局域网类型探测技术剖析.docVIP

局域网类型探测技术剖析 　　摘要: 随着计算机网络技术的发展,网络规模不断扩大,网络中节点的类型和节点之间的互连技术多种多样,这使得网络的拓扑结构日益复杂,而且处于不断的变化之中,网络本身的安全性问题日益突出。就局域网类型探测的基本技术做一些分析。 　　关键词: 局域网;网络;探测 　　中图分类号:TP3文献标识码:A文章编号:1671-7597(2010)0620037-01 　　 　　网络类型探测是依靠计算机软件和程序自动确定网络中各元素相互之间的动态关系,确定网络类型时,首先要分析网络拓扑结构时,常把网络中的路由器、子网、主机、交换机等设备抽象成为一个点,把连接这些设备的信道抽象成两点之间的边,这样网络拓扑就抽象成一个图。 　　1 网络类型探测的技术支撑 　　由于IP网络协议丰富,网络类型探测算法可以利用协议特性来获取相关信息。其中最常用的探测工具有Ping、Traceroute和基于这些工具和协议的组合算法。这些算法利用协议性质获取设备中存放在数据库、链表和变量中的信息来分析网络类型。这些协议分别适合于不同规模、不同层次、不同方式下的探测算法,以求达到其性能和开销的最佳比值。 　　1.1 MAC帧格式 　　TCP/IP只定义了应用层、传输层、网际层(IP层)和数据链路层四个层次。无论TCP/IP应用怎么封装数据,数据包在网络中都将以MAC帧的形式出现。在同一网络中的两台主机通信时,源主机在传输层将应用层数据加上报头形成传输层数据包,传给网络层;网络层将传输层的数据包加上IP报头,形成IP数据包,传给数据链路层,数据链路层将IP数据包加上MAC报头,形成MAC帧。MAC帧最终将被发送到网卡,发送到网络中。 　　1.2 IP数据包格式 　　在TCP/IP中,一个IP数据包由一个报头和一个报文部分组成。IP报头定义了一些用于指示该分组数据特性的数据。IP报头由一个20Bit的固定长度部分和一个可选任意长度部分构成。 　　1)版本字段标志:占4bit,指该分组采用的IP数据包结构的版本号,对于常用的IPV4来说,该字段的内容为4;对于IPv6来说,该字段的内容为6。通信双方使用的EP协议的版本必须一致。 　　2)IHL字段:报头的长度,以4Bit为单位,最小为5,最大值为15,即报头的最大长度为60Bit。当IP分组的首部长度不是4字节的整数倍时,必须利用最后一个填充字段加以填充。因此数据部分永远在4字节的整数倍时开始,这样在实现IP协议时较为方便。首部长度限制为60字节的缺点是有时(如源站路由选择)不够用。但这样做是希望用户尽量减少开销。最常用的首部长度就是20字节,即不用任何选项。 　　3)服务类型字段:占8bit,主机能告诉子网它需要的服务。 　　4)总长:该数据包(包括报头和报文)的长度,总长字段为16bit,因此数据报的最大长度为是65535字节。 　　5)标志字段:占16bit,它是一个计数器,用来产生数据报的标识。但这里的“标识”并没有序号的意思,因为IP是无连接服务,数据报不存在按序接收的问题。当IP协议发送数据报时,它就将这个计数器的当前值复制到标志字段中。当数据报由于长度超过网络的MTU而必须分片时,这个标志字段的值就被复制到所有的数据报的标志字段中。相同的标志字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。 　　6)DF,MF和分段偏移字段:指示该分组是否需要分段,是否全部到达,该分段处于分组的位置。 　　7)生命期字段:用来限制分组生命周期的计数器,即一个数据报在它通过互连网时必须具有受限的寿命,最长生命周期为255s。这个字段用来控制数据报所通过路由器的最大跳数。 　　8)协议:占8Bit,协议字段指出此数据报携带的数据是使用何种协议,以便使目的主机的IP层知道应将此数据报上交给哪个进程。 　　9)头校验:此字段只检验数据报的首部,不包括数据部分。主要用于检测以路由器中的内存坏字带来的错误。 　　10)源地址和目的地址:该数据包的来源和去向。这是首部中最重要的字段。 　　2 局域网类型探测的基本技术 　　2.1 ARP协议 　　地址解析协议(ARP)实现IP地址和物理地址(MAC)之间的映射。所有网络设备的以太网接口都支持ARP协议,并且在本机维持着该接口的ARP地址缓存表(ARP缓存),ARP表中的网络设备地址都是最近活动过的有效IP地址与其MAC地址的对应关系。网络拓扑探测中,根据路由器或交换机的ARP缓存,可以获得与其以太网端口相连的以太局域网中的网络设备。由于ARP缓存是动态刷新的,路由器或交换机中无法包括网络中实际存在的所有网络设备的信息,所以在网络拓扑探测中通过ARP缓存获取的网络拓扑是不完整的,但它可以作为进一步拓扑探测的有