我可以阻止 LAN 上的数据包监控吗?

我可以阻止 LAN 上的数据包监控吗?

我处于一个共享局域网中,每个人都应该拥有平等的访问权限,并且希望不要打扰其他人的活动。

拥有台式电脑的人房间里有路由器,所以他们可以直接插上电源;其他人都在使用 WiFi。我只能说我不相信拥有台式电脑的人的意图。

家里的每个人(包括桌面用户)都不知道如何使用 tcpdump、nmap 和 netstat 等基本工具,所以我通常使用这些工具来寻找恶意活动。

问题是,我对网络的了解并不多,不确定是否还有其他数据包检查。路由表看起来总是正常的,但我确实注意到他安装了 dragon IDS。该产品的网站声称它能够监控 LAN 数据包并针对某些事件发送电子邮件。

我知道 IDS 在安全性方面有其用途,但是它可以被恶意使用吗?

答案1

即使您可以信任自己网络中的每个人,但互联网也同样可怕,因为我们并不真正知道外面都有谁在观察(因此最好只是假设正在发生观察)。

保护自己的最佳方法之一就是使用真正优秀的 VPN,例如 OpenVPN:

  OpenVPN(免费且开源)
  http://www.openvpn.net/index.php/open-source.html

您需要在某处运行一台可以充当 OpenVPN 服务器的计算机,然后无论何时连接到 OpenVPN 客户端,您的数据都会被加密,以便观察者无法看到您正在做什么——他们只能看到有一串 [看似] 随机的乱码,他们无疑(并且正确地)会认为这是加密数据。

答案2

如果路由器让你们每个人看到所有的网络数据包(无论如何在无线端都是如此),那么嗅探所有数据包就会非常容易。

但是您可以控制路由器,因此实际情况如下:

如果这个人是恶意的,他可以轻松拦截(或发出警报)您使用未加密链接所做的任何操作,这可能包括嗅探密码等。因此请始终使用加密通信。

FireFox 的 Httpseverywhere 插件可以很好地帮助实现这一点。

如果您还没有这样做,那么最好更改所有在线密码!

如果您想将其迁移到 security.stackexchange.com,您可以从安全专家那里获得更广泛的答案。

答案3

另一种获取隐私的方法(至少在 http 协议上)是使用 https(例如,您可以将电子邮件(如 gmail 或 hotmail)配置为使用 https 协议)。它使用另一个 TCP 端口,并且您的所有 https 通信都已加密,MITM(中间人)攻击(例如嗅探路由器)将读取您的电子邮件内容。

相关内容