Category: 网络管理

对于ARP欺骗，提出几点加强安全防范的措施。环境是主机或者网关是基于Linux/BSD的。

一、理论前提

本着“不冤枉好人，不放过一个坏人的原则”，先说说我的一些想法和理论依据。首先，大家肯定发送ARP欺骗包肯定是一个恶毒的程序自动发送的，正常的TCP/IP网络是不会有这样的错误包发送的。

这就假设，如果犯罪嫌疑人没有启动这个破坏程序的时候，网络环境是正常的，或者说网络的ARP环境是正常的，如果我们能在犯罪嫌疑人启动这个犯罪程序的第一时间，一开始就发现了他的犯罪活动，那么就是人赃俱在，不可抵赖了，因为刚才提到，前面网络正常的时候证据是可信和可依靠的。好，接下来我们谈论如何在第一时间发现他的犯罪活动。

ARP欺骗的原理如下:

假设这样一个网络，一个Hub接了3台机器

HostA HostB HostC 其中

A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

正常情况下 C:arp -a

Interface: 192.168.10.1 on Interface 0×1000003

Internet Address Physical Address Type

192.168.10.3 CC-CC-CC-CC-CC-CC dynamic

现在假设HostB开始了罪恶的ARP欺骗:

B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了)。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的，A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址，没有和犯罪分子B相关的证据，哈哈，这样犯罪分子岂不乐死了。

现在A机器的ARP缓存更新了:

C:>arp …

WINS NetSh 命令

list 列出所有可用的 WINS 命令。

dump 将 WINS 服务器配置转储到命令输出。

add name 在服务器上注册名称。详细信息，请输入 add name /?

add partner 向服务器添加复制伙伴。详细信息，请输入 add partner /?

add pngserver 添加当前服务器的 Persona Non Grata 服务器列表。详细信息，请输入 add pngserver /?

check database 检查数据库的一致性。详细信息，请输入 check database /?

check …

route 的命令

routing ip add/delete/set/show interface 在指定接口上添加、删除、配置或显示常规 IP 路由设置。

routing ip add/delete/set/show filter 在指定接口上添加、删除、配置或显示 IP 数据包筛选器。

routing ip add/delete/show boundary 在指定接口上添加、删除或显示多播边界设置。

routing ip add/set ipiptunnel 添加或配置 IP 中的 IP 接口。

routing ip add/delete/set/show rtmroute 添加、配置或显示不持续的路由表管理器路由。

routing ip add/delete/set/show persistentroute 添加、删除、配置或显示持续路由。 …

从192.168.1.2telnet192.168.1.1上的一个没开放的端口

下图返回的端口不可达ICMP错误返回数据帧,可以看出该帧不算以太网帧尾部的4字节一共是70字节.

以太网帧封装的IP-ICMP的信息格式:

以太帧头部(14字节)—IP包头部(20字节)–{ICMP头部(8字节)—[产生差错原始IP报文头(20字节)--原始IP中数据部分的头8字节]}

注解:{}表示IP头后跟的IP数据报文部分

[]表示ICMP头后跟的ICMP报文部分

更具体的解释请参看TCP/IP协议详解卷一 CHAP6

中山大学以网养网

“用户数多达3000个，运营维护却只需9人；300元的包年上网费，却能实现视频点播、在线学习等多业务应用。”这是广州中山大学北校区校园网给记者印象最深的地方。采访中，在记者感慨如今校园网建设日新月异的同时，也为中山大学校园网建设“以网养网”的新思路所震撼。中山大学信息与网络中心副主任曾海标说：“在保障高质量互连互通的基础上，高校校园网建设应朝着业务应用更细化、网络服务更细分、可自运营维护的方向发展。目前，校园网的关键不是建设，而是如何很好的管理和应用。”

打造三大平台

中山大学原名广东大学，是孙中山先生在1924创建的。在中国民主化进程中，中山大学曾作为一面大旗为世人所熟悉。而在信息化高速发展的今天，中山大学的校园网建设又一次成为焦点。经次一年多的建设和测试，中山大学校园网目前已经成为一个集网络与通信服务平台、教学与资源管理平台，以及科研与应用平台于一身，可运营、可管理的新一代校园网络。

始建于1997年的中山大学北校区校园网，主干带宽为155M。随着上网人数日益增加，以及网上多媒体教学等应用的不断推出，园区主干网络的带宽和交换能力已不负重荷。另外，自2002年南北校区实现光缆直通以来，两校区间网络数据交换急剧上升，网络流量的增加与交换机交换能力不足之间的矛盾日益突出。由此，网络升级改造已是刻不容缓。

通过对网络设备运行的安全可靠性、网络可运营可维护、投资成本和效益的对比、校园网出口带宽优化，以及对万兆、IPv6和网格计算的支持等因素综合考虑之后，中山大学最终采用了神州数码DCRS-7504核心交换机、DCS-3726S和DCS-2026B接入层交换机对全网交换平台做全网升级；并采用神州数码LinkManager网管系统和“802.1x协议 神州数码接入管理器DCBI2000”全网认证计费解决方案，建立起覆盖学生宿舍、内部实验楼、教学楼、主楼和辅楼的网络基础支持平台。

突出四个特点

以前由于校园网络建设周期长、建设资金不足等原因，造成网络中的通信设备复杂，存在大量Hub和“傻瓜型”交换机，因此，网络管理和运营维护十分不便，重复投资也较严重。曾海标介绍，此次通过采用神州数码提供的端到端校园网解决方案，不但解决了运行管理工作繁琐、成本高、网络交换平台层面安全风险等问题，还实现了灵活、有效的收费策略，使校园网真正成为可运营、可管理的网络。他认为，改造升级后的中山大学校园网具有稳定可靠、可管理运营、安全监控以及设备统一四个特点。

稳定可靠

在关键设备冗余的基础上实现网络环状冗余。

可管理运营

一方面，用户认证计费管理系统可提供对用户管理、缴费、计费策略定制、统计和审计等功能。另一方面，网络管理员还能根据不同用户应用需求灵活定制不同的计费策略，提供包月、时长、流量、预付、优惠时段等多种选择。

安全监控

可通过对网络接入用户的帐号、MAC地址、IP地址、VLAN ID、接入设备IP地址和接入端口绑定等方式，来防止IP地址被盗用，保证合法用户权益。此外，还能够通过防止校园网中非法私设代理服务、NAT服务、ICS服务和终端服务，确保网络安全。据了解，在实现安全监控之后，合法用户从以前的2000多名增加到3000多名，为中大北校区校园网“以网养网”的策略提供了更好的保障。

设备统一

曾海标说，在核心层、汇聚层、接入层以及网管系统统一采用神州数码的网络产品，一来便于管理，提高效率，节省设备维护成本；两来还节约人力资源，让更多的人能集中精力去关注技术应用和研发等。

实现以网养网

曾海标坦言，真正吸引中山大学最终采用神州数码解决方案的原因在于，神州数码的“802.1x协议 神州数码接入管理器DCBI-2000”全网认证计费解决方案能真正使其实现“以网养网”的目标。

神州数码DCBI-2000 Radius认证计费管理系统采用标准Radius协议和扩展Radius协议，通过与神州数码的DCBA-2000P/W系列接入管理器、支持802.1x的交换机、以及其它支持Radius协议的设备相结合，实现用户认证、管理和计费。

计费策略多样

中山大学提供了开放的计费策略：包月、时长或有限时长包月（比如60小时包月超出部分2元/小时）、流量或有限流量包月（比如1000M包月超出部分0.1元/M）、预付时长、预付流量。网络员可以自定义计费策略。比如设置优惠时段，哪些服务收费，哪些服务免费，对不同的用户可采用不同的计费策略和资费标准。

运营监控安全

用户接入控制与IP地址管理功能可防止IP地址盗用，用户不得更改IP地址获得方式，否则立刻强制其下线。同时，其全面的网络资源盗用控制能有效防止地址盗用，防止非合法用户逃避网络计费，而且还能防止通过Proxy、NAT以及共享连接等方式连接到网络中来。此外，其网络安全管理功能可通过访问控制功能限制用户访问反动色情网站，从而推动校园网络文化的健康发展

使用 at

使用 at 命令时，要求您必须是本地 Administrators 组的成员。

加载 Cmd.exe

在运行命令之前，At 不会自动加载 Cmd.exe （命令解释器）。如果没有运行可执行文件 (.exe)，则在命令开头必须使用如下所示的方法专门加载 Cmd.exe：

cmd /c dir > c:\test.out。

查看已计划的命令

当不带命令行选项使用 at 时，计划任务会出现在类似于以下格式的表中：

Status ID Day Time Command Line

OK 1 Each F 4:30 PM net send group leads …

呵呵，前天在pc上模拟Olive 成功了，这两天准备跟同事一起把单位那台备份M5的junos升级到V8.1，看看官方文档吧

To see the software that is currently installed on the router, use the following command:root@router> show system software （升级前先确定旧的Junos相关版本）

Information for jbase:

Comment:

JUNOS Base OS Software Suite [5.0R3.3]

Information for jcrypto:

Comment:

JUNOS Crypto Software Suite [5.0R3.3]

Information for jdocs:

Comment:

JUNOS Online Documentation [5.0R3.3]

Information for …

我们注意到这台机器向公网发出大量的ICMP包，那是在作什么？（同学们：在ping)

对！PING采用ICMP协议，ping可以用来扫描，也可以用来攻击。

扫描就是看那一台机器活着，接着扫描端口，在攻击，所以扫描是攻击主机的前奏。

另外，还可以用ping 来冲击路由器，或占用带宽，是一种DOS攻击。

大家看这个过程更像哪一种类型。

（同学们：扫描，DOS攻击）

一般情况下，扫描会是比较连续的地址，我们看这个地址并不连续，我们先排除扫描，当然不是绝对的，也有比较聪明的扫描。

有同学说，这是DOS攻击，那是冲击路由器，还是占用带宽？

（同学们：冲击路由器）

嘿，这次比较统一，我也觉得他在冲击路由器，我们看，他的目标地址基本不在一个网段，这样路由器收到这样的数据包会消耗大量资源在查找路由表上面。所以对路由器有一定冲击。

一般来说，如果他想占用带宽的话，会发大包，我们发现，包的长度不大，并且一秒钟才发10几个包，所以对贷款冲击不大。

或许大家会觉得这没秒10几个包对路由器冲击也不大呀。大家想像一下，如果有很多机器在作这个操作，那影响就会很大。

大家自己在找一找，是否还有其他机器在作同类事情。

（同学们找出7台这样的机器）

好大家找出7台这样的机器，怎么找出来的？有同学用钢材的办法，有同学用过滤，都市好办法。

现在假设在你们的网络中出现这样的情况，我们发现了异常，接下来怎么做？

（同学们：找到这台机器）

然后呢？

我们可以看看这台机器的任务管理器，看看有什么不常见的进程，把他去掉，看是否解决。在看其他的机器，是否有类似的特征。

这是我的一个学员发给我的，当时他发现这7台机器都有一个特殊的进程，但是他的防病毒软件没有查出来。他手工解决了。

这很好说明用Sniffer可以比防病毒软件更快发现病毒，因为防病毒软件是后知后觉得，什么意思？防病毒软件必须有相应的特征才能查病毒。而Sniffer通过流量可以发现一些特征，一些异常。

但是有一点，我们不能拿Sniffer当防病毒软件用，那不是他的特长，同时也太低沽Sniffer的功能了（同学们笑）

好我们在看看扫描是怎么一回事，大家看这个trace file（范老师在演示，我就不写了）

先是ARP扫描，再端口扫描，接下来就是攻击了。

（编者：接着我们做了一个游戏，范老师让大家用Sniffer攻击他的机器，结果1台机器就把他的机器搞死了，这个就不细说了）

本新闻共2页,当前在第1页 1 2

如何正确认识IT系统的可靠性

我们在服务器可靠性方面经历得太多了。我们总是在努力保障服务器、路由器和switch的正常运转，而用户却总在抱怨系统的可靠性太差。一旦系统出现故障，用户们就会把帮助席位的电话打爆了。而且每一次系统出现故障，他们都会责备系统维护人员。等到高级管理人员最终来到的时候，由于他们也同样经受了系统故障带来的痛苦，他们会站在用户一边。当这些问题如潮水一样涌来，问题出现了：究竟什么是可靠性？谁来测量它？当我为一个客户提供支持流程改进服务的时候，我学到了很多东西。

我的客户是一家中型（大约有3000或者左右的节点）公司，它在20个州和4个国家有办事机构。它邀请我作在的公司帮助他们解决反复出现、困扰着他们的“可靠性”问题。他们期望我们能到他们的环境中去，并为他们的问题提供特别的技术和服务方案。我们公司派了一个比较小的团队进行这一个项目，我是其中的一个低级别成员。

经过两个星期的评估，我们发现了一些非常显见的问题。服务器维护人员把MS Exchange和MS SQL Server安装在卫星办公室的同一个磁盘阵列。网络小组在对路由器做规划的时候非常奇怪地忽略了国外的办公室。有三个用户总是飞来飞去，他们总是处在安全域之外；他们帐户故障的频率比其他用户高出两个量级。我们建议采用磁盘阵列来解决由双任务服务器所引起的磁盘连接问题，避免在欧洲办公室的工作时间安排关机，培训那些问题多的用户。客户非常感激我们，并安排了六个月的试用来验证这样做的效果。

我们满怀期望，希望可靠性的问题解决了。从技术角度说，确实如此。可是用户的IT部门的人员却不太情愿采用我们的建议方案。设备正常运行的时间显示我们的方法还是达到了预期的效果。服务器不再按照一定的周期出故障。通往欧洲的连接始终状态良好。帐号故障率下降了80%

不幸的是，用户仍然周期性地抱怨网络稳定性。从技术角度稳定性的提高并没有转换成用户满意度的提高，为什么？

测量可靠性：我们在测量什么？

IT人员还在自鸣得意的时候，我们就开始尝试去找出这个问题的答案。一位工程师被指派负责这一工作，他是我最初几年工作的导师，他发现了一些不同寻常的事。我们打了很多电话，有时候还装扮成潜在用户来观察系统是如何跟踪数据流的。

经过两个星期的工作，我们有如下发现：

用户觉得只有他们不能完成工作时，他们的问题才受到重视。因此，当他们希望能够立刻得到重视，他们就会宣称当时遇到的问题妨碍他们完成工作。所有被标志着“妨碍工作”的问题都会被当作是可靠性的问题。

IT小组的成员则认为任何没有造成系统重启的错误都不能够算做一个失败，因为他们的奖金是按照是否能够建设一个零故障的环境来计算的。一台不需要重启以重新提供服务的服务器永远“没有故障”，虽然它不能为客户提供服务。

用户通常分不清楚什么是网络故障，服务器故障，服务故障或者是安全防范措施。他们把任何问题都看作是系统故障。这就让终端用户不能够很好地进行系统稳定性跟踪，尽管高级管理层们可能相信他们能够担负这一任务。

执行者认为经过这些基础分析，我们完成了我们的工作。可是我的导师不这样认为。他准备了一份报告，上面论述了该公司因为测试如下三种完全不同的事情，并试图把它们放在一起对照比较，所以自己造成了无穷无尽的问题：

用户感觉可靠性，这包括服务访问能力、培训、可用性、企业文化、不同项目产生的行政辐射，本地和集中支持产生的人的冲突。

对于设备正常运行时间的技术考核没有考虑到它的可用性。考核系统正常运行时间是很好的第一步，但并不是考核可靠性的首要而全部的指标。

管理信息系统认为所有的报告者都对于基本信息有同等的了解。这就造成了模糊的数据。这些数据会引导管理人员做出错误的决定，比如采用技术的方案来解决流程或沟通的问题。

为了解决这些问题，避免重复的电话，我们的小组建议IT人员和管理人员在他们最初的数据分析上采取更多积极的行动。为了摆脱对通用报告的依赖，我们设计了四种基本的调查工具，这样客户就可以对用户进行调查，对遇见的问题按照实际种类进行分类。

最后一个调查工具为企业IT部门赢得未来的胜利提供了有力的帮助。通过迫使企业内部员工和管理团队把故障时间和用户问题报告相关联，他们发现了很多潜在的问题。更重要的是，它迫使企业开始了解用户的需求，而不仅仅是选择一个技术方案，并把它强加给用户。（

网络与路由器概述

网络诊断是一门综合性技术，涉及网络技术的各个面。为方便下面的讨论，首先简单回顾一 下网络和路由器的基本概念。

计算机网络是由计算机集合加通信设施组成的系统，即利用各种通信手段，把地理上分散的 计算机连在一起，达到相互通信而且共享软件、硬件和数据等资源的系统。计算机网络按其 计算机分布范围通常被分为局域网和广域网。局域网覆盖地理范围较小，一般在数米到数十 公里之间。广域网覆盖地理范围较大，如校园、城市之间、乃至全球。计算机网络的发展， 导致网络之间各种形式的连接。采用统一协议实现不同网络的互连，使互联网络很容易得到 扩展。因特网就是用这种方式完成网络之间联结的网络。因特网采用TCP/IP协议作为通信协 议，将世界范围内计算机网络连接在一起，成为当今世界最大的和最流行的国际性网络。 为了完成计算机间的通信，把每部计算机互连的功能划分成定义明确的层次，规定了同层进 程通信的协议及相邻层之间的接口和服务，将这些层、同层进程通信的协议及相邻层之间的 接口统称为网络体系结构。国际标准化组织（ISO）提出的开放系统互连参考模型（OSI）是 当代计算机网络技术体系的核心。该模型将网络功能划分为7个层次：物理层、数据链路层 、网络层、传输层、会话层、表示层和应用层。

TCP/IP即传输控制协议和网间互联协议是一组网络协议。TCP/IP起源于美国ARPANET网， 发展至今已成为因特网使用的标准通信协议。使用TCP/IP能够使采用不同操作系统的计算机 以有序的方式交换数据。 路由器是一种网络设备，是用于网络连接、执行路由选择任务的专用计算机。路由器工作于 网络层，对信包转发，并具有过滤功能。路由器能够将使用不同技术的两个网络互连起来， 能够在多种类型的网络之间（局域网或广域网）建立网络连接。它将处在七层模型中的网络 层的信息，根据最快、最直接的路由原理从一个网络的网络层传输到另一个网络的网络层， 以达到最佳路由选择。同时在内部使用高档微处理器，用高速的内部总线连接适合各种网络 协议的接口卡。并具有多种网管功能，能监视与路由器相连接的一些网络设备和它们的配置 运行情况。

CISCO路由器是目前网络建设中使用最多的一种路由器，有多种档次、多种系列，目前常用 的当属2500系列，本文以2500系列为例讨论。2500系列路由器是固定接口的多协议路由器 ，支持CISCO IOS全部功能。根据特定的协议环境分为以下四种类型：固定配置的路由器（ 2501）、带HUB口的路由器（2507）、摸块化的路由器（2514）和访问服务器（2511）。 它们结构简单、操作方便、易于配置和管理，是一种用于小规模局域网和广域网网络层中继 的路由设备。 CISCO IOS是CISCO所特有的互连网操作系统，所有的CISCO产品都运行IOS，IOS将它们 无缝连接在一起协同工作。给用户提供一个可支持任意硬件界面、任意链路层、网络层协议 的可扩展的开放型网络。IOS支持众多的协议，包括各种网络通信协议和路由协议等。 CISCO IOS已成为工业界网际网互联的事实标准。CISCO IOS提供几种不同的操作模式，每 一种模式提供一组相关的命令集、不同的操作权限和操作功能。基于安全目的，CISCO用户 …