摘要: 随着计算机网络技术的发展,网络规模不断扩大,网络中节点的类型和节点之间的互连技术多种多样,这使得网络的拓扑结构日益复杂,而且处于不断的变化之中,网络本身的安全性问题日益突出。就局域网类型探测的基本技术做一些分析。
关键词: 局域网;网络;探测
中图分类号:TP3文献标识码:A文章编号:1671-7597(2010)0620037-01
网络类型探测是依靠计算机软件和程序自动确定网络中各元素相互之间的动态关系,确定网络类型时,首先要分析网络拓扑结构时,常把网络中的路由器、子网、主机、交换机等设备抽象成为一个点,把连接这些设备的信道抽象成两点之间的边,这样网络拓扑就抽象成一个图。
1 网络类型探测的技术支撑
由于IP网络协议丰富,网络类型探测算法可以利用协议特性来获取相关信息。其中最常用的探测工具有Ping、Traceroute和基于这些工具和协议的组合算法。这些算法利用协议性质获取设备中存放在数据库、链表和变量中的信息来分析网络类型。这些协议分别适合于不同规模、不同层次、不同方式下的探测算法,以求达到其性能和开销的最佳比值。
1.1 MAC帧格式
TCP/IP只定义了应用层、传输层、网际层(IP层)和数据链路层四个层次。无论TCP/IP应用怎么封装数据,数据包在网络中都将以MAC帧的形式出现。在同一网络中的两台主机通信时,源主机在传输层将应用层数据加上报头形成传输层数据包,传给网络层;网络层将传输层的数据包加上IP报头,形成IP数据包,传给数据链路层,数据链路层将IP数据包加上MAC报头,形成MAC帧。MAC帧最终将被发送到网卡,发送到网络中。
1.2 IP数据包格式
在TCP/IP中,一个IP数据包由一个报头和一个报文部分组成。IP报头定义了一些用于指示该分组数据特性的数据。IP报头由一个20Bit的固定长度部分和一个可选任意长度部分构成。
1)版本字段标志:占4bit,指该分组采用的IP数据包结构的版本号,对于常用的IPV4来说,该字段的内容为4;对于IPv6来说,该字段的内容为6。通信双方使用的EP协议的版本必须一致。
2)IHL字段:报头的长度,以4Bit为单位,最小为5,最大值为15,即报头的最大长度为60Bit。当IP分组的首部长度不是4字节的整数倍时,必须利用最后一个填充字段加以填充。因此数据部分永远在4字节的整数倍时开始,这样在实现IP协议时较为方便。首部长度限制为60字节的缺点是有时(如源站路由选择)不够用。但这样做是希望用户尽量减少开销。最常用的首部长度就是20字节,即不用任何选项。
3)服务类型字段:占8bit,主机能告诉子网它需要的服务。
4)总长:该数据包(包括报头和报文)的长度,总长字段为16bit,因此数据报的最大长度为是65535字节。
5)标志字段:占16bit,它是一个计数器,用来产生数据报的标识。但这里的“标识”并没有序号的意思,因为IP是无连接服务,数据报不存在按序接收的问题。当IP协议发送数据报时,它就将这个计数器的当前值复制到标志字段中。当数据报由于长度超过网络的MTU而必须分片时,这个标志字段的值就被复制到所有的数据报的标志字段中。相同的标志字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。
6)DF,MF和分段偏移字段:指示该分组是否需要分段,是否全部到达,该分段处于分组的位置。
7)生命期字段:用来限制分组生命周期的计数器,即一个数据报在它通过互连网时必须具有受限的寿命,最长生命周期为255s。这个字段用来控制数据报所通过路由器的最大跳数。
8)协议:占8Bit,协议字段指出此数据报携带的数据是使用何种协议,以便使目的主机的IP层知道应将此数据报上交给哪个进程。
9)头校验:此字段只检验数据报的首部,不包括数据部分。主要用于检测以路由器中的内存坏字带来的错误。
10)源地址和目的地址:该数据包的来源和去向。这是首部中最重要的字段。
2 局域网类型探测的基本技术
2.1 ARP协议
地址解析协议(ARP)实现IP地址和物理地址(MAC)之间的映射。所有网络设备的以太网接口都支持ARP协议,并且在本机维持着该接口的ARP地址缓存表(ARP缓存),ARP表中的网络设备地址都是最近活动过的有效IP地址与其MAC地址的对应关系。网络拓扑探测中,根据路由器或交换机的ARP缓存,可以获得与其以太网端口相连的以太局域网中的网络设备。由于ARP缓存是动态刷新的,路由器或交换机中无法包括网络中实际存在的所有网络设备的信息,所以在网络拓扑探测中通过ARP缓存获取的网络拓扑是不完整的,但它可以作为进一步拓扑探测的有效节点集合。
2.2 ARP欺骗技术
ARP欺骗技术是利用ARP协议的漏洞来实现的。ARP协议虽然是一个高效的数据链路层协议,但是在局域网中,它的工作基础是各主机相互信任,这就为网络监听提供了机会。在设计ARP协议时,为了减少网络上过多的ARP数据通信,对一台主机来说,即使收到的ARP应答并非因自己请求而得到的,它也会将其插入到自己的ARP地址转换表中,ARP欺骗技术正是利用这一漏洞来实现的。当同一网段内的两台主机之间的通信时,会分别给这两台主机发送一个ARP应答包,让两台主机都把第三方误认为是对方,这样,双方看似直接地实施了通信连接,而实际上中间夹着其他主机(也称为监听主机)。
2.3 Ping探测工具
Ping程序是对两个TCP/IP系统连通性进行测试的基本工具,它只利用ICMP回显请求和回显应答报文。Ping程序的原理是任何支持TCP?IP的设备在收到一个回显请求报文的时候,都会返回一个回显应答报文,请求报文和应答报文的格式相同。应答报文可以简单的从请求报文中导出,方法是将IP报文中的源地址和目的地址交换,将类型"ECHO"换成"ECHO-REPLAY",将请求报文里收到的数据作为应答报文中的数据,然后重新计算出新的IP值以及校验和,便得到了正确的回显应答报文。若发送方能够收到正确的应答报文,则报告目的主机运行正常,并计算出发送请求与接收应答报文之间的时间差作为一次交互通信所花费的时间。
2.4 Tranceroute探测工具
Traceroute检测并记录到达某个指定网络目标的路径。它使用ICMP报文和IP首部的TTL字段,并试图从沿路由到达目标的每个主机处获得一个ICMP的TIME-EXCEEDED消息。随着试图连接目标的一个不可达端口,将导致沿路每个路由器在丢弃UDP数据报时都返回一个ICMP超时报文。
局域网类型探测已作为网络安全研究的一项重要内容。在局域网中,传统的网络探测技术紧密依赖SNMP协议,而SNMP协议本身就存在着技术上的缺陷,导致传统的网络探测技术存在较大的局限性。
参考文献:
[1]吴莹、彭丽芳,Windows下开发网络嗅探器程序[J].微处理机,2002(2).
[2]王小刚,基于WinPcap系统的网络截包程序的开发应用[J].常州信息职业技术学院学报,2003(2).
