网络监听案例二:MSN信息被盗

起因：朋友MSN登陆不了网络，但MSN中却有着重要的客户资料。
环境：局域网内共有主机80多台，其中能上网的主机20台左右，其中都使用Windows系统，没有Unix、Linux主机。

一、问题出现情况

    根据那位朋友的叙述，在此之前也没有别人使用过自己的电脑，他也没有使用MSN的自动登陆的功能，都是每次自己输入密码登陆的，按照这样的情形来看，可能是被盗号木马或网络监听软件窃取了。首先检测网页打开情况，能连接外网，证明网络是良好的；接着退出防火墙登陆MSN，居然问题依旧，难到是病毒引起的？换了一台计算机登陆MSN，结果提示[密码错误]，密码不正确，被盗？

二、寻根溯源

    目前需要确定，究竟是盗号木马窃取，还是网络监听偷盗。由于公司规模比较小，并且没有购置网络版的防病毒产品，都是各使用单击版的杀毒软件进行防护（用的多数都是瑞星）。考虑到瑞星的脱壳和查杀木马的能力比较弱，因此先安装了“360安全卫士”用“查杀流行木马”的功能进行快速扫描后，虽然也发现了两个木马（见图1 360安全卫士），但发现这都不是盗MSN的。接着又使用了“木马杀客”进行全盘扫描，结果没有发现木马。
 
360安全卫士

难道真是被网络监听软件窃取了他MSN的密码？

三、查找网络监听主机

    据我所知，Windump、Iris、以及著名的Sniffer等监听工具对交换机组建的局域网的监听能力是不够的，难道监听者是使用了Dsniff或Ettercap等以太网的监听软件？（提示：Dsniff包括了FileSnarf、 MailSnarf、MsgSnarf、UrlSnarf、DnsSpoof、Macof 等诸多很有特色的组件，可以捕获网络中的各种敏感数据。）由于局域网内的这些主机多数集中在公司的主办公楼内，并且大部分还都是领导的电脑，不可能逐一排查。

    决定采用PromiScan对局域网的机器进行测试（下载地址：http://soft.k8d.net/downinfo/21686.html），安装后运行如图2所示。
 
PromiScan界面

    点击图2中的“Start”按钮，PromiScan便开始根据你设置的IP范围发送伪装为广播地址的ARP请求，然后根据对方的反映来判断对方是否处于混杂模式，最终发现IP为“192.168.1.72”的机器确实在进行局域网监听，原来这是他们公司专门提供给设计部的一台上网浏览资料的主机。（设计员使用的电脑是不可以上网的，以防图纸等产品设计信息泄密）公用的，想查出这起监听事件是“天灾”还是“人祸”都很困难，看来他想找回MSN密码的希望也随之破灭了。最后将设计部的这台电脑重新安装了操作系统，以绝后患！但这也只是治标不治本，犹如隔靴搔痒。