計算機局域網探測技術的研究與實現

張秉興

[摘要]隨著計算機網絡技術的發展，網絡規模不斷擴大，網絡中節點的類型和節點之間的互連技術多種多樣，這使得網絡的拓撲結構日益復雜，而且處于不斷的變化之中，網絡本身的安全性問題日益突出。局域網類型探測已作為網絡安全研究的一項重要內容。在局域網中，傳統的網絡探測技術緊密依賴SNMP協議，而SNMP協議本身就存在著技術上的缺陷，導致傳統的網絡探測技術存在較大的局限性。

[關鍵詞]計算機局域網探測

中圖分類號：TP3文獻標識碼：A文章編號：1671—7597(2009)1020077--02

網絡類型探測是依靠計算機軟件和程序自動確定網絡中各元素相互之間的動態關系，其中網絡元素是指網絡中的路由器(底層網關)、交換機、網關(高層網關)，還有子網、網橋、Hub、主機。確定網絡類型時，首先要分析網絡拓撲結構時，常把網絡中的路由器、子網、主機、交換機等設備抽象成為一個點。把連接這些設各的信道抽象成兩點之間的邊，這樣網絡拓撲就抽象成一個圖。網絡中有主干網、局域網、子網等，其使用的互連設備不同。而局域網多是由路由器一路由器連接或路由器一子網連接。而子網一般是不同結構的LAN網，子網內多是主機。所以，針對不同規模的局域網，所需拓撲信息的詳略，探測速度的快慢，探測開銷的大小，而設計不同的探測算法。

一、計算機局域網類型探測的基本技術

(一)ARP協議

地址解析協議(ARP)實現IP地址和物理地址(MAC)之間的映射。所有網絡設備的以太網接口都支持ARP協議，并且在本機維持著該接口的ARP地址緩存表(ARP緩存)，ARP表中的網絡設各地址都是晟近活動過的有效IP地址與其MAC地址的對應關系。網絡拓撲探測中，根據路由器或交換機的ARP緩存，可以獲得與其以太網端口相連的以太局域網中的網絡設備。由于ARP緩存是動態刷新的，路由器或交換機中無法包括網絡中實際存在的所有網絡設備的信息，所以在網絡拓撲探測中通過ARP緩存獲取的網絡拓撲是不完整的，但它可以作為進一步拓撲探測的有效節點集合。當某主機要向局域網中另一臺主機發送IP數據時，它首先根據目的主機的IP地址在ARP高速緩存中查詢相應的局域網地址，ARP高速緩存是主機維護的一個IP地址到相應局域網地址的映射表。如果查到匹配的結點，則相應的局域網地址被寫入局域網幀首部，數據報被加入到輸出隊列等候發送。如果查詢失敗，ARP會先保留待發送的IP數據報，然后廣播一個詢問目的主機硬件地址的ARP報文，等收到回答后再將IP數據報發送出去。

ARPI作時分為四種情況：

1、發送端是主機，希望將分組發送給同一網絡上的另一主機。在這種情況下，數據報首部中的邏輯地址即目的IP地址必須映射為物理地址。

2、發送端是主機，希望將分組發送給另一個網絡上的另一個主機。在這種情況下，這個主機要查找它的路由表，要找出到這個目的端的下一跳(路由器)的IP地址。若這個主機沒有路由表，它就要查找默認路由器的IP地址。這個路由器的IP地址就是必須映射為物理地址的那個邏輯地址。

3、發送端是路由器，它已收到了數據報，該數據報要發送給另一個網絡上的主機。它先檢查它的路由表，找出下一個路由器的IP地址。這個IP地址就是必須映射為物理地址的那個邏輯地址。

4、發送端是路由器，它已收到了數據報，該數據報要發送給同一網絡上的一個主機，數據報的目的IP就是必須映射為物理地址的那個邏輯地址。

(二)ARP欺騙技術

ARP欺騙技術是利用ARP協議的漏洞來實現的。ARP協議雖然是一個高效的數據鏈路層協議，但是在局域網中，它的工作基礎是各主機相互信任，這就為網絡監聽提供了機會。在設計ARP協議時，為了減少網絡上過多的ARP數據通信，對一臺主機來說，即使收到的ARP應答并非因自己請求而得到的，它也會將其插入到自己的ARP地址轉換表中，ARP欺騙技術正是利用這一漏洞來實現的。當同一網段內的兩臺主機之間的通信時，會分別給這兩臺主機發送一個ARP應答包，讓兩臺主機都把第三方誤認為是對方，這樣，雙方看似直接地實施了通信連接，而實際上中間夾著其他主機(也稱為監聽主機)。此時，監聽主機不僅可以完成監聽，而且監聽者還可以隨意更改數據包中的某些信息，并成功完成數據包轉發。具體來說，ARP欺騙是向被欺騙主機發送ARP REPLY數據包，把數據包中的源IP地址改成被欺騙主機IP地址，源MAC地址還是自己的MAC地址。假設被欺騙主機A，B，欺騙主機c發送一個ARPREPLY數據報給A，其中源IP地址為B的IP地址，源MAC地址為c的機器的MAC地址，那么A發送到B的數據報就發到c的機器上了，同樣對B做相同到操作，那么A和B之間的數據就會源源不斷的通過c的機器轉發，直到一個正常的ARP包更改了A，B的ARP緩存為止。

(三)Ping探測工具

Ping程序是對兩個TCP／IP系統連通性進行測試的基本工具，它只利用ICMP回顯請求和回顯應答報文。Ping程序的原理是任何支持TCP?IP的設各在收到一個回顯請求報文的時候，都會返回一個回顯應答報文，請求報文和應答報文的格式相同。應答報文可以簡單的從請求報文中導出，方法是將IP報文中的源地址和目的地址交換，將類型ECHO換成ECHO—REPLAY，將請求報文里收到的數據作為應答報文中的數據，然后重新計算出新的IP值以及校驗和，便得到了正確的回顯應答報文。若發送方能夠收到正確的應答報文，則報告目的主機運行正常，并計算出發送請求與接收應答報文之間的時間差作為一次交互通信所花費的時間。大多數Ping程序都提供了一個R選項，其功能是記錄路由的功能。它使得Ping程序在發送出去的IP數據包中設置的IPRR選項。這樣每個處理該數據包的路由器都把它的IP地址放入選項字段中，當數據包到達目的端時，IP地址清單應該復制到ICMP回顯應答中，這樣返回途中所經過的路由器地址也被加入到清單中。當Ping程序收到回顯應答時，它就得到了這份IP地址清單，清單中記錄IP地址為路由器轉發報文的出口的IP地址。

(四)Tranceroute探測工具

Traceroute檢測并記錄到達某個指定網絡目標的路徑。它使用ICMP報文和IP首部的TTL字段，并試圖從沿路由到達目標的每個主機處獲得一個ICMP的TIME—EXCEEDED消息。隨著試圖連接目標的一個不可達端口，將導致沿路每個路由器在丟棄UDP數據報時都返回一個ICMP超時報文。其工作過程描述如下：

1、發送40字節的UDP報文(TTL=I)至探測目標點：2、第一個接收該報文的路由器丟棄該報文，發送ICMP超時報文至源節點：3、源節點接收IcMP超時報文，并記下超時報文的發源地，將它作為通向探測目標點的第

一站路由器；4、再次發送40字節的UDP報文(TTL=2)至探測目標點：5、第二個接收該報文的路由器丟棄該報文，發送ICMP超時報文至源節點：6、源節點接收該超時報文，并記下超時報文的發源地，將它作為通向探測目標點的第二站路由器；7、TTL每次加1，重復上述步驟，直至目標點有回應，或者未成功到達目標點但己經過了最大跳數。如果報文到達目標點，則會有ICMP超時報文發送至源節點(因為報文的目的端口對于TCP／IP系統來說正常情況下是不使用的)。源節點根據ICMP超時報文來判別與目標點的連接是否成功。

二、計算機局域網類型探測系統的實現

(一)需求分析

1、工作環境的建立。為對該系統從需求到設計有一個全面、清晰的認識，需對該系統做一個全面、深入的研究，進而對其工作的機制和性能有較好的評估。首先從系統的需求以及開發環境對軟件系統進行分析。開發基于Windows平臺下局域網網絡類型探測系統，網絡環境是很容易獲得的，因為大多數局域網都是基于Windows平臺的。在Windows環境下的局域網(網絡底層的支持協議為以太網，上層使用的是TCP／IP協議)對網絡中傳輸的數據進行截取，獲得在網絡底層傳輸的以太幀格式數據：然后對獲得的以太幀進TCP／IP協議的解析，主要分析以下幾種協議的數據：IP數據報、ICMP數據報以及TCP協議的報文段。對它們的目的地址及源地址和端口進行分析，并將結果輸出到用戶指定的文件和屏幕上。數據環境配置方面，需要一臺或一臺以上的WindowsI作站[具有至少一塊Ether網卡)，若干臺工作在TCP／IP協議下的主機。組成一個小型工作在同一網段的局域網，或者該局域網可以通過網關或路由跟外部網絡建立連接。本系統研究所要求的運行環境如下：

軟件環境：操作系統windows2000；底層驅動Winpcap3.0。winpcap(windows Packet Capture)是windows平臺下一個免費、公共的網絡訪問系統，是為Linux下的1ibpcap移植到windows平臺下實現數據包捕獲而設計的函數庫。硬件環境；網絡環境；一臺Pc機：一塊以太網網卡。

2、用戶需求。根據對網絡數據環境的分析，局域網類型探測系統的用戶主要分為以下兩種：一種是專業網站管理中心。網站管理中心進行正常的網絡管理：網絡管理員為了更好的維護網絡的正常工作。對網絡類型進行及時的探測，并用于診斷網絡故障。另一種是非專業小型局域網的用戶。由于局域網的規模不大，一個公司沒有必要購買昂貴的商業軟件或硬件產品。借助于局域網類型探測系統就可以解決網絡管理中可能會出現的問題。

(二)系統概要設計

1、功能設計。該網絡類型探測系統實現的主要功能可以概括為以下幾點：

(1)首先根據設置的過濾條件對經過主機的網絡數據包進行截獲，實現抓取敏感數據包的目的。

(2)然后把截獲的數據包暫時保存在用戶指定的文件中。

(3)加載在上一步中保存的數據包到軟件，根據ARP協議及TcP／IP協議中各數據包的格式對加載的數據包進行包分析，獲得數據包的長度、發送的源IP地址、目的IP地址以及發送時間等相關信息。

(4)對獲得的報頭中源IP地址、目的lP地址、源端口、目的端口等信息顯示并保存到用戶指定的文件中，以實現將來對相關內容的分析，由此可以判定該局域網是何種類型(共享式還是交換式局域網)。

2、模塊設計。根據系統所需要實現的功能，將系統劃分為以下幾個主要模塊：初始化模塊。過濾模塊，數據報截獲模塊，協議分析模塊，存儲、判定類型模塊。

初始化模塊：初始化模塊主要的功能是獲得主機上可用的網絡設備，根據用戶的選擇，成對用戶選擇的網卡的混雜工作模式的設置：并且完成WinPcap的初始化以及啟動工作。數據包截獲的一系列準備工作都在這個模塊中完成。

過濾模塊；過濾模塊主要是實現過濾條件的設置。在此設置的過濾條件在下面數據報截獲模塊中發揮著重要作用。正是因為本模塊設置的過濾條件，所以才會實現捕獲敏感數據包或是用戶感興趣數據包的功能，而不是將網上經過本機所有的數據包都抓取并保存到文件中。設置過濾條件在一定程度上也降低了丟包的可能性。

數據報截獲模塊：該模塊的功能是根據設置的過濾條件截獲數據包。并將其存放到用戶指定的文件中。

協議分析模塊：協議分析模塊的功能主要是從用戶指定的文件中加載截獲的數據包，并根據ARP協議及TCP／IP協議中各個數據包的格式對以上加載的數據包進行解析，獲得數據包的發送地址，目的地址，發送時間，源端口號、目的端口號等等。其中這里主要實現了對數據包的分析，為判定局域網類型提供信息保證。

存儲、判定類型模塊：根據上一個模塊分析所得的IP地址、端口等各項信息內容判定局域網類型，并按照規定的格式寫到用戶指定的文件中。這樣劃分模塊的目的是更好的滿足用戶的需求同時便于后期程序的編程實現。通過對各模塊的設計利于在后期的實現過程中對各個功能的把握，這樣能更優的實現網絡數據包的過濾和截獲，協議分析，以及數據的輸出和網絡類型的判定。

(三)系統性能分析

隨著Internet的飛速發展，網絡帶寬的不斷增大，網絡上數據流量越來越大，因此，對網絡類型進行探測的要求也越來越高。提高網絡類型探測系統的性能是使其適應現代及未來網絡環境的必然要求。網絡類型探測系統主要是通過捕獲網絡上的鏈路數據報，再分析其內容，從而檢測其類型是共享式網絡類型還是交換式網絡類型。在整個探測過程中，也實現了對網絡的狀態、數據流動情況的檢測、并在需要的時候由相應組件做出適當的響應，或者暫時將違規者的IP地址過濾掉。

三、結束話

局域網的廣播機制和網卡的特定的混雜工作模式決定了網絡數據捕獲的可能性，同時可以采取調用API函數庫的方式來完成底層的功能和驅動來實現有關網絡數據捕獲和分析系統的編程，這樣可以很大的簡化編程過程，提高編程的效率也能提高程序本身的健壯性。