IP包头TTL字段在网络中的应用汇总.docVIP

IP包头TTL字段在网络分析中的应用 2009-08-25　网管员世界　沈立君 TTL（time to live）生存时间字段设置了IP数据报能够经过的最大的路由器数，TTL字段是由发送端初始设置的，每个处理该数据报的路由器都需要将其TTL值减1，当路由器收到一个TTL值为0的数据报时，路由器会将其丢弃。 TTL字段的目的是防止数据报在选路时无休止地在网络中流动。例如，当路由器瘫痪或者两个路由器之间的连接丢失时，可能会造成路由环路，而路由器可能根据其路由表将该数据报一直循环转发下去。这种情况下，就需要一种机制来给这些循环传递的数据报上加上一个生存上限，TTL字段正是实现这种机制的手段。 TTL是IP数据报头中的字段，其在IP头部的位置如下图所示： ? 图1 TTL字段在IP报头的位置 ? 通过上图，我们可以发现，TTL字段占了8个bit，那么一般而言，最大的TTL值就是2^8=255啦。 ? 应用分析案例? 介绍完TTL字段的作用，接下来我们分别来看一下在实际的网络分析过程中， TTL字段能够给我们提供哪些有用的信息和帮助。 2.1 识别操作系统 根据操作系统和传输协议的不同，其TTL字段的值也不同，那么我们可以根据IP数据报的TTL字段来大体识别相应的操作系统类型。下图为各种操作系统在传输TCP和UDP时默认使用的TTL值： 图2 不同操作系统默认情况下的TTL值 ? 绝大多数的用户都不会主动的修改其操作系统默认的TTL值，因此黑客会利用这个特性来简单判断目的主机的操作系统，而在我们网络维护和分析的过程中， 2.2 发现网络环路 在计算机网络中，环路一般分为两种，一种为二层物理环路，另一种为三层路由环路。 二层物理环路一般是由于二层交换机出现了物理连接上的环路并且二层交换机上未启用STP生成树协议导致的。二层物理环路一旦产生，其导致的广播风暴会给网络带来致命的威胁。由于数据包在二层环路间转发时，其TTL值不会递减，因此，我们可以利用这个特点，通过分析数据包的TTL值字段来定位网络中是否存在二层物理环路。如果同一数据包（根据IP报头中的IP标识字段来定位）多次出现而且其TTL值一直保持一致，那么就说明网络中出现了二层的物理环路了。 三层路由环路一般是由于路由策略配置不当导致的。我们前面在介绍TTL时，已经说明TTL主要是为了防止路由环路的情况出现而设置的，当网络出现路由环路时，IP数据报会在路由环路间不断的循环转发最终使其TTL值递减为0，我们可以利用路由环路的这个特性和TTL值来定位路由环路，如下图所示： 图3 路由环路情况下IP数据报的TTL值 ? 当我们在网络分析过程中发现TTL=1的IP数据包（多播报文除外）时，我们就需要关注是否存在网络路由环路了，我们一般会结合IP数据报的标识字段，来快速的定位出网络中存在路由环路，如果同一数据包反复出现，而且其TTL值呈递减的趋势并最终变为1，那么就说明当前的网络中存在三层的路由环路了。 2.3 检测是否经过了路由设备 当IP数据报经过路由设备时，该路由设备在转发时一般会将其TTL值减1，因此，我们可以根据路由设备后所抓取数据包的TTL值来判断该数据包是否已经经过路由设备。这个在实际网络分析过程中似乎用处不大，但是在一些特殊的网络管理情况下，我们需要知道某些数据包是否经过了路由设备，例如，在一个对网络访问限制较为严格的网络环境中，部分重要的服务器可能只有某几个网段的机器可以访问，其他网段的IP地址是没有访问权限的，那么，就可能出现某些别有用心的人利用具有访问权限的IP地址做NAT地址转换间接访问受限服务器资源的情况，具体如下图所示： 图4 通过NAT非法访问服务器端示意图 ? 网络管理者当然不期望这种情况发生，因为它很可能会带来各种致命的网络安全问题。在这种情况下，访问权限的主机访问受限访问服务器时，经过有访问权限主机的NAT和转发，因此，其IP数据报的TTL值比系统初始值小1，那么，我们就可以利用这个特性，在网络中部署网络分析系统，对网络中的数据包进行捕获，通过查看数据包的TTL值来判断网络中是否存在NAT设备，从而定位出利用路由设备进行越权访问的主机。 这种方法也是电信所使用的ADSL多用户检测技术之一。 2.4 检测数据包的不对称路由 我们知道IP是不可靠的的协议，它不能保证数据包在传输的过程中会被丢失、失序，而IP选路功能可以让同一连接的数据包通过不同的路径进行转发，这种特性提高了IP数据包的转发效率，但有时也会带来不必要的麻烦，例如，在使用基于状态检测的防火墙环境中，如果在TCP连接建立阶段的三次握手报文经过不同的路径转发，那么，很可能导致TCP应用异常（由于防火墙没有收到完整的TCP三次握手的数据包，因此无法正常建立TCP状态表），如下图所示： 图5