网络管理.docx
- 文档编号:27100046
- 上传时间:2023-06-27
- 格式:DOCX
- 页数:25
- 大小:175.96KB
网络管理.docx
《网络管理.docx》由会员分享,可在线阅读,更多相关《网络管理.docx(25页珍藏版)》请在冰豆网上搜索。
网络管理
网络管理之网关篇
·2005-09-1311:
29:
30·来源:
中国电脑教育报
大家都知道,从一个房间走到另一个房间,必然要经过一扇门。
同样,从一个网络向另一个网络发送信息,也必须经过一道“关口”,这道关口就是网关。
什么是网关
顾名思义,网关(Gateway)就是一个网络连接到另一个网络的“关口”。
按照不同的分类标准,网关也有很多种。
TCP/IP协议里的网关是最常用的,在这里我们所讲的“网关”均指TCP/IP协议下的网关。
那么网关到底是什么呢?
网关实质上是一个网络通向其他网络的IP地址。
比如有网络A和网络B,网络A的IP地址范围为“192.168.1.1~192.168.1.254”,子网掩码为255.255.255.0;网络B的IP地址范围为“192.168.2.1~192.168.2.254”,子网掩码为255.255.255.0。
在没有路由器的情况下,两个网络之间是不能进行TCP/IP通信的,即使是两个网络连接在同一台交换机(或集线器)上,TCP/IP协议也会根据子网掩码(255.255.255.0)判定两个网络中的主机处在不同的网络里。
而要实现这两个网络之间的通信,则必须通过网关。
如果网络A中的主机发现数据包的目的主机不在本地网络中,就把数据包转发给它自己的网关,再由网关转发给网络B的网关,网络B的网关再转发给网络B的某个主机(如附图所示)。
网络B向网络A转发数据包的过程也是如此。
所以说,只有设置好网关的IP地址,TCP/IP协议才能实现不同网络之间的相互通信。
那么这个IP地址是哪台机器的IP地址呢?
网关的IP地址是具有路由功能的设备的IP地址,具有路由功能的设备有路由器、启用了路由协议的服务器(实质上相当于一台路由器)、代理服务器(也相当于一台路由器)。
什么是默认网关
如果搞清了什么是网关,默认网关也就好理解了。
就好像一个房间可以有多扇门一样,一台主机可以有多个网关。
默认网关的意思是一台主机如果找不到可用的网关,就把数据包发给默认指定的网关,由这个网关来处理数据包。
现在主机使用的网关,一般指的是默认网关。
如何设置默认网关
一台电脑的默认网关是不可以随随便便指定的,必须正确地指定,否则一台电脑就会将数据包发给不是网关的电脑,从而无法与其他网络的电脑通信。
默认网关的设定有手动设置和自动设置两种方式。
1.手动设置
手动设置适用于电脑数量比较少、TCP/IP参数基本不变的情况,比如只有几台到十几台电脑。
因为这种方法需要在联入网络的每台电脑上设置“默认网关”,非常费劲,一旦因为迁移等原因导致必须修改默认网关的IP地址,就会给网管带来很大的麻烦,所以不推荐使用。
在Windows9x中,设置默认网关的方法是在“网上邻居”上右击,在弹出的菜单中点击“属性”,在网络属性对话框中选择“TCP/IP协议”,点击“属性”,在“默认网关”选项卡中填写新的默认网关的IP地址就可以了。
需要特别注意的是:
默认网关必须是电脑自己所在的网段中的IP地址,而不能填写其他网段中的IP地址。
2.自动设置
自动设置就是利用DHCP服务器来自动给网络中的电脑分配IP地址、子网掩码和默认网关。
这样做的好处是一旦网络的默认网关发生了变化时,只要更改了DHCP服务器中默认网关的设置,那么网络中所有的电脑均获得了新的默认网关的IP地址。
这种方法适用于网络规模较大、TCP/IP参数有可能变动的网络。
另外一种自动获得网关的办法是通过安装代理服务器软件(如MSProxy)的客户端程序来自动获得,其原理和方法和DHCP有相似之处。
由于篇幅所限,就不再详述了。
网络管理之TCP/UDP篇
·2005-09-1311:
37:
57·来源:
中国电脑教育报
我们学习过什么是“数据包”。
理解数据包,对于网络管理的网络安全具有至关重要的意义。
比如,防火墙的作用本质就是检测网络中的数据包,判断其是否违反了预先设置的规则,如果违反就加以阻止。
图1就是瑞星个人版防火墙软件设置规则的界面。
细心的读者会发现,图1中的“协议”栏中有“TCP”、“UDP”等名词,它们是什么意思呢?
现在我们就来讲讲什么是TCP和UDP。
面向连接的TCP
“面向连接”就是在正式通信前必须要与对方建立起连接。
比如你给别人打电话,必须等线路接通了、对方拿起话筒才能相互通话。
图1
TCP(TransmissionControlProtocol,传输控制协议)是基于连接的协议,也就是说,在正式收发数据前,必须和对方建立可靠的连接。
一个TCP连接必须要经过三次“对话”才能建立起来,其中的过程非常复杂,我们这里只做简单、形象的介绍,你只要做到能够理解这个过程即可。
我们来看看这三次对话的简单过程:
主机A向主机B发出连接请求数据包:
“我想给你发数据,可以吗?
”,这是第一次对话;主机B向主机A发送同意连接和要求同步(同步就是两台主机一个在发送,一个在接收,协调工作)的数据包:
“可以,你什么时候发?
”,这是第二次对话;主机A再发出一个数据包确认主机B的要求同步:
“我现在就发,你接着吧!
”,这是第三次对话。
三次“对话”的目的是使数据包的发送和接收同步,经过三次“对话”之后,主机A才向主机B正式发送数据。
TCP协议能为应用程序提供可靠的通信连接,使一台计算机发出的字节流无差错地发往网络上的其他计算机,对可靠性要求高的数据通信系统往往使用TCP协议传输数据。
图2
我们来做一个实验,用计算机A(安装Windows2000Server操作系统)从“网上邻居”上的一台计算机B拷贝大小为8,644,608字节的文件,通过状态栏右下角网卡的发送和接收指标就会发现:
虽然是数据流是由计算机B流向计算机A,但是计算机A仍发送了3,456个数据包,如图2所示。
这些数据包是怎样产生的呢?
因为文件传输时使用了TCP/IP协议,更确切地说是使用了面向连接的TCP协议,计算机A接收数据包的时候,要向计算机B回发数据包,所以也产生了一些通信量。
图3
如果事先用网络监视器监视网络流量,就会发现由此产生的数据流量是9,478,819字节,比文件大小多出10.96%(如图3所示),原因不仅在于数据包和帧本身占用了一些空间,而且也在于TCP协议面向连接的特性导致了一些额外的通信量的产生。
面向非连接的UDP协议
“面向非连接”就是在正式通信前不必与对方先建立连接,不管对方状态就直接发送。
这与现在风行的手机短信非常相似:
你在发短信的时候,只需要输入对方手机号就OK了。
UDP(UserDataProtocol,用户数据报协议)是与TCP相对应的协议。
它是面向非连接的协议,它不与对方建立连接,而是直接就把数据包发送过去!
图4
UDP适用于一次只传送少量数据、对可靠性要求不高的应用环境。
比如,我们经常使用“ping”命令来测试两台主机之间TCP/IP通信是否正常,其实“ping”命令的原理就是向对方主机发送UDP数据包,然后对方主机确认收到数据包,如果数据包是否到达的消息及时反馈回来,那么网络就是通的。
例如,在默认状态下,一次“ping”操作发送4个数据包(如图2所示)。
大家可以看到,发送的数据包数量是4包,收到的也是4包(因为对方主机收到后会发回一个确认收到的数据包)。
这充分说明了UDP协议是面向非连接的协议,没有建立连接的过程。
正因为UDP协议没有连接的过程,所以它的通信效果高;但也正因为如此,它的可靠性不如TCP协议高。
QQ就使用UDP发消息,因此有时会出现收不到消息的情况。
附表:
tcp协议和udp协议的差别
TCP协议和UDP协议各有所长、各有所短,适用于不同要求的通信环境。
TCP协议和UDP协议之间的差别如附表所示。
网络管理之ARP协议篇
·2005-09-1311:
40:
31·来源:
中国电脑教育报
我们知道,当我们在浏览器里面输入网址时,DNS服务器会自动把它解析为IP地址,浏览器实际上查找的是IP地址而不是网址。
那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?
在局域网中,这是通过ARP协议来完成的。
ARP协议对网络安全具有重要的意义。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
所以网管们应深入理解ARP协议。
一、什么是ARP协议
ARP协议是“AddressResolutionProtocol”(地址解析协议)的缩写。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢?
它就是通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
二、ARP协议的工作原理
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如附表所示。
附表
我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。
当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。
如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:
“192.168.1.1的MAC地址是什么?
”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:
“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。
这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。
同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。
ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
三、如何查看ARP缓存表
ARP缓存表是可以查看的,也可以添加和修改。
在命令提示符下,输入“arp-a”就可以查看ARP缓存表中的内容了,如附图所示。
用“arp-d”命令可以删除ARP表中某一行的内容;用“arp-s”可以手动在ARP表中指定IP地址与MAC地址的对应。
为您支招局域网内如何防止ARP欺骗
·2005-09-0916:
41:
27·来源:
blog.yesky
一、理论前提
本着“不冤枉好人,不放过一个坏人的原则”,先说说我的一些想法和理论依据。
首先,大家肯定发送ARP欺骗包肯定是一个恶毒的程序自动发送的,正常的TCP/IP网络是不会有这样的错误包发送的(板砖扔了过来啊,废话!
)。
这就假设,如果犯罪嫌疑人没有启动这个破坏程序的时候,网络环境是正常的,或者说网络的ARP环境是正常的,如果我们能在犯罪嫌疑人启动这个犯罪程序的第一时间,一开始就发现了他的犯罪活动,那么就是人赃俱在,不可抵赖了,因为刚才提到,前面网络正常的时候证据是可信和可依靠的。
好,接下来我们谈论如何在第一时间发现他的犯罪活动。
ARP欺骗的原理如下:
假设这样一个网络,一个Hub接了3台机器
HostAHostBHostC其中
A的地址为:
IP:
192.168.10.1MAC:
AA-AA-AA-AA-AA-AA
B的地址为:
IP:
192.168.10.2MAC:
BB-BB-BB-BB-BB-BB
C的地址为:
IP:
192.168.10.3MAC:
CC-CC-CC-CC-CC-CC
正常情况下C:
\arp-a
Interface:
192.168.10.1onInterface0x1000003
InternetAddressPhysicalAddressType
192.168.10.3CC-CC-CC-CC-CC-CCdynamic
现在假设HostB开始了罪恶的ARP欺骗:
B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。
当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。
而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DDmac地址,没有和犯罪分子B相关的证据,哈哈,这样犯罪分子岂不乐死了。
现在A机器的ARP缓存更新了:
C:
\>arp-a
Interface:
192.168.10.1onInterface0x1000003
InternetAddressPhysicalAddressType
192.168.10.3DD-DD-DD-DD-DD-DDdynamic
这可不是小事。
局域网的网络流通可不是根据IP地址进行,而是按照MAC地址进行传输。
现在192.168.10.3的MAC地址在A上被改变成一个本不存在的MAC地址。
现在A开始Ping192.168.10.3,网卡递交的MAC地址是DD-DD-DD-DD-DD-DD,结果是什么呢?
网络不通,A根本不能Ping通C!
!
所以,局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包,NND,严重的网络堵塞就开始了!
网吧管理员的噩梦开始了。
我的目标和任务,就是第一时间,抓住他。
不过从刚才的表述好像犯罪分子完美的利用了以太网的缺陷,掩盖了自己的罪行。
但其实,以上方法也有留下了蛛丝马迹。
尽管,ARP数据包没有留下HostB的地址,但是,承载这个ARP包的ethernet帧却包含了HostB的源地址。
而且,正常情况下ethernet数据帧中,帧头中的MAC源地址/目标地址应该和帧数据包中ARP信息配对,这样的ARP包才算是正确的。
如果不正确,肯定是假冒的包,可以提醒!
但如果匹配的话,也不一定代表正确,说不定伪造者也考虑到了这一步,而伪造出符合格式要求,但内容假冒的ARP数据包。
不过这样也没关系,只要网关这里拥有本网段所有MAC地址的网卡数据库,如果和Mac数据库中数据不匹配也是假冒的ARP数据包。
也能提醒犯罪分子动手了。
二、防范措施
1.建立DHCP服务器(建议建在网关上,因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,我们就是要让他先攻击网关,因为网关这里有监控程序的,网关地址建议选择192.168.10.2,把192.168.10.1留空,如果犯罪程序愚蠢的话让他去攻击空地址吧),另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。
一定要保持网内的机器IP/MAC一一对应的关系。
这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的。
2.建立MAC数据库,把网吧内所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案。
3.网关机器关闭ARP动态刷新的过程,使用静态路邮,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话,这样对网关也是没有用的,确保主机安全。
网关建立静态IP/MAC捆绑的方法是:
建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:
192.168.2.3208:
00:
4E:
B0:
24:
47
然后再/etc/rc.d/rc.local最后添加:
arp-f生效即可
4.网关监听网络安全。
网关上面使用TCPDUMP程序截取每个ARP程序包,弄一个脚本分析软件分析这些ARP协议。
ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:
第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。
或者,ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库MAC/IP不匹配。
这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。
5.偷偷摸摸的走到那台机器,看看使用人是否故意,还是被任放了什么木马程序陷害的。
如果后者,不声不响的找个借口支开他,拔掉网线(不关机,特别要看看Win98里的计划任务),看看机器的当前使用记录和运行情况,确定是否是在攻击。
出几点加强安全防范的措施。
环境是主机或者网关是基于Linux/BSD的。
网络管理之ICMP协议篇
·2005-09-1311:
44:
13·来源:
中国电脑教育报
对TCP/IP协议你一定非常熟悉,但是对ICMP协议你可能就一无所知了。
ICMP协议是一个非常重要的协议,它对于网络安全具有极其重要的意义。
下面我们就来谈谈ICMP协议。
什么是ICMP协议
ICMP是“InternetControlMessageProtocol”(Internet控制消息协议)的缩写。
它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。
控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。
这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
我们在网络中经常会使用到ICMP协议,只不过我们觉察不到而已。
比如我们经常使用的用于检查网络通不通的Ping命令,这个“Ping”的过程实际上就是ICMP协议工作的过程。
还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。
ICMP的重要性
ICMP协议对于网络安全具有极其重要的意义。
ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。
例如,在1999年8月海信集团“悬赏”50万元人民币测试防火墙的过程中,其防火墙遭受到的ICMP攻击达334050次之多,占整个攻击总数的90%以上!
可见,ICMP的重要性绝不可以忽视!
比如,可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定,向主机发起“PingofDeath”(死亡之Ping)攻击。
“PingofDeath”攻击的原理是:
如果ICMP数据包的尺寸超过64KB上限时,主机就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使主机死机。
此外,向目标主机长时间、连续、大量地发送ICMP数据包,也会最终使系统瘫痪。
大量的ICMP数据包会形成“ICMP风暴”,使得目标主机耗费大量的CPU资源处理,疲于奔命。
应对ICMP攻击
虽然ICMP协议给黑客以可乘之机,但是ICMP攻击也并非无药可医。
只要在日常网络管理中未雨绸缪,提前做好准备,就可以有效地避免ICMP攻击造成的损失。
对于“PingofDeath”攻击,可以采取两种方法进行防范:
第一种方法是在路由器上对ICMP数据包进行带宽限制,将ICMP占用的带宽控制在一定的范围内,这样即使有ICMP攻击,它所占用的带宽也是非常有限的,对整个网络的影响非常少;第二种方法就是在主机上设置ICMP数据包的处理规则,最好是设定拒绝所有的ICMP数据包。
设置ICMP数据包处理规则的方法也有两种,一种是在操作系统上设置包过滤,另一种是在主机上安装防火墙。
具体设置如下:
1.在Windows2000Server中设置ICMP过滤
Windows2000Server提供了“路由与远程访问”服务,但是默认情况下是没有启动的,因此首先要启动它:
点击“管理工具”中的“路由与远程访问”,启动设置向导。
在其中选择“手动配置服务器”项,点击[下一步]按钮。
稍等片刻后,系统会提示“路由和远程访问服务现在已被安装。
要开始服务吗?
”,点击[是]按钮启动服务。
服务启动后,在计算机名称的分支下会出现一个“IP路由选择”,点击它展开分支,再点击“常规”,会在右边出现服务器中的网络连接(即网卡)。
用鼠标右键点击你要配置的网络连接,在弹出的菜单中点击“属性”,会弹出一个网络连接属性的窗口,如图1所示。
图1
图1中有两个按钮,一个是“输入筛选器”(指对此服务器接受的数据包进行筛选),另一个是“输出筛选器”(指对此服务器发送的数据包进行筛选),这里应该点击[输入筛选器]按钮,会弹出一个“添加筛选器”窗口,再点击[添加]按钮,表示要增加一个筛选条件。
在“协议”右边的下拉列表中选择“ICMP”,在随后出现的“ICMP类型”和“ICMP编码”中均输入“255”,代表所有的ICMP类型及其编码。
ICMP有许多不同的类型(Ping就是一种类型),每种类型也有许多不同的状态,用不同的“编码”来表示。
因为其类型和编码很复杂,这里不再叙述。
点击[确定]按钮返回“输入筛选器”窗口,此时会发现“筛选器”列表中多了一项内容(如图2所示)。
点击[确定]按钮返回“本地连接”窗口,再点击[确定]按钮,此时筛选器就生效了,从其他计算机上Ping这台主机就不会成功了。
图2
2.用防火墙设置ICMP过滤
现在许多防火墙在默认情况下都启用了ICMP过滤的功能。
如果没有启用,只要选中“防御ICMP攻击”、“防止别人用ping命令探测”就可以了,如图3所示。
图3
通过以上讲解,你现在知道ICMP的重要性了吧?
赶紧给你的服务器设置ICMP过滤吧。
IEEE802.11b标准简析
·2005-09-1311:
46:
52·来源:
PConline
以往,无线局域网发展缓慢,推广应用困难,主要是由于传输速率低、成本高、产品系列有限,且很多产品不能相互兼容。
如以前无线局域网的速率只有1~2Mb/s,而许多应用也是根据10Mb/s以太网速率设计的,限制了无线产品的应用种类。
针对现在高速增长的数据业务和多媒体业务,无线局域网取得进展的关键就在于高速新标准的制定,以及基于该标准的10Mb/s甚至更高速率产品的出现。
IEEE802.11b从根本上改变了无线局域网的设计和应用现状,满足了人们在一定区域内实现不间断移动办公的需求,为我们创造了一个自由的空间。
一、802.11b标准简介
IEEE802.11b无线局域网的带宽最高可达11Mbps,比两年前刚批准的IEEE802.11标准快5倍,扩大了无线局域网的应用领域。
另外,也可根据实际情况采用5.5Mbps、2Mbps和1Mbps带宽,实际的工作速度在5Mb/s左右,与普通的10Base-T规格有线局域网几乎是处于同一水平。
作为公司内部的设施,可以基本满足使用要求。
IEEE802.11b使用的是开放的2.4GB频段,不需要申请就可使用。
既可作为对有线网络的补充,也可独立组网,从而使网络用户摆脱网线的束缚,实现真正意义上的移动应用。
IEEE802.11b无线局域网与我们熟悉的IEEE802.3以太网的原理很类似,都是采用载波侦听的方式来控制网络中信息的传送。
不同之处是以太网采用的是CSMA/CD(载波侦听/冲突检测)技术,网络上所有工作站都侦听网络中有无信息发送,当发现网络空闲时即发出自己的信息,如同抢答一样,只能有一台工作站抢到发言权,而其余工作站需要继续等待。
如果一旦有两台以上的工作站同
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 管理