浅谈局域网类型探测技术的实现

局域网类型探测已作为网络安全研究的一项重要内容。在局域网中, 传统的网络探测技术紧密依赖S N M P协议, 而S N M P协议本身就存在着技术上的缺陷, 导致传统的网络探测技术存在较大的局限性。

1 局域网类型探测的基本技术

1.1 ARP协议

地址解析协议 (ARP) 实现IP地址和物理地址 (MAC) 之间的映射。所有网络设备的以太网接口都支持ARP协议, 并且在本机维持着该接口的ARP地址缓存表 (ARP缓存) , ARP表中的网络设备地址都是最近活动过的有效IP地址与其MAC地址的对应关系。网络拓扑探测中, 根据路由器或交换机的ARP缓存, 可以获得与其以太网端口相连的以太局域网中的网络设备。由于ARP缓存是动态刷新的, 路由器或交换机中无法包括网络中实际存在的所有网络设备的信息, 所以在网络拓扑探测中通过ARP缓存获取的网络拓扑是不完整的, 但它可以作为进一步拓扑探测的有效节点集合。

2 ARP协议工作原理

当某主机要向局域网中另一台主机发送IP数据时, 它首先根据目的主机的IP地址在ARP高速缓存中查询相应的局域网地址, ARP高速缓存是主机维护的一个IP地址到相应局域网地址的映射表。如果查到匹配的结点, 则相应的局域网地址被写入局域网帧首部, 数据报被加入到输出队列等候发送。如果查询失败, ARP会先保留待发送的IP数据报, 然后广播一个询问目的主机硬件地址的ARP报文, 等收到回答后再将IP数据报发送出去。

2.1 ARP欺骗技术

ARP欺骗技术是利用ARP协议的漏洞来实现的。

具体来说, ARP欺骗是向被欺骗主机发送ARP REPLY数据包, 把数据包中的源IP地址改成被欺骗主机IP地址, 源MAC地址还是自己的M A C地址。假设被欺骗主机A, B, 欺骗主机C发送一个ARPREPLY数据报给A, 其中源I P地址为B的I P地址, 源M A C地址为C的机器的M A C地址, 那么A发送到B的数据报就发到C的机器上了, 同样对B做相同到操作, 那么A和B之间的数据就会源源不断的通过C的机器转发, 直到一个正常的A R P包更改了A, B的A R P缓存为止。

2.2 Ping探测工具

Ping程序是对两个TCP/IP系统连通性进行测试的基本工具, 它只利用ICMP回显请求和回显应答报文。Ping程序的原理是任何支持TCP/IP的设备在收到一个回显请求报文的时候, 都会返回一个回显应答报文, 请求报文和应答报文的格式相同。应答报文可以简单的从请求报文中导出, 方法是将IP报文中的源地址和目的地址交换, 将类型“ECHO”换成“ECHO-REPLAY”, 将请求报文里收到的数据作为应答报文中的数据, 然后重新计算出新的IP值以及校验和, 便得到了正确的回显应答报文。

2.3 Tranceroute探测工具

Traceroute检测并记录到达某个指定网络目标的路径。它使用ICMP报文和IP首部的TTL字段, 并试图从沿路由到达目标的每个主机处获得一个I C M P的T I M E-EXCEEDED消息。随着试图连接目标的一个不可达端口, 将导致沿路每个路由器在丢弃UDP数据报时都返回一个I C M P超时报文。

3 局域网类型探测系统的实现

3.1 需求分析

为对该系统从需求到设计有一个全面、清晰的认识, 需对该系统做一个全面、深入的研究, 进而对其工作的机制和性能有较好的评估。首先从系统的需求以及开发环境对软件系统进行分析。开发基于W i n d o w s平台下局域网网络类型探测系统, 网络环境是很容易获得的, 因为大多数局域网都是基于W i n d o w s平台的。在W indows环境下的局域网 (网络底层的支持协议为以太网, 上层使用的是TCP/IP协议) 对网络中传输的数据进行截取, 获得在网络底层传输的以太帧格式数据;然后对获得的以太帧进TCP/IP协议的解析, 主要分析以下几种协议的数据:IP数据报、ICMP数据报以及T C P协议的报文段。对它们的目的地址及源地址和端口进行分析, 并将结果输出到用户指定的文件和屏幕上。数据环境配置方面, 需要一台或一台以上的Windows工作站 (具有至少一块Ether网卡) , 若干台工作在TCP/IP协议下的主机, 组成一个小型工作在同一网段的局域网, 或者该局域网可以通过网关或路由跟外部网络建立连接。

3.2 用户需求

根据对网络数据环境的分析, 局域网类型探测系统的用户主要分为以下两种。

一种是专业网站管理中心。网站管理中心进行正常的网络管理:网络管理员为了更好的维护网络的正常工作, 对网络类型进行及时的探测, 并用于诊断网络故障。

另一种是非专业小型局域网的用户。由于局域网的规模不大, 一个公司没有必要购买昂贵的商业软件或硬件产品。借助于局域网类型探测系统就可以解决网络管理中可能会出现的问题。

3.3 系统概要设计

该网络类型探测系统实现的主要功能可以概括为以下几点: (1) 首先根据设置的过滤条件对经过主机的网络数据包进行截获, 实现抓取敏感数据包的目的。 (2) 然后把截获的数据包暂时保存在用户指定的文件中。 (3) 加载在上一步中保存的数据包到软件, 根据ARP协议及TCP/IP协议中各数据包的格式对加载的数据包进行包分析, 获得数据包的长度、发送的源IP地址、目的IP地址以及发送时间等相关信息。 (4) 对获得的报头中源IP地址、目的1P地址、源端口、目的端口等信息显示并保存到用户指定的文件中, 以实现将来对相关内容的分析, 由此可以判定该局域网是何种类型 (共享式还是交换式局域网) 。

随着Internet的飞速发展, 网络带宽的不断增大, 网络上数据流量越来越大, 因此, 对网络类型进行探测的要求也越来越高。提高网络类型探测系统的性能是使其适应现代及未来网络环境的必然要求。网络类型探测系统主要是通过捕获网络上的链路数据报, 再分析其内容, 从而检测其类型是共享式网络类型还是交换式网络类型。在整个探测过程中, 也实现了对网络的状态、数据流动情况的检测、并在需要的时候由相应组件做出适当的响应, 或者暂时将违规者的IP地址过滤掉。

摘要：随着计算机网络技术的发展, 网络规模不断扩大, 网络中节点的类型和节点之间的互连技术多种多样, 这使得网络的拓扑结构日益复杂, 而且处于不断的变化之中, 网络本身的安全性问题日益突出。

关键词：局域网,探测,技术

参考文献

[1] 吴莹, 彭丽芳.Windows下开发网络嗅探器程序[J].微处理机, 2002, 5 (2) :32～33.

[2] 王小刚.基于WinPcap系统的网络截包程序的开发应用[J].常州信息职业技术学院学报, 2003, 6, 2 (2) :43～46.

[3] 赵新辉, 李祥.捕获网络数据包的方法[J].计算机应用研究, 2004 (8) :242～255.