太網路+出口的結構，而且DHCP伺服器分配給使用者的也是標準的C類地址，似乎我們直接面對的就是廣域網路上的衝擊。殊不知，他在物理上的匯流排型結構把幾乎所有的有線通使用者串連在了一個區域網路上，我們同樣面臨著一個嚴重的本地網的安全問題，而且這個本地網的範圍更大，因此被入侵（嚴格的來講不能叫做入侵，而是共用）的機率就更大。

　　實驗

　　為了驗證我的觀點，特地做了以下實驗：

　　我的主機現在被分配到的ip地址是211.167.123.8，這是一個標準的c類地址，因此子網路遮罩是24位，這就意味著理論上有252台主機（去掉網關和我自己）和我是處在同一網段中，考慮到有線通的實際使用率，252台估計是沒有的，但同時間幾十台應該還是有的，應該說我是可以訪問到這些主機的。

　　於是我就ping，從211.167.123.2開始，到211.167.123.15 ping通了，說明這台主機正聯線，我馬上開啟IE，在地址欄中輸入\\211.167.123.15，系統提示我輸入使用者名稱和密碼，使用者名稱輸入administrator，密碼為空白，嘿嘿，進入了。除了印表機外看不到什麼共用資源？沒關係，我已經是管理員了，還怕找不到資源？我再輸入\\211.167.123.15\c$，c盤的根目錄不就出來了，這是windows2000的預設共用，是為管理而設的，去不掉的。接下來d$、e$，要找什麼自己輸入。
　　在整個實驗的過程中，配合上FluxayIV（流光），一個網段3、5分鐘就搞定了，發現有3x台主機正聯線，其中居然有5、6台主機的administrator帳號密碼為空白，這豈不是任人宰割了？就算那些設了密碼的，一般也不會有人在自己的電腦上設得太複雜，如果有心拆解的話，配上個詞典，也不是很困難的事。更有甚者，可能是一台某個公司的主機，居然直接共用了所有的資源，沒有任何密碼，看來是被他們作為檔案伺服器使用了。

　　結論

　　現在大家知道我上面說的兩種方案哪個更好了吧？

　　由於有線通分配的是標準C類地址，不可能通過延長子網路遮罩去減少每個網段的主機數，所以本地網的安全始終是我們這些使用者的大敵。而且DHCP伺服器分配的IP地址是有存活期的，大概一個星期左右，你又會被分配到一個新的IP地址，也就意味著你又進入了一個新的網段，又有252個新鄰居在等著你，可怕吧？最可怕的是，和你處在同一網段的主機被你的防火牆認為是區域網路主機，一般防火牆的預設裡不會對這類主機進行設防。

　　防範措施

　　首先，也是最起碼的，就是為你的administrator帳號設一個密碼（不能太簡單），因為這個帳號是刪不掉的，你即使不用也不能讓密碼空著。在實驗的過程中我發現有好多使用者平時可能用另外一個帳號，密碼倒是設了，但administrator的密碼卻是空的，那你豈不是白忙一場？

　　還有些使用者administrator帳號密碼設了，但又開了幾個密碼為空白的帳號，這同樣是危險的。記住，所有的可用帳號都要設密碼，而且要定時管理這些帳號，關閉長期不用的帳號，對於administrator帳號最好是能經常更換密碼。

　　安裝一兩個防火牆是好方法，但記住一定要對防火牆進行設定，因為一般預設裡面對區域網路主機是沒有嚴密防範的，而你看到這裡應該知道我們最需要防範的恰好是這些“區域網路”主機。同時，防火牆本身也可能是有漏洞的，所以我用的是天網+Norton，這樣交叉防範還是比較令我放心的。至於防火牆的具體設定方法就請參閱相關文章了，我就不贅述了。

　　還要提醒你的就是，作了這樣防範之後，如果你的網路結構採用的是第一種方案，那麼你的幾台主機之間也不能共用了，因為這幾台主機和本網段的其他主機是處在平等地位。所以你如果要建設自己的網路，考慮到安全性，建議你採用第二種方案，如果能用硬體路由器代替軟路由那就更佳了。

　　寫這篇文章的目的是希望起到拋磚引玉的作用，如果各位看官想到方便、安全、高效的防範手段請一定和我交流。