TTL字段分析在網(wǎng)絡(luò)管理中的運(yùn)用
2011-12-31 00:00:00韓大江
中國管理信息化 2011年14期
[摘要] 在網(wǎng)絡(luò)管理中,捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包,并對(duì)其進(jìn)行分析是查找和解決網(wǎng)絡(luò)故障的一個(gè)主要的辦法。在這個(gè)辦法中,對(duì)數(shù)據(jù)包的TTL字段進(jìn)行判斷和分析會(huì)提高網(wǎng)絡(luò)管理人員判斷和解決問題的速度。本文對(duì)幾種典型的網(wǎng)絡(luò)問題,通過TTL字段進(jìn)行分析,得到解決問題的辦法。網(wǎng)絡(luò)管理人員在實(shí)際工作中靈活運(yùn)用數(shù)據(jù)包的TTL字段進(jìn)行網(wǎng)絡(luò)故障分析,可以有效提高網(wǎng)絡(luò)管理的水平。
[關(guān)鍵詞] 網(wǎng)絡(luò); 數(shù)據(jù)包; TTL; 分析
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 14. 044
[中圖分類號(hào)]TP393.07 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673 - 0194(2011)14- 0075- 02
1前言
網(wǎng)絡(luò)中的數(shù)據(jù)傳輸都是由數(shù)據(jù)包來承載的,而每個(gè)數(shù)據(jù)包都有一個(gè)TTL值。通過分析TTL值,可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)拓?fù)渥兓墓芾恚l(fā)現(xiàn)網(wǎng)絡(luò)病毒或木馬,以及查找網(wǎng)絡(luò)攻擊源等,從而提高網(wǎng)絡(luò)的質(zhì)量,降低網(wǎng)管的工作強(qiáng)度,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的精細(xì)管理。
2TTL字段介紹
TTL(time to live)生存時(shí)間字段設(shè)置了IP數(shù)據(jù)報(bào)能夠經(jīng)過的最大的路由器數(shù),TTL 字段是由發(fā)送端初始設(shè)置的,每個(gè)處理該數(shù)據(jù)報(bào)的路由器都需要將其TTL 值減1,當(dāng)路由器收到一個(gè)TTL值為0的數(shù)據(jù)報(bào)時(shí),路由器會(huì)將其丟棄。TTL字段的目的是防止數(shù)據(jù)報(bào)在選路時(shí)無休止地在網(wǎng)絡(luò)中流動(dòng)。例如,當(dāng)路由器癱瘓或者兩個(gè)路由器之間的連接丟失時(shí),可能會(huì)造成路由環(huán)路,而路由器可能根據(jù)其路由表將該數(shù)據(jù)報(bào)一直循環(huán)轉(zhuǎn)發(fā)下去。這種情況下,就需要一種機(jī)制來給這些循環(huán)傳遞的數(shù)據(jù)報(bào)上加上一個(gè)生存上限,TTL字段正是實(shí)現(xiàn)這種機(jī)制的手段。TTL字段在IP頭部的位置如圖1所示。
從圖1可知,TTL字段占了8位(bit),那么最大的TTL值為255。
3TTL字段在網(wǎng)絡(luò)管理中的運(yùn)用
3.1通過TTL字段識(shí)別操作系統(tǒng)
操作系統(tǒng)和傳輸協(xié)議不同,其TTL字段的值也不同,可以根據(jù)IP數(shù)據(jù)報(bào)的TTL字段來大體識(shí)別相應(yīng)的操作系統(tǒng)。表1為各種操作系統(tǒng)在傳輸TCP和UDP時(shí)默認(rèn)使用的TTL 值。
在網(wǎng)絡(luò)維護(hù)和分析的過程中,網(wǎng)絡(luò)管理員可以利用這個(gè)特性,通過異常數(shù)據(jù)包的TTL值來簡單判斷異常主機(jī)的操作系統(tǒng),從而縮小故障定位范圍,提高故障解決的效率。
3.2通過TTL字段發(fā)現(xiàn)路由環(huán)路
前面在介紹TTL字段時(shí),已經(jīng)說明TTL字段的功能主要是為了防止路由環(huán)路情況的出現(xiàn)。當(dāng)網(wǎng)絡(luò)出現(xiàn)路由環(huán)路時(shí),IP數(shù)據(jù)報(bào)會(huì)在路由環(huán)路間不斷循環(huán)轉(zhuǎn)發(fā)最終使其TTL值遞減為0,網(wǎng)絡(luò)管理人員可以利用路由環(huán)路的這個(gè)特性和TTL字段的值來定位路由環(huán)路。
在網(wǎng)絡(luò)分析過程中,如果發(fā)現(xiàn)TTL=1的IP數(shù)據(jù)包(多播報(bào)文除外)時(shí),就需要關(guān)注是否存在網(wǎng)絡(luò)路由環(huán)路。網(wǎng)絡(luò)管理人員可以結(jié)合IP數(shù)據(jù)報(bào)的標(biāo)識(shí)字段,快速定位網(wǎng)絡(luò)中存在的路由環(huán)路。
3.3通過TTL字段檢測是否經(jīng)過了路由設(shè)備
當(dāng)IP數(shù)據(jù)報(bào)經(jīng)過路由設(shè)備時(shí),該路由設(shè)備在轉(zhuǎn)發(fā)時(shí)一般會(huì)將其TTL字段的值減1。因此可以根據(jù)這一特點(diǎn),分析數(shù)據(jù)包的TTL字段的值來判斷該數(shù)據(jù)包是否已經(jīng)經(jīng)過路由設(shè)備。這在實(shí)際網(wǎng)絡(luò)分析過程中似乎用處不大,但是在一些特殊的網(wǎng)絡(luò)管理情況下,網(wǎng)絡(luò)管理人員需要知道某些數(shù)據(jù)包是否經(jīng)過了路由設(shè)備。例如,在一個(gè)對(duì)網(wǎng)絡(luò)訪問限制較為嚴(yán)格的網(wǎng)絡(luò)環(huán)境中,網(wǎng)絡(luò)管理人員不希望有人利用訪問權(quán)限較大的合法IP地址做NAT地址轉(zhuǎn)換,間接訪問受限的網(wǎng)絡(luò)資源。因?yàn)檫@樣的事情一旦發(fā)生,很可能會(huì)帶來嚴(yán)重的網(wǎng)絡(luò)安全問題。在這種情況下,就可以在網(wǎng)絡(luò)中部署相關(guān)網(wǎng)絡(luò)監(jiān)控軟件,對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行捕獲,通過查看數(shù)據(jù)包的TTL字段的值來判斷網(wǎng)絡(luò)中是否存在NAT設(shè)備,從而定位出利用路由設(shè)備進(jìn)行越權(quán)訪問的主機(jī)。這種方法也是電信運(yùn)營商所使用的ADSL多用戶檢測技術(shù)之一。
3.4通過TTL字段檢測數(shù)據(jù)包的不對(duì)稱路由
IP協(xié)議是不可靠的協(xié)議,它不能保證數(shù)據(jù)包在傳輸?shù)倪^程中不會(huì)丟失、失序,而IP協(xié)議的選路功能可以讓同一連接的數(shù)據(jù)包通過不同的路徑進(jìn)行轉(zhuǎn)發(fā)。這種特性提高了IP數(shù)據(jù)包的轉(zhuǎn)發(fā)效率,但有時(shí)也會(huì)帶來不必要的麻煩。例如,在使用基于狀態(tài)檢測的防火墻環(huán)境中,如果在TCP連接建立階段的三次握手報(bào)文經(jīng)過不同的路徑轉(zhuǎn)發(fā),那么很可能導(dǎo)致TCP應(yīng)用異常(由于防火墻沒有收到完整的TCP三次握手的數(shù)據(jù)包,因此無法正常建立TCP狀態(tài)表),如圖2所示。
在這種情況下,可以通過在客戶端與服務(wù)器端同時(shí)抓包,分析數(shù)據(jù)包的TTL字段的值來確定客戶端與服務(wù)器端在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)經(jīng)過的路由跳數(shù)是否一致,從而判斷數(shù)據(jù)包來回的路由路徑是否一致。
3.5通過TTL字段發(fā)現(xiàn)局域網(wǎng)內(nèi)中間人攻擊
局域網(wǎng)內(nèi)的中間人攻擊一般首先采用ARP欺騙的手段,讓局域網(wǎng)內(nèi)被攻擊主機(jī)的流量全部經(jīng)過實(shí)施攻擊的主機(jī),再由實(shí)施攻擊的主機(jī)將相關(guān)數(shù)據(jù)包轉(zhuǎn)發(fā)到網(wǎng)關(guān)設(shè)備上(實(shí)施攻擊的主機(jī)開啟路由轉(zhuǎn)發(fā)策略),從而使被攻擊主機(jī)的數(shù)據(jù)流都經(jīng)過實(shí)施攻擊的主機(jī)。這樣,實(shí)施攻擊的主機(jī)就可以抓取相應(yīng)的數(shù)據(jù)包,收集相應(yīng)的敏感信息了(用戶名和密碼)。一般的中間人攻擊(特別是有意的攻擊)其在流量不大的情況下很難被用戶發(fā)現(xiàn)。因?yàn)閷?duì)用戶的網(wǎng)絡(luò)訪問影響很小,用戶基本上感覺不到“中間人”的存在。實(shí)施這種攻擊的工具比較多(如Windows系統(tǒng)下最著名攻擊軟件Cain)。有時(shí)候在不具備抓包環(huán)境的交換網(wǎng)絡(luò)中,網(wǎng)絡(luò)管理人員可以通過中間人攻擊的方式抓取全網(wǎng)的數(shù)據(jù)包。局域網(wǎng)中間人攻擊示意圖如圖3所示。
局域網(wǎng)中間人攻擊的行為特征:首先需要進(jìn)行ARP欺騙(具有ARP欺騙的一切特征);其次需要經(jīng)過攻擊主機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)包;攻擊主機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)包后需要發(fā)送ICMP重定向數(shù)據(jù)包給被攻擊主機(jī)。
通過上面3個(gè)網(wǎng)絡(luò)行為特征,可以很容易地定位一個(gè)局域網(wǎng)中間人攻擊行為。但是,如果只看ARP欺騙行為的話,并沒有辦法定位到底是不是一個(gè)局域網(wǎng)中間人攻擊行為,而ICMP重定向包在實(shí)施有意的中間人攻擊時(shí),“中間人”一般會(huì)使用本機(jī)防火墻過濾ICMP重定向包,在網(wǎng)絡(luò)中就不會(huì)看到ICMP重定向數(shù)據(jù)包了。在這種情況下,網(wǎng)絡(luò)管理人員可以通過數(shù)據(jù)包的TTL字段的值來判斷是否發(fā)生中間人攻擊。最簡單的方法就是PING網(wǎng)關(guān)地址,根據(jù)PING命令返回的TTL值來判斷是否是當(dāng)前的正確的網(wǎng)關(guān)。
3.6發(fā)現(xiàn)IDS 等旁路部署的安全設(shè)備的阻斷行為
目前在網(wǎng)絡(luò)中存在大量的安全設(shè)備,有些安全設(shè)備是旁路部署的,如IDS、網(wǎng)絡(luò)行為管理系統(tǒng)等。這些安全設(shè)備通過交換機(jī)的端口鏡像(或其他方式)收集網(wǎng)絡(luò)中的數(shù)據(jù)包,再通過對(duì)數(shù)據(jù)包的重組和分析,完成對(duì)網(wǎng)絡(luò)主機(jī)相關(guān)網(wǎng)絡(luò)行為的檢測和審計(jì)。同時(shí)也可以根據(jù)網(wǎng)絡(luò)管理員設(shè)置的安全策略,管理控制相關(guān)主機(jī)的網(wǎng)絡(luò)訪問行為。一般針對(duì)基于TCP的應(yīng)用,其主要通過向客戶端和服務(wù)器端發(fā)送TCP RESET數(shù)據(jù)包來阻斷非授權(quán)TCP應(yīng)用,針對(duì)基于UDP應(yīng)用則發(fā)送ICMP端口不可達(dá)報(bào)文來阻斷非授權(quán)的UDP應(yīng)用。在這種情況下,可以通過抓取數(shù)據(jù)包,查看相應(yīng)數(shù)據(jù)包的TTL字段的值來確認(rèn)這種情況的存在。
4特殊情況說明
(1) 有些NAT設(shè)備在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí),不會(huì)將TTL字段的值減1,這與具體設(shè)備的實(shí)現(xiàn)有關(guān)。
(2) TTL 值是可以人工修改的。在Windows 環(huán)境下可以通過修改注冊表來實(shí)現(xiàn)對(duì)系統(tǒng)TTL 值的設(shè)置,具體方法如下:在Windows注冊表中,按照下面的路徑找到defaultTTL(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters),雙擊其修改即可。
(3) 很多組播應(yīng)用為將多播數(shù)據(jù)限制在一個(gè)局域網(wǎng)內(nèi)會(huì)將其TTL值設(shè)為1。還有些特殊的局域網(wǎng)應(yīng)用考慮到信息的安全性,不希望將其跨路由傳輸?shù)骄钟蚓W(wǎng)以外的網(wǎng)絡(luò),可能會(huì)將其TTL設(shè)置為1。
(4) 路由設(shè)備在收到TTL為0或1的數(shù)據(jù)包時(shí),路由是不會(huì)轉(zhuǎn)發(fā)這個(gè)數(shù)據(jù)包的,主機(jī)如果收到TTL為0或1的數(shù)據(jù)包則提交給上層應(yīng)用程序處理。
5結(jié)語
數(shù)據(jù)包的TTL字段在實(shí)際的網(wǎng)絡(luò)分析中有著非常多的應(yīng)用。網(wǎng)絡(luò)管理人員只要深入理解了TTL字段的本質(zhì),靈活運(yùn)用,就可以在網(wǎng)絡(luò)維護(hù)工作中運(yùn)用其來定位故障或發(fā)現(xiàn)異常,給網(wǎng)絡(luò)管理帶來極大的方便。
主要參考文獻(xiàn)
[1] [美]W·R·史蒂文斯(Richard Stevens). TCP/IP詳解[M]. 范建華,譯. 北京:機(jī)械工業(yè)出版社,2000:200-210.
[2] Peng T,Leckie C,Kotagiri R. Adjusted Probabilistic Packet Making for IP Traceback[C] // Proceeding of the 2nd IFIP Networking Conference(Networking 2002),Pisa,Italy,2002:697.
注:本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文
