本文目录一览：

• 1、怎样设置电脑防止黑客入侵
• 2、怎样预防黑客入侵电脑
• 3、怎么防范电脑黑客
• 4、怎样预防黑客侵入
• 5、个人电脑怎么防止黑客攻击
• 6、有啥可以帮助我们预防黑客入侵企业内网呢？

怎样设置电脑防止黑客入侵

1、禁止IPC空连接

Cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_Machine\System\

CurrentControlSet\Control\

LSA-RestrictAnonymous 把这个值改成”1”即可。

2、禁止At命令

Cracker往往给你个木马然后让它运行，这时他就需要at命令了。打开管理工具-服务，禁用task scheduler服务即可。

3、关闭超级终端服务

如果你开了的话，这个漏洞都烂了，我不说了。

4、关闭SSDP Discover Service服务

这个服务主要用于启动家庭网络设备上的UPnP设备，服务同时会启动5000端口。可能造成DDOS攻击，让CPU使用达到100%，从而使计算机崩溃。照理说没人会对个人机器费力去做DDOS，但这个使用过程中也非常的占用带宽，它会不断的向外界发送数据包，影响网络传输速率，所以还是关了好。

5、关闭Remote Regisry服务

看看就知道了，允许远程修改注册表？除非你真的脑子进水了。

6、禁用TCP/IP上的NetBIOS

网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样Cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。

7、关闭DCOM服务

这就是135端口了，除了被用做查询服务外，它还可能引起直接的攻击，关闭方法是：在运行里输入dcomcnfg，在弹出的组件服务窗口里选择默认属性标签，取消“在此计算机上启用分布式COM”即可。

8、把共享文件的权限从“everyone”组改成“授权用户”

“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成“everyone”组。包括打印共享，默认的属性就是“everyone”组的，一定不要忘了改。

9、取消其他不必要的服务

请根据自己需要自行决定，下面给出HTTP/FTP服务器需要最少的服务作为参考：

l Event Log

l License Logging Service

l Windows NTLM Security Support Provider

l Remote Procedure Call (RPC) Service

l Windows NT Server or Windows NT Workstation

l IIS Admin Service

l MSDTC

l World Wide Web Publishing Service

l Protected Storage

10、更改TTL值

Cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\

Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦。

11、账户安全

首先禁止一切账户，除了你自己，呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧！破完了才发现是个低级账户，看你崩溃不？

12、取消显示最后登录用户

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\

Winlogon：DontDisplayLastUserName把值改为1。

13、删除默认共享

有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\

Parameters：AutoShareServer类型是REG_DWORD把值改为0即可。

14、禁用LanManager 身份验证

Windows NT Servers Service Pack 4 和后续的版本都支持三种不同的身份验证方法： LanManager (LM) 身份验证；Windows NT(也叫NTLM)身份验证；Windows NT Version 2.0 (也叫NTLM2) 身份验证；

默认的情况下，当一个客户尝试连接一台同时支持LM 和 NTLM 身份验证方法的服务器时，LM 身份验证会优先被使用。所以建议禁止LM 身份验证方法。

1. 打开注册表编辑器；

2. 定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa；

3. 选择菜单“编辑”，“添加数值”；

4. 数值名称中输入：LMCompatibilityLevel ，数值类型为：DWORD，单击 确定；

5. 双击新建的数据，并根据具体情况设置以下值：

0 - 发送 LM 和 NTLM响应；

1 - 发送 LM 和 NTLM响应；

2 - 仅发送 NTLM响应；

3 - 仅发送 NTLMv2响应；(Windows 2000有效)

4 - 仅发送 NTLMv2响应，拒绝 LM；(Windows 2000有效)

5 - 仅发送 NTLMv2响应，拒绝 LM 和 NTLM；(Windows 2000有效)

6. 关闭注册表编辑器；

7. 重新启动机器。

怎样预防黑客入侵电脑

在这个技巧中，你将学到：一个简单的网页毁损会显示出一个详尽的突发事件响应计划多么的有价值！

被黑掉的经验类似于得到了一个少的可怜的收入，至少，这是最近我从自己的一个网页被人涂改破坏后学习到的感受。

果真，我们的调查发现被毁损的服务器上运行着一个没有打补丁的PHP论坛程序，黑客使用PHP exploit留下了一条短的、友好的信息标明他曾经占领过这个领地。虽然这是一个相对较小的事件，但它强调了有一个有准备的、明智的突发事件响应计划是多么的重要。

有个谚语说的很对：不到危急时刻，没有人会看到一项策略的价值。

信息响应（IR）计划给出了我们的立即响应、调查分析和恢复的过程，它们就像在我们手中互相交叉的三环，为了保证其成功，我们必须做到以下几个方面：

服务器隔离

这是一台相当重要的服务器，因此我们必须保证其安装性，并将其从网络中隔离。我们在服务器和外部网络之间通过防火墙规则来拦截攻击行为，然后我们就可以关闭响应的交换机端口，将服务器隔离。一旦隔离完成，我们就可以暂停记录发现的时间，这将发现黑客以及黑客所进行的行为，这也是为法庭分析和可能的诉讼行为提供证据的重要步骤。

黑客跟踪

黑客没有删除日志，因此我们花很短的时间就发现黑客多次使用一个固定的脚本尝试攻击PHP。我们真正想知道的是黑客是否得到了root用户的权限，或者他使用此服务器作为垫脚石对其它系统进行攻击。对重要文件的CRC校验告诉我们，它们并没有被更改和损坏，在内存中也没有可疑的进程运行。我们检查了论坛程序供应商的站点，的确，在攻击发生前的一周，供应商已经发表了有关此漏洞的声明，并且已经推出了补丁程序。这就没有问题了――一个星期的时间对黑客来说已经足够了。

我们震惊于在我们的IDS日志中没有发现PHP攻击的证据，我们的IDS供应商告诉我们，在下一次计划中的签名更新之前，签名将有大约两星期的使用时间。也就使说，在漏洞和攻击被发现，和IDS签名变得可用之前，有三个星期的缺口。

响应和恢复

我们的事件响应策略是，不管事件的严重性如何（不留下冒险的机会），任何被破坏的机器都要重新再建。系统根据一般可接受的指南进行安全方面的设置和巩固，我们还通过漏洞扫描器扫描机器的弱点以检查我们的工作。当然，我们还通过攻击软件检测相似的机器。

总结教训

我们从此次事件中总结出了经验教训：确信你的系统管理员跟上了最新的补丁（每个月一次是不够的），并且经常查看日志（一周一次也远远不够）。安全管理员必须知道各台机器都安装了什么软件，以便他们能够提防相关的漏洞和弱点。不要依靠任何唯一的IDS供应商，因为签名对第一防御范围来说可能到达的太晚。考虑在面向公众的服务器上实施Tripwire（一个入侵检测系统），监视重要文件属性的改变。

最后，保持你的突发事件响应策略的实时性，以适应当前系统的要求。让大家知道在紧急状态下应该做什么，这样才能保证补救措施的顺利实行。

预防黑客十绝招

一、使用防病毒软件并且经常将其升级更新，从而使有破坏性的程序远离你的计算机。

二、不允许网上的商家为了便于你以后购物储存你的信用卡资料。

三、使用由数字和字母混排而成、难以被破译的口令密码，并且经常更换。

四、对不同的网站和程序，要使用不同口令，以防止被黑客破译。

五、使用最新版本的万维网浏览器软件、电子邮件软件以及其他程序。

六、只向有安全保证的网站发送信用卡号码，留意寻找浏览器底部显示的挂锁图示或钥匙形图标。

七、确认你要打交道的网站地址，留意你输入的地址，比如不要把ana－zon．com写成amozon．com。

八、使用有对cookie程序控制权的安全程序，cookie程序会把信息传送回网站。

九、如果你使用数字用户专线或是电缆调制解调器连接英特网，那就要安装防火墙软件，监视数据流动。

十、不要打开电子邮件的附件，除非你知道信息的来源。

怎么防范电脑黑客

上网电脑防范黑客基本法则

目前，上网的电脑越来越多，特别是宽带用户在线时间长、速度快，因此容易成

为黑客们的攻击目标。现在网上出现了各种越来越详细的“IP地址库”，要知道

一些用户的IP是非常容易的事情。要怎么保卫自己的网络安全呢？不妨看看以下

方法。

一、取消文件夹隐藏共享

如果你使用了Windows 2000/XP系统，右键单击C盘或者其他盘，选择"共享"

，你会惊奇地发现它已经被设置为“共享该文件夹”，而在“网上邻居”中却看

不到庑┠谌荩�馐窃趺椿厥履兀?

原来，在默认状态下，Windows 2000/XP会开启所有分区的隐藏共享，从“控

制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就

可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“\计算机名

或者IP\C$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统

Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全

带来了极大的隐患。

怎么来消除默认共享呢？方法很简单，打开注册表编辑器，进入

“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\Lanmanworkstation

\parameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0

”，然后重新启动电脑，这样共享就取消了。

二、拒绝恶意代码

恶意网页成了宽带的最大威胁之一。以前使用Modem，因为打开网页的速度慢

，在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快，

所以很容易就被恶意网页攻击。

一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代

码就相当于一些小程序，只要打开该网页就会被运行。所以要避免恶意网页的攻

击只要禁止这些恶意代码的运行就可以了。

运行IE浏览器，点击“工具/Internet选项/安全/自定义级别”，将安全级别

定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，

其它项设置为“提示”，之后点击“确定”。这样设置后，当你使用IE浏览网页

时，就能有效避免恶意网页中恶意代码的攻击。

三、封死黑客的“后门”

俗话说“无风不起浪”，既然黑客能进入，那说明系统一定存在为他们打开

的“后门”，只要堵死这个后门，让黑客无处下手，便无后顾之忧！

1.删掉不必要的协议

对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻

居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的

协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主

机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择

“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标

签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。

2.关闭“文件和打印共享”

文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑

客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们

可以将它关闭。用鼠标右击“网络邻居”，选择“属性”，然后单击“文件和打

印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉

即可。

虽然“文件和打印共享”关闭了，但是还不能确保安全，还要修改注册表，

禁止它人更改“文件和打印共享”。打开注册表编辑器，选择

“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\

NetWork”主键，在该主键下新建DWORD类型的键值，键值名为

“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更

改“文件和打印共享”的目的；键值为“0”表示允许这项功能。这样在“网络邻

居”的“属性”对话框中“文件和打印共享”就不复存在了。

3.把Guest账号禁用

有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想

把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和

密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。

在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另

外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大

程度上保证计算机安全。

4.禁止建立空连接

在默认的情况下，任何用户都可以通过空连接连上服务器，枚举账号并猜测

密码。因此，我们必须禁止建立空连接。方法有以下两种：

方法一是修改注册表：打开注册表

“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA”，将DWORD值

“RestrictAnonymous”的键值改为“1”即可。

最后建议大家给自己的系统打上补丁，微软那些没完没了的补丁还是很有用

的

四、隐藏IP地址

黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到

网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知

道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻

，如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理

服务器。

与直接连接到Internet相比，使用代理服务器能保护上网用户的IP地址，从

而保障上网安全。代理服务器的原理是在客户机（用户上网的计算机）和远程服

务器（如用户想访问远端WWW服务器）之间架设一个“中转站”，当客户机向远程

服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服

务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使

用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址

，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。提供免费代理服务

器的网站有很多，你也可以自己用代理猎手等工具来查找。

五、关闭不必要的端口

黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序（比如

Netwatch），该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关

闭用不到的端口，比如，用“Norton Internet Security”关闭用来提供网页服

务的80和443端口，其他一些不常用的端口也可关闭。

六、更换管理员帐户

Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设

想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们

要重新配置Administrator帐号。

首先是为Administrator帐户设置一个强大复杂的密码，然后我们重命名

Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵

者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程

度上减少了危险性。

七、杜绝Guest帐户的入侵

Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，

Guest也为黑客入侵打开了方便之门！网上有很多文章中都介绍过如何利用Guest

用户得到管理员权限的方法，所以要杜绝基于Guest帐户的系统入侵。

禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的

情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密

码，然后详细设置Guest帐户对物理路径的访问权限。举例来说，如果你要防止

Guest用户可以访问tool文件夹，可以右击该文件夹，在弹出菜单中选择“安全”

标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即

可。或者在权限中为相应的用户设定权限，比方说只能“列出文件夹目录”和“

读取”等，这样就安全多了。

八、安装必要的安全软件

我们还应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备

的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。

九、防范木马程序

木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木

马程序，常用的办法有：

● 在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提

前预防的作用。

● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”

选项里看是否有不明的运行项目，如果有，删除即可。

● 将注册表下的所有以“Run”为前缀的可疑程序全部删除即可。

十、不要回陌生人的邮件

有些黑客可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封

信给你要求你输入上网的用户名称与密码，如果按下“确定”，你的帐号和密码

就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也

不上当。

做好IE的安全设置

ActiveX控件和 Applets有较强的功能，但也存在被人利用的隐患，网页中的

恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以

要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择，

具体设置步骤是：“工具”→“Internet选项”→“安全”→“自定义级别”，

建议您将ActiveX控件与相关选项禁用。谨慎些总没有错！

另外，在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任

的站点、受限制的站点。不过，微软在这里隐藏了“我的电脑”的安全性设定，

通过修改注册表把该选项打开，可以使我们在对待ActiveX控件和 Applets时有更

多的选择，并对本地电脑安全产生更大的影响。

下面是具体的方法：打开“开始”菜单中的“运行”，在弹出的“运行”对

话框中输入Regedit.exe，打开注册表编辑器，点击前面的“+”号顺次展开到：

HKEY_CURRE-

NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zone

s\0，在右边窗口中找到DWORD值“Flags”，默认键值为十六进制的21(十进制33)

，双击“Flags”，在弹出的对话框中将它的键值改为“1”即可，关闭注册表编

辑器。无需重新启动电脑，重新打开IE，再次点击“工具→Internet选项→安全

”标签，你就会看到多了一个“我的电脑”图标，在这里你可以设定它的安全等

级。将它的安全等级设定高些，这样的防范更严密。

怎样预防黑客侵入

防止黑客攻击有多种办法！呵呵！

个人觉得有以下几点：

第一，及时下载官方的系统补丁，因为XP系统在研究的时候人为或者无意的留下了很多的后门，这就给黑客入侵带来了方便，所以每当黑客利用一个系统漏洞入侵成功后，微软接到报告都会尽快出台一个补丁来弥补。

第二：端口入侵，黑客利用各种途径获得你机子的IP地址，然后使用一些常用的扫描工具扫描你的机子，从而得知你有哪些端口是开放的，然后就会利用各种命令链接上你的机子，从而获得各种权限，或者直接种植木马，造成你的损失，防止方法就是使用各种防火墙，并尽量关闭一些无用的端口。

第三，这种攻击方法比较常见，可以叫它UDP洪水攻击，黑客会利用某种程序不停的向你发送UDP数据包，由于数据包的包头部分你的计算机无法识别，所以你的计算机会拒绝这个数据包的接受，但是由于UDP数据包太多，就会导致你的计算机拒绝时占用了大量的系统资源，从而拖垮了系统。

由于XP系统现在的完善，单个机子进行UDP洪水攻击的效果已经不明显，所以现在大多黑客采用分布式UDP洪水攻击，即先使用各种黑客技术控制多台机子，然后多台机子一起向某台目标计算机进行洪水攻击，从而达到良好的攻击效果。

第四，种植木马，会利用各种手段，如QQ，下载，黑客入侵等方式在你的机子上种植木马，或控制机器，或盗取你的密码，木马一旦在你的机子里运行，就会自动寻找到一个端口与入侵者的客户端链接，从而使你的机子被控制。

第五，俗称ARP欺骗，即黑客利用以太网中广播方式的漏洞，截取里发送到网关的数据包并进行修改，再发送至网关，而且同样也会截取别人发给你的数据包，如A机要和B机通信，但是被黑客C机截获，于是A B 两机的所有数据都会通过C机转发，这样数据的保密性就得不到保证，而且网速也会变的很卡。这样的防护方法就是，如果你发现你的网速突然很卡而又莫名其妙的没有其他原因，那么你可以看看你的路由器的记录，看看是不是多个不同的物理地址却对应着同一个Ip地址，如果是，那么请禁止这个IP地址的链接。

以上就是我乱写的一些东西，希望能够对你有所帮助。也许我说的有些不对，但是请高手不要笑我。！呵呵！谢谢指导！我是新手

个人电脑怎么防止黑客攻击

个人防止黑客攻击的技术分为被动防范技术与主动防范技术两类。

被动防范技术主要包括：防火墙技术、网络隐患扫描技术、查杀病毒技术、分级限权技术、重要数据加密技术、数据备份和数据备份恢复技术等。主动防范技术主要包括：数字签名技术、入侵检测技术、黑客攻击事件响应（自动报警、阻塞和反击）技术、服务器上关键文件的抗毁技术、设置陷阱网络技术、黑客入侵取证技术等。

扩展资料：

利用Windows自带工具杀毒：

1、当你感觉电脑中毒而杀毒软件无能为力而且也不知道所中毒的名称时，你首先想到的应该是查看进程。按住“Ctrl+Alt+Del”打开“windows任务管理器”，检查其中是否有可疑的进程。

2、当系统运行非常缓慢，而在进程中你又可发现某个进程的 CPU 占用率非常高，而在你打开的相应程序中又没有可与其对应的，那么很有可能就是木马。找到可疑进程后，我们就要找出它的位置了并停止该进程。事实上，以上方法对于新的病毒木马一般是无效的，因为目前的木马或病毒的进程和线程都是互相挂钩的。因此我们需要更强大的工具，推荐两个：tasklist和taskill。

利用第三方工具查杀：

1、Hijackthis + killbox。Hijackthis和Icesword可以对系统的整体状况进行查看Killbox可以对进程，线程及各种文件进行修改或删除。

2、i ceSword。I cesword还能对进程等进行监控，能有效防止木马进程反复生成。I cesword可以对进程，线程及各种文件进行修改或删除。

3、aut or uns。Aut or uns则对于注册表的查看与修改有很大帮助。

参考资料来源：百度百科-黑客攻击

有啥可以帮助我们预防黑客入侵企业内网呢？

我们在电视或者电影中经常会看到这样的情景，间谍或者警察，在某户人家的电话线总线上，拉出一根电话分线，对这个电话进行窃听。现在这种方法在网络中也逐渐蔓延开来。

由于局域网中采用的是广播方式，因此在某个广播域中（往往是一个企业局域网就是一个广播域），可以监听到所有的信息报。而非法入侵者通过对信息包进行分析，就能够非法窃取局域网上传输的一些重要信息。如现在很多黑客在入侵时，都会把局域网稍描与监听作为他们入侵之前的准备工作。因为凭这些方式，他们可以获得用户名、密码等重要的信息。如现在不少的网络管理工具，号称可以监听别人发送的邮件内容、即时聊天信息、访问网页的内容等等，也是通过网络监听来实现的。可见，网络监听是一把双刃剑，用到正处，可以帮助我们管理员工的网络行为；用的不好，则会给企业的网络安全以致命一击。

一、监听的工作原理。

要有效防止局域网的监听，则首先需要对局域网监听的工作原理有一定的了解。知己知彼，百战百胜。只有如此，才能有针对性的提出一些防范措施。

现在企业局域网中常用的网络协议是“以太网协议”。而这个协议有一个特点，就是某个主机A如果要发送一个主机给B，其不是一对一的发送，而是会把数据包发送给局域网内的包括主机B在内的所有主机。在正常情况下，只有主机B才会接收这个数据包。其他主机在收到数据包的时候，看到这个数据库的目的地址跟自己不匹配，就会把数据包丢弃掉。

但是，若此时局域网内有台主机C，其处于监听模式。则这台数据不管数据包中的IP地址是否跟自己匹配，就会接收这个数据包，并把数据内容传递给上层进行后续的处理。这就是网络监听的基本原理。

在以太网内部传输数据时，包含主机唯一标识符的物理地址（MAC地址）的帧从网卡发送到物理的线路上，如网线或者光纤。此时，发个某台特定主机的数据包会到达连接在这线路上的所有主机。当数据包到达某台主机后，这台主机的网卡会先接收这个数据包，进行检查。如果这个数据包中的目的地址跟自己的地址不匹配的话，就会丢弃这个包。如果这个数据包中的目的地址跟自己地址匹配或者是一个广播地址的话，就会把数据包交给上层进行后续的处理。在这种工作模式下，若把主机设置为监听模式，则其可以了解在局域网内传送的所有数据。如果这些数据没有经过加密处理的话，那么后果就可想而知了。

二、常见的防范措施。

1、采用加密技术，实现密文传输。

从上面的分析中，我们看到，若把主机设置为监听模式的话，则局域网中传输的任何数据都可以被主机所窃听。但是，若窃听者所拿到的数据是被加密过的，则其即使拿到这个数据包，也没有用处，无法解密。这就好像电影中的电报，若不知道对应的密码，则即使获得电报的信息，对他们来说，也是一无用处。

所以，比较常见的防范局域网监听的方法就是加密。数据经过加密之后，通过监听仍然可以得到传送的信息，但是，其显示的是乱码。结果是，其即使得到数据，也是一堆乱码，没有多大的用处。

现在针对这种传输的加密手段有很多，最常见的如IPSec协议。Ipsec 有三种工作模式，一是必须强制使用，二是接收方要求，三是不采用。当某台主机A向主机B发送数据文件的时候，主机A与主机B是会先进行协商，其中包括是否需要采用IPSec技术对数据包进行加密。一是必须采用，也就是说，无论是主机A还是主机B都必须支持IPSec，否则的话，这个传输将会以失败告终。二是请求使用，如在协商的过程中，主机A会问主机B，是否需要采用IPSec。若主机B回答不需要采用，则就用明文传输，除非主机A的IPSec策略设置的是必须强制使用。若主机B回答的是可以用IPSec加密，则主机A就会先对数据包进行加密，然后再发送。经过IPSec技术加密过的数据，一般很难被破解。而且，重要的是这个加密、解密的工作对于用户来说，是透明的。也就是说，我们网络管理员之需要配置好IPSec策略之后，员工不需要额外的动作。是否采用IPSec加密、不采用会有什么结果等等，员工主机之间会自己进行协商，而不需要我们进行额外的控制。

在使用这种加密手段的时候，唯一需要注意的就是如何设置IPSec策略。也就是说，什么时候采用强制加密，说明时候采用可有可无的。若使用强制加密的情况下，一定要保证通信的双方都支持IPSec技术，否则的话，就可能会导致通信的不成功。最懒的方法，就是不管三七二十一，给企业内的所有电脑都配置IPSec策略。虽然，都会在增加一定的带宽，给网络带来一定的压力，但是，基本上，这不会对用户产生多大的直接影响。或者说，他们不能够直观的感受到由于采用了IPSec技术而造成的网络性能减慢。

2、利用路由器等网络设备对网络进行物理分段。

我们从上面的以太网工作原理的分析中可以知道，如果销售部门的某位销售员工发送给销售经理的一份文件，会在公司整个网络内进行传送。我们若能够设计一种方案，可以让销售员工的文件直接给销售经理，或者至少只在销售部门内部的员工可以收的到的话，那么，就可以很大程度的降低由于网络监听所导致的网络安全的风险。

如我们可以利用路由器来分离广播域。若我们销售部门跟其他部门之间不是利用共享式集线器或者普通交换机进行连接，而是利用路由器进行连接的话，就可以起到很好的防范局域网监听的问题。如此时，当销售员A发信息给销售经理B的时候，若不采用路由器进行分割，则这份邮件会分成若干的数据包在企业整个局域网内部进行传送。相反，若我们利用路由器来连接销售部门跟其他部门的网络，则数据包传送到路由器之后，路由器会检查数据包的目的IP地址，然后根据这个IP地址来进行转发。此时，就只有对应的IP地址网络可以收到这个数据包，而其他不相关的路由器接口就不会收到这个数据包。很明显，利用路由器进行数据报的预处理，就可以有效的减少数据包在企业网络中传播的范围，让数据包能够在最小的范围内传播。

不过，这个利用路由器来分段的话，有一个不好地地方，就是在一个小范围内仍然可能会造成网络监听的情况。如在销售部门这个网络内，若有一台主机被设置为网络监听，则其虽然不能够监听到销售部门以外的网络，但是，对于销售部门内部的主机所发送的数据包，仍然可以进行监听。如财务经理发送一份客户的应手帐款余额表给销售经理的话，有路由器转发到销售部门的网络后，这个数据包仍然会到达销售部门网络内地任一主机。如此的话，只要销售网络中有一台网络主机被设置为监听，就仍然可以窃听到其所需要的信息。不过若财务经理发送这份文件给总经理，由于总经理的网段不在销售部门的网段，所以数据包不会传送给财务部门所在的网络段，则销售部门中的侦听主机就不能够侦听到这些信息了。

另外，采用路由器进行网络分段外，还有一个好的副作用，就是可以减轻网络带宽的压力。若数据包在这个网络内进行传播的话，会给网络带来比较大的压力。相反，通过路由器进行网络分段，从而把数据包控制在一个比较小的范围之内，那么显然可以节省网络带宽，提高网络的性能。特别是企业在遇到DDOS等类似攻击的时候，可以减少其危害性。

3、利用虚拟局域网实现网络分段。

我们不仅可以利用路由器这种网络硬件来实现网络分段。但是，这毕竟需要企业购买路由器设备。其实，我们也可以利用一些交换机实现网络分段的功能。如有些交换机支持虚拟局域网技术，就可以利用它来实现网络分段，减少网络侦听的可能性。

虚拟局域网的分段作用跟路由器类似，可以把企业的局域网分割成一个个的小段，让数据包在小段内传输，将以太网通信变为点到点的通信，从而可以防止大部分网络监听的入侵。

不过，这毕竟还是通过网络分段来防止网络监听，所以，其也有上面所说的利用路由器来实现这个需求的缺点，就是只能够减少网络监听入侵的几率。在某个网段内，仍然不能够有效避免网络监听。

所以，比较好的方法，笔者还是推荐采用加密技术来防止网络监听给企业所带来的危害，特别似乎防止用户名、密码等关键信息被窃听。