802.1x-2010 将为网络交换机提供身份验证并加密交换的流量。旧的 802.1x 规范不加密流量。

IPsec 可以是旧 802.1x 之上的有用解决方案或层，但配置工作的增加以仅允许所需的客户端可能是显着的。

但是，如果计算机通过以太网连接并且不要求 IP 地址怎么办？他们可以使用标准网卡从网络中撇去什么？

我想你是在问是否有可能，就像在无线网络上一样，连接到有线网络并嗅探数据包，就像 aircrack 允许混杂模式无线流量一样。

答案是 - 如果交换以太网网络，则程度不同。具体来说，为了确保每个客户端都能收到他们的无线数据包，无线路由器本质上必须使用全向天线（实际上，您可以获得定向天线用于网络之间的“无线桥接”）和广播。实际上，您的无线硬件随后会忽略未发送给它的数据包；但是，某些无线卡上可用的混杂模式设置允许您抑制此功能。在这种情况下，您可以查看所有网络连接，甚至是假设的单播传输。

这同样不适用于以太网。路由器/交换机不需要以相同的方式广播信息，因为它们应该能够沿着适当的电缆路由流量。无线等效的情况是，如果他们将数据包发送到每条连接的电线上，并让以太网适配器过滤掉冗余数据包（这也可能发生，但不应该发生）。

这条规则的最大例外是在以太网之上运行的应用程序和服务的设计。许多需要使用多播或广播功能，因此会请求将数据包发送到相关组（mcast 组或整个子网）中的所有客户端。任何插入有线网络的人都会按设计接收所有广播数据包。

这种情况比你想象的要多得多——任何涉及共享发现的服务都倾向于这样做。ARP 协议也这样做——我见过的常见示例包括 Windows Media player/iTunes 发出广播消息以寻找可以与之交谈的设备。Windows 文件共享也会发布工作站可用性的公告。因此，这会泄露有关网络上主机配置和位置的信息，这可能是一个问题。

总结：在交换网络上，他们真的应该只能够撇去广播流量和发往他们所在主机的任何多播流量。

以太网的wireshark页面非常详细地讨论了这个问题，并带有漂亮的图表。

至于解决方案——IPSec 将大有帮助。子网划分和路由也将有所帮助，您可以根据需要在私有 IP 范围的子网上执行此操作。从本质上讲，每个子网都有自己的广播地址，因此如果您使用路由而不是以太网桥接，则除了您的子网之外，您将不会收到广播消息。

如果攻击者可以连接到以太网数据，他们可以窃听吗？是的。物理连接到您的以太网网络的攻击者可能会窃听在该局域网上发送的所有数据包。

您可能认为交换以太网会阻止这种情况，但实际上在许多/大多数以太网交换机上，它不会。攻击者可以使用MAC 泛洪强制交换机进入降级模式，将所有数据包的副本发送给攻击者，从而允许攻击者窃听在该局域网上发送的所有流量。同样，ARP 欺骗可能允许攻击者将一些数据包路由给他。并非所有路由器都容易受到攻击，但这些攻击可能非常微妙，我不相信社区已经充分探索了这方面可能的攻击空间。因此，我建议您保守地假设这种攻击是可能的。

换句话说，我建议您假设任何可以插入以太网的人都可以窃听在该局域网上发送的所有数据包。

这些攻击不需要特殊的网络接口卡。任何以太网卡都足够了。攻击者只需要运行一个数据包嗅探器程序，它将以太网卡设置为混杂模式并要求它显示该以太网卡可见的所有以太网数据包。

你怎么能防御呢？ 最强的防御是使用强密码术来加密所有通信，并确保只有受信任/授权的个人才能收到加密密钥。使用 IPSec 加密所有流量就足够了。任何其他 VPN 或链路层加密软件也是如此。主要缺点是这些解决方案可能需要大量配置，因此使用起来很笨拙。

另一种防御措施是尽最大努力确保不受信任的个人无法插入您的以太网。例如，如果您想在公共场所公开以太网端口，您可以创建一个单独的访客网络——与内部公司网络隔离开防火墙——并确保公共场所的所有以太网插孔都连接到访客网络。您应该通过物理安全来补充这一点，以确保未经授权的个人无法访问您的工作区、网络机柜、服务器机房等。

您还可以按照“最小权限”原则将内部网络相互隔离。例如，如果工资单在他们的系统和本地以太网网络上有特别敏感的信息，那么您可以安排他们的局域网仅限于他们的建筑物或办公室——这样不属于工资单的其他员工部门没有与该局域网的连接。

第三道防线是鼓励用户对所有敏感通信使用加密。如果攻击者确实获得了对您内部以太网的访问权限，这提供了一种回退。例如，您可以确保将敏感的内部 Web 服务设置为在站点范围内使用 SSL，并且将其他敏感的内部服务配置为使用加密。您可以在内部网络上禁止明文密码（例如，需要 SSH 和 SFTP 而不是 telnet 和 FTP）。您可能会鼓励用户在 Web 服务器支持的情况下使用 HTTPS Everywhere 来保护他们的 Web 流量。

第四种防御措施是启用以太网交换机上的功能来防御此类攻击。您可以使用客户端身份验证（例如 802.1X）来确保只有经过授权的客户端才能连接到以太网。（MAC 地址过滤是一个穷人的版本，它只提供低级别的安全性。）您还可以启用“端口安全”和类似的安全功能，专门用于防止 MAC 泛滥和 ARP 欺骗攻击。

当我想起我有一篇很长的文章深入解释了即使直接连接到以太网电缆时，我正要写一个冗长的答案。总而言之，这是一篇很棒的初学者文章，里面有很多好东西。如果您有任何其他问题，请以这种方式拍摄。

欢迎来到安全堆栈交换。

http://www.windowsecurity.com/whitepapers/Sniffing_network_wiretap_sniffer_FAQ_.html