1.7.2　防止网络嗅探可采取的安全措施

防止网络嗅探器攻击并不是一件很困难的事情，通常可采取加密和网络分割的办法来实现。

1.加密

如果仅需要防止远程登录时用户账号和安全密码被截取，则可以在主机上安装动态密码（One Time Password，OTP）系统。在使用OTP的系统中，用户在登录时会根据主机提出的一个迭代值和一个种子值计算出本次登录的密码。

如果需要保护电子邮件免遭窃取，可以对邮件使用PGP（Pretty Good Privacy）加密软件，对该算法目前还没有找到比穷尽算法更有效的破解办法。这两种办法实现起来较简单，可它们不能完全阻止监听者从网络上截取各种数据包的相关信息后，通过分析或是脱壳解密得到其想要的东西。

更加安全的方法是利用SNP和SSH系统。SNP系统可以运行在很多操作系统上，其提供了一种安全的验证协议，使TELNET、FTP、RLOGIN等应用的用户账号和安全密码不再是以明文的方式传输。SNP系统中所有的传输数据都是采用DES加密的，监听者只能看到一些乱码。SSH是基于C/S模型的，标准的SSH服务端口为22，SSH采用RSA加密算法建立连接，验证过程结束后，所有的信息都采用IDEA技术加密,这是一种典型的强加密方式,适合于所有的通信。SSH曾一度为加密安全通信的主要协议。如果网络系统中使用了SSH，那么用户账号和安全密码被捕获的概率将大大降低。

2.网络分割

通常人们所能接受的防止嗅探器攻击的办法是使用安全的网络拓扑结构。我们知道，网络广播的时候，信息包只能被同一网络地址段中的嗅探器捕获。所以可以利用网络分割的技术，进一步划分网络，减小嗅探器能够监听的范围，这样网络的其余部分就可免受嗅探器的攻击了。一般可以采用交换机来划分网段，并使用网桥或网络路由器来划分子网。实际上PC（个人计算机）和工作站都可以配置成网桥或路由器，同一个网络地址段内最好都是互相可以信任的计算机。通过网络分割，安装了嗅探器的计算机仅能够捕获有限范围内计算机的信息流。如果发现了在某一网络地址段有嗅探器，也很容易确定是哪些人设置的。