监听的威胁与防范

　　监听又称为嗅探、窃听(sniffer)。如果一台主机能够接收所有数据包，而不理会数据包头内容。这种方式通常称为混杂模式。处于该模式下就可以进行监听。在电子邮件的发送过程中，一个监听者利用各种嗅探工具，可以在不影响电子邮件正常传输的情况下，可实现对特定IP地址、Email地址或特定关键词的电子邮件进行拦截、存储和检索，可以在网络上收集各种用户名和口令，窃听通信内容，由于监听是被动的，因此难于被发现，但是可以通过监测本地网络中是否存在处于混杂模式的主机以及一些间接的指标如掉包率升高，网络带宽被一台主机大量占用来判断；对于一个普通的上网者，可以关注上网是否出现连接不良，网页错误来判断。

　　在非以太网接入的情况下，不能利用以太网的广播特性，而必须在路由器中设置监听端口，将流经路由器的所有信息流量通过特定的监听端口输出，从而实现信息监听。

　　当然，"道高一尺，魔高一丈"，监听者也可以采取措施，修改本机协议栈以及进行网络通信包伪装、检测网络负载并在负载剧增的时候停止监听等等，从而防止被发觉。

　　对于监听的防范，最有效的是采用加密来解决。申请通过SSL等安全协议建立连接的安全站点的邮箱，可以防止用户名和口令被监听，如yahoo和hotmail即是部分安全连接的。无上述条件，可以采用附件发送信件，还可以将附件压缩并且加密，由于附件是经过编码处理的，会增加监听的难度。不要在信件的正文附带太多的信息，如姓名，也不要公开用户名，以免攻击者将它们设定为监听的敏感词。

　　电子邮箱口令的破解与防范

　　电子邮件口令的破解对电子邮箱用户是很大的威胁，攻击者一旦将密码破解并修改，用户就丧失邮箱，攻击者可以收取信件，暗中转发信件，伪冒用户发信，如果不修改密码，也可以收发信件，且可以将未读取的信件一睹为快而信件的未读取的标识没有去掉，用户全然不知。破解可以通过多种方法：一、网络监听，这一点在上面已经谈到。二、远程暴力破解，现在有不少基于POP3协议或者其它用户名和口令提交机制的自动登录软件可以破解邮箱口令，对可能的用户口令进行登录试验，从而获得用户的口令。三、利用邮件系统的缺陷，如曾经有一些网站将用户名和口令以明文的形式显示在地址栏中，即使关闭窗口别人可以在历史和临时文件中找到。四、利用木马直接盗取口令，或者利用木马记录击键与操作。五、当用户在使用cookies记录用户名和口令时，可以在相应的cookies文件中找到用户名和口令。六、攻击者也可以以欺骗的手段，向用户发送一封信件，用户在打开时出现窗口，要求用户输入自己的用户名和口令，如果信以为真，用户名和口令就会发送给攻击者。

　　用户的防范方法首先要注意设置口令，不能采用生日、电话号码、用户名等等容易被猜测的信息作为口令，要具有足够复杂度，不与其他口令相同，且要口令定期更改。

　　其次要设置密码保护功能。在公共环境上网，离开时应在工具菜单中的Internet选项中删除临时文件，清除历史记录以及cookies。当登录出现异常页面时，可能是受到了攻击，及时修改密码。如果ISP提供Web方式接收/发送电子邮件，最好采用这种方式在公共机房处理电子邮件。因为它的数据包不是纯文本的。从ISP而言，为了防止用户名和口令被监听，可以采用SSL或TLS等安全协议对传输信息，特别是用户资料和口令进行加密。

　　为防止在线暴力破解口令，ISP可以采取一定的安全防范策略，对较短的时间内多次错误登录，即认为该用户受到了暴力破解，防范措施一般有如下三种：

　　⑴禁用帐户 把受到暴力破解的帐户禁止一段时间，但是，如果攻击者总是尝试暴力破解，则该帐户就一直处于禁用状态不能登录，导致真正的用户不能访问自己的邮箱，从而形成DOS攻击。

　　⑵禁止IP地址 把进行暴力破解的IP地址禁止一段时间不能使用邮箱。这虽然在一定程度上解决了"禁用帐户"带来的问题，但更大的问题是，这势必导致在网吧、公司、学校甚至一些城域网内共用同一IP地址访问Internet的用户不能使用该邮箱服务。如果攻击者采用多个代理地址轮循攻击，甚至采用分布式的破解攻击，那么"禁止IP地址"就难以防范了。

　　⑶登录检验 这种防范措施一般与上面两种防范措施结合起来使用，在禁止不能登录的同时，返回给客户端的页面中包含一个包含在图片中的随机产生的检验字符串，只有用户在相应的输入框里正确输入了该字符串才能进行登录，由于图片中的字符串难以自动提取，攻击者要手工输入，从而攻击者要付出时间和人力两方面的代价，这样就能有效避免上面两种防范措施的弊端。同时还要设置一定的密码保护措施，保证用户在丢失口令能找回密码。