張志鋼

（聯(lián)通懷化市分公司，湖南懷化，418000）

1 協(xié)議

在概念上，協(xié)議似乎很復(fù)雜，實(shí)際上很容易理解，并且使用也很容易。只要你在鍵盤(pán)上輕輕地敲入一個(gè)網(wǎng)址并回車(chē)，如：http:www.10010.com，那么你已經(jīng)成功地使用了一次協(xié)議，并達(dá)到了瀏覽網(wǎng)頁(yè)的目的。這個(gè)過(guò)程好比生活中的問(wèn)和答，其中的“http：”部分相當(dāng)于問(wèn)話(huà)人使用的語(yǔ)種，漢語(yǔ)還是維語(yǔ)等等；“www.10010.com”部分相當(dāng)于被問(wèn)者姓名，連起來(lái)就是你請(qǐng)你的電腦用一種對(duì)方電腦(服務(wù)器)“聽(tīng)”得懂的“語(yǔ)言”說(shuō)：“嘿！伙計(jì),把你網(wǎng)頁(yè)的第一頁(yè)內(nèi)容遞過(guò)來(lái)!”其實(shí)，這里的http就是一種協(xié)議—超文本傳送協(xié)議。協(xié)議是不同機(jī)器間交流所使用的語(yǔ)言的集合。為什么要引入?yún)f(xié)議的概念呢？不同國(guó)家都有語(yǔ)言差異，何況機(jī)器之間？為了實(shí)現(xiàn)不同機(jī)器間的通信，人們必須制定計(jì)算機(jī)通信網(wǎng)絡(luò)中兩臺(tái)計(jì)算機(jī)之間進(jìn)行通信所必須共同遵守的規(guī)則即協(xié)議。

剛才講的是接受新聞的實(shí)現(xiàn)即“問(wèn)”。現(xiàn)在，讓我們反過(guò)來(lái)再看看發(fā)布新聞是怎么通過(guò)協(xié)議實(shí)現(xiàn)的即“答”。設(shè)sohu網(wǎng)站發(fā)布新聞網(wǎng)頁(yè),其安裝一臺(tái)服務(wù)器并一種叫IIS的或其它軟件時(shí)，給它命名為news.sohu.com，使這臺(tái)原“聽(tīng)”不懂任何“語(yǔ)言”的服務(wù)器能聽(tīng)懂http“語(yǔ)言”，并隨時(shí)等候客戶(hù)端請(qǐng)求。而我用戶(hù)電腦的windows默認(rèn)是能喊出"http"話(huà)語(yǔ)的:"http://news.sohu.com".這好比生活中某人使用某種語(yǔ)言在給一個(gè)叫“news.sohu.com”的人寫(xiě)請(qǐng)求信，而對(duì)方剛好明白這語(yǔ)言，就會(huì)按來(lái)信要求，準(zhǔn)確地把新聞網(wǎng)頁(yè)傳送給用戶(hù)的電腦，并被用戶(hù)電腦所“展示”。

注意一點(diǎn)：機(jī)器不同于人的是，聽(tīng)與說(shuō)是分離的，即同一種“語(yǔ)言”，一臺(tái)機(jī)器能“說(shuō)”出去，自己沒(méi)必要“聽(tīng)”得懂。例如用戶(hù)的電腦雖然能發(fā)送http“語(yǔ)言”，但對(duì)收到的http請(qǐng)求卻可以“充耳不聞”。所以，如果在sohu服務(wù)器地址欄輸入“http://222.23.12.32(客戶(hù)端的ip）”，并且客戶(hù)端電腦沒(méi)部署IIS類(lèi)軟件，則服務(wù)器什么也得不到，但并不影響客戶(hù)端電腦瀏覽服務(wù)器的網(wǎng)頁(yè)。又假如在news.sohu.com上沒(méi)裝ftp server類(lèi)軟件，則它就不能聽(tīng)懂ftp“語(yǔ)言”，因此你在電腦地址欄輸入“ftp://news.sohu.com”時(shí)，得到的是“無(wú)法訪(fǎng)問(wèn)”。有沒(méi)有辦法訪(fǎng)問(wèn)呢？有，那就是等news.sohu.com上裝“ftp server”類(lèi)軟件后，我們就可以得到機(jī)器(news.sohu.com)上的文件。ftp，F(xiàn)iles Transform Protocol文件傳送協(xié)議，顧名思義，就是專(zhuān)門(mén)傳文件給你的協(xié)議。

協(xié)議除了幫助實(shí)現(xiàn)網(wǎng)頁(yè)、文件的傳播，網(wǎng)絡(luò)中所有信息的傳送，都是依賴(lài)于協(xié)議完成的。其實(shí)，日常中所說(shuō)的協(xié)議總是指某一層的協(xié)議。準(zhǔn)確地說(shuō)，在同等層之間的實(shí)體通信時(shí)，有關(guān)通信規(guī)則和約定的集合就是該層協(xié)議，例如物理層協(xié)議、傳輸層協(xié)議、應(yīng)用層協(xié)議。應(yīng)用層是最高層，物理層是最低層。http屬于應(yīng)用層協(xié)議。那么最低層物理層的兩個(gè)實(shí)體，例如一段網(wǎng)線(xiàn)兩頭的電路，他們之間的通信不需要什么協(xié)議了吧？不！同樣需要。我們都知道，功能220V的剃須刀，插在賓館110V的插座上，因?yàn)殡妷翰煌赡軣o(wú)法正常使用剃須刀—電流的傳送必須遵守電壓的約定，而這種約定可以看做是最簡(jiǎn)單的協(xié)議?？梢?jiàn)，物理層傳送，要約定許多參數(shù)或者協(xié)議，才能通信。

2 IT網(wǎng)數(shù)據(jù)包協(xié)議分析

計(jì)算機(jī)通信網(wǎng)是由許多具有信息交換和處理能力的節(jié)點(diǎn)互連而成的。要使整個(gè)網(wǎng)絡(luò)有條不紊地工作,就要求每個(gè)節(jié)點(diǎn)必須遵守一些事先約定好的有關(guān)數(shù)據(jù)格式及時(shí)序等的規(guī)則。這些為實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)交換而建立的規(guī)則、約定或標(biāo)準(zhǔn)就稱(chēng)為網(wǎng)絡(luò)協(xié)議。通信網(wǎng)中每個(gè)數(shù)據(jù)包，無(wú)一例外地遵守著某種協(xié)議的規(guī)定而傳送，如TCP包，UDP包，ARP包。這此都是客觀(guān)存在，雖然摸不著但是卻有辦法“看”到它們的存在，比如使用一些抓包工具，就可以“目睹”某一時(shí)段某網(wǎng)絡(luò)上傳送的所有協(xié)議包。下面給大家看下截圖，如圖1所示。

圖1正常網(wǎng)絡(luò)：顯示了DCN局域網(wǎng)ARP協(xié)議正常時(shí)1分鐘內(nèi)所抓的包，其arp協(xié)議正確地解析了各IP的Mac地址，如：69.80.1的mac地址尾數(shù)分別為：39:1e:2b。如果Mac異常（即全部相同），則意味著網(wǎng)絡(luò)工作異常。另外，利用抓包工具不僅可以幫助我們理解交換原理，還可以分析網(wǎng)絡(luò)故障，快速定位故障點(diǎn)、排除障礙。如圖2，通過(guò)arp包的分析，可以從幾十臺(tái)甚至上百臺(tái)電腦的局域網(wǎng)中“揪”出可能被ARP病毒感染電腦，從而“拯救”整個(gè)DCN網(wǎng)的VLAN子網(wǎng)。

圖1 正常情況下的網(wǎng)絡(luò)

圖2 揭開(kāi)arp病毒的神秘面紗

故障現(xiàn)象：10.209.64.0/24網(wǎng)段中的幾十臺(tái)電腦同時(shí)斷網(wǎng)、（任選某PC）用Ping命令Ping網(wǎng)關(guān)時(shí)顯示為out，修復(fù)網(wǎng)卡后的幾秒鐘內(nèi)通了幾個(gè)數(shù)據(jù)包而馬上又顯示為out，則可基本判定遭受到ARP攻擊。但要確定是哪臺(tái)（還須考慮一臺(tái)以上）故障，則可通過(guò)利用抓包工具來(lái)定位。

故障定位：在DCN網(wǎng)內(nèi)中，用任一電腦網(wǎng)卡以“混雜”模式，抓包10分鐘，分析結(jié)果，找到異常---如圖1紅圈所示。正常小紅圈里每一行不必然相同。但現(xiàn)在每一行驚人地相同，在每7秒鐘的時(shí)間里，IP尾數(shù)為94的這臺(tái)電腦同時(shí)向局域網(wǎng)內(nèi)的1-254臺(tái)電腦發(fā)送arp廣播，其目的是為了冒充網(wǎng)關(guān)，欺騙所在局域網(wǎng)的所有電腦，從而截獲其它電腦的數(shù)據(jù)包。其它電腦就會(huì)誤認(rèn)為此94ip的電腦為網(wǎng)關(guān)，就將數(shù)據(jù)發(fā)到假網(wǎng)關(guān)94上，而不與實(shí)際網(wǎng)關(guān)通訊。表現(xiàn)為斷網(wǎng)。

此時(shí)，如將故障電腦網(wǎng)卡右擊一次修復(fù)，則能短時(shí)ping通網(wǎng)關(guān)。

為什么在受到ARP攻擊時(shí)，修復(fù)網(wǎng)卡的瞬間能通幾個(gè)包，是因?yàn)閍rp病毒第一次完成254個(gè)廣播后再循環(huán)時(shí)需要7秒鐘，所以DCN網(wǎng)絡(luò)會(huì)在病毒再次發(fā)生作用前正常一瞬間，立即又陷入癱瘓。

圖3 ping著網(wǎng)關(guān)演示修復(fù)網(wǎng)卡獲“魚(yú)的7秒記憶”

要將該局域網(wǎng)的ARP攻擊問(wèn)題徹底解決，只需拔掉IP尾號(hào)為94的這一臺(tái)電腦的網(wǎng)線(xiàn)（此時(shí)其它所有電腦馬上會(huì)恢復(fù)網(wǎng)絡(luò)功能），隔離，進(jìn)行arp病毒專(zhuān)殺。或者在pc上手工解析網(wǎng)關(guān)的MAC地址也能處理，如網(wǎng)關(guān)IP為：192.168.0.254，其網(wǎng)卡Mac地址為：00-11-22-aa-bbcc，則在命令提示符下使用命令：ARP -S 192.168.0.254 00-11-22-aa-bb-cc。使該pc知道網(wǎng)關(guān)的正確地址，也就能恢復(fù)和網(wǎng)關(guān)的通信了。

同時(shí)在網(wǎng)關(guān)設(shè)備上捆綁pc的ip與mac，語(yǔ)句格式為：arpa 192.168.0.1 0011.2233.xxxx（思科網(wǎng)關(guān)設(shè)備），其中192.168.0.1為pc1的ip地址，0011.2233.xxx為pc1的MAC地址，此為通常說(shuō)的雙向綁定。能徹底使arp攻擊失效。但此為手工方式，當(dāng)pc數(shù)量達(dá)到一定數(shù)量級(jí)時(shí)，其工作量之大是超常規(guī)的且網(wǎng)點(diǎn)換電腦會(huì)受到影響。

解決arp攻擊的另一種方法是減小廣播域。用可變長(zhǎng)子網(wǎng)掩碼（VLSM）技術(shù)精細(xì)化劃分出多個(gè)子網(wǎng)（VLAN），對(duì)arp攻擊有時(shí)能起到事半功倍的效果。VLSM特征就是網(wǎng)絡(luò)中的不同部分（如不同的部門(mén)、不同的樓層等）出現(xiàn)了不同的子網(wǎng)掩碼。即使arp爆發(fā)，也會(huì)被局限某一個(gè)部門(mén)（樓層）幾臺(tái)電腦，不會(huì)影響其他PC。如某地級(jí)內(nèi)網(wǎng)IT承載網(wǎng)終端數(shù)950臺(tái)，屬34個(gè)子單位，則合適的VLAN劃分?jǐn)?shù)為68個(gè)。