張志鋼

（聯(lián)通懷化市分公司，湖南懷化，418000）

1 協(xié)議

在概念上，協(xié)議似乎很復雜，實際上很容易理解，并且使用也很容易。只要你在鍵盤上輕輕地敲入一個網(wǎng)址并回車，如：http:www.10010.com，那么你已經(jīng)成功地使用了一次協(xié)議，并達到了瀏覽網(wǎng)頁的目的。這個過程好比生活中的問和答，其中的“http：”部分相當于問話人使用的語種，漢語還是維語等等；“www.10010.com”部分相當于被問者姓名，連起來就是你請你的電腦用一種對方電腦(服務器)“聽”得懂的“語言”說：“嘿！伙計,把你網(wǎng)頁的第一頁內(nèi)容遞過來!”其實，這里的http就是一種協(xié)議—超文本傳送協(xié)議。協(xié)議是不同機器間交流所使用的語言的集合。為什么要引入?yún)f(xié)議的概念呢？不同國家都有語言差異，何況機器之間？為了實現(xiàn)不同機器間的通信，人們必須制定計算機通信網(wǎng)絡中兩臺計算機之間進行通信所必須共同遵守的規(guī)則即協(xié)議。

剛才講的是接受新聞的實現(xiàn)即“問”?，F(xiàn)在，讓我們反過來再看看發(fā)布新聞是怎么通過協(xié)議實現(xiàn)的即“答”。設sohu網(wǎng)站發(fā)布新聞網(wǎng)頁,其安裝一臺服務器并一種叫IIS的或其它軟件時，給它命名為news.sohu.com，使這臺原“聽”不懂任何“語言”的服務器能聽懂http“語言”，并隨時等候客戶端請求。而我用戶電腦的windows默認是能喊出"http"話語的:"http://news.sohu.com".這好比生活中某人使用某種語言在給一個叫“news.sohu.com”的人寫請求信，而對方剛好明白這語言，就會按來信要求，準確地把新聞網(wǎng)頁傳送給用戶的電腦，并被用戶電腦所“展示”。

注意一點：機器不同于人的是，聽與說是分離的，即同一種“語言”，一臺機器能“說”出去，自己沒必要“聽”得懂。例如用戶的電腦雖然能發(fā)送http“語言”，但對收到的http請求卻可以“充耳不聞”。所以，如果在sohu服務器地址欄輸入“http://222.23.12.32(客戶端的ip）”，并且客戶端電腦沒部署IIS類軟件，則服務器什么也得不到，但并不影響客戶端電腦瀏覽服務器的網(wǎng)頁。又假如在news.sohu.com上沒裝ftp server類軟件，則它就不能聽懂ftp“語言”，因此你在電腦地址欄輸入“ftp://news.sohu.com”時，得到的是“無法訪問”。有沒有辦法訪問呢？有，那就是等news.sohu.com上裝“ftp server”類軟件后，我們就可以得到機器(news.sohu.com)上的文件。ftp，F(xiàn)iles Transform Protocol文件傳送協(xié)議，顧名思義，就是專門傳文件給你的協(xié)議。

協(xié)議除了幫助實現(xiàn)網(wǎng)頁、文件的傳播，網(wǎng)絡中所有信息的傳送，都是依賴于協(xié)議完成的。其實，日常中所說的協(xié)議總是指某一層的協(xié)議。準確地說，在同等層之間的實體通信時，有關通信規(guī)則和約定的集合就是該層協(xié)議，例如物理層協(xié)議、傳輸層協(xié)議、應用層協(xié)議。應用層是最高層，物理層是最低層。http屬于應用層協(xié)議。那么最低層物理層的兩個實體，例如一段網(wǎng)線兩頭的電路，他們之間的通信不需要什么協(xié)議了吧？不！同樣需要。我們都知道，功能220V的剃須刀，插在賓館110V的插座上，因為電壓不同，可能無法正常使用剃須刀—電流的傳送必須遵守電壓的約定，而這種約定可以看做是最簡單的協(xié)議?？梢?，物理層傳送，要約定許多參數(shù)或者協(xié)議，才能通信。

2 IT網(wǎng)數(shù)據(jù)包協(xié)議分析

計算機通信網(wǎng)是由許多具有信息交換和處理能力的節(jié)點互連而成的。要使整個網(wǎng)絡有條不紊地工作,就要求每個節(jié)點必須遵守一些事先約定好的有關數(shù)據(jù)格式及時序等的規(guī)則。這些為實現(xiàn)網(wǎng)絡數(shù)據(jù)交換而建立的規(guī)則、約定或標準就稱為網(wǎng)絡協(xié)議。通信網(wǎng)中每個數(shù)據(jù)包，無一例外地遵守著某種協(xié)議的規(guī)定而傳送，如TCP包，UDP包，ARP包。這此都是客觀存在，雖然摸不著但是卻有辦法“看”到它們的存在，比如使用一些抓包工具，就可以“目睹”某一時段某網(wǎng)絡上傳送的所有協(xié)議包。下面給大家看下截圖，如圖1所示。

圖1正常網(wǎng)絡：顯示了DCN局域網(wǎng)ARP協(xié)議正常時1分鐘內(nèi)所抓的包，其arp協(xié)議正確地解析了各IP的Mac地址，如：69.80.1的mac地址尾數(shù)分別為：39:1e:2b。如果Mac異常（即全部相同），則意味著網(wǎng)絡工作異常。另外，利用抓包工具不僅可以幫助我們理解交換原理，還可以分析網(wǎng)絡故障，快速定位故障點、排除障礙。如圖2，通過arp包的分析，可以從幾十臺甚至上百臺電腦的局域網(wǎng)中“揪”出可能被ARP病毒感染電腦，從而“拯救”整個DCN網(wǎng)的VLAN子網(wǎng)。

圖1 正常情況下的網(wǎng)絡

圖2 揭開arp病毒的神秘面紗

故障現(xiàn)象：10.209.64.0/24網(wǎng)段中的幾十臺電腦同時斷網(wǎng)、（任選某PC）用Ping命令Ping網(wǎng)關時顯示為out，修復網(wǎng)卡后的幾秒鐘內(nèi)通了幾個數(shù)據(jù)包而馬上又顯示為out，則可基本判定遭受到ARP攻擊。但要確定是哪臺（還須考慮一臺以上）故障，則可通過利用抓包工具來定位。

故障定位：在DCN網(wǎng)內(nèi)中，用任一電腦網(wǎng)卡以“混雜”模式，抓包10分鐘，分析結果，找到異常---如圖1紅圈所示。正常小紅圈里每一行不必然相同。但現(xiàn)在每一行驚人地相同，在每7秒鐘的時間里，IP尾數(shù)為94的這臺電腦同時向局域網(wǎng)內(nèi)的1-254臺電腦發(fā)送arp廣播，其目的是為了冒充網(wǎng)關，欺騙所在局域網(wǎng)的所有電腦，從而截獲其它電腦的數(shù)據(jù)包。其它電腦就會誤認為此94ip的電腦為網(wǎng)關，就將數(shù)據(jù)發(fā)到假網(wǎng)關94上，而不與實際網(wǎng)關通訊。表現(xiàn)為斷網(wǎng)。

此時，如將故障電腦網(wǎng)卡右擊一次修復，則能短時ping通網(wǎng)關。

為什么在受到ARP攻擊時，修復網(wǎng)卡的瞬間能通幾個包，是因為arp病毒第一次完成254個廣播后再循環(huán)時需要7秒鐘，所以DCN網(wǎng)絡會在病毒再次發(fā)生作用前正常一瞬間，立即又陷入癱瘓。

圖3 ping著網(wǎng)關演示修復網(wǎng)卡獲“魚的7秒記憶”

要將該局域網(wǎng)的ARP攻擊問題徹底解決，只需拔掉IP尾號為94的這一臺電腦的網(wǎng)線（此時其它所有電腦馬上會恢復網(wǎng)絡功能），隔離，進行arp病毒專殺?；蛘咴趐c上手工解析網(wǎng)關的MAC地址也能處理，如網(wǎng)關IP為：192.168.0.254，其網(wǎng)卡Mac地址為：00-11-22-aa-bbcc，則在命令提示符下使用命令：ARP -S 192.168.0.254 00-11-22-aa-bb-cc。使該pc知道網(wǎng)關的正確地址，也就能恢復和網(wǎng)關的通信了。

同時在網(wǎng)關設備上捆綁pc的ip與mac，語句格式為：arpa 192.168.0.1 0011.2233.xxxx（思科網(wǎng)關設備），其中192.168.0.1為pc1的ip地址，0011.2233.xxx為pc1的MAC地址，此為通常說的雙向綁定。能徹底使arp攻擊失效。但此為手工方式，當pc數(shù)量達到一定數(shù)量級時，其工作量之大是超常規(guī)的且網(wǎng)點換電腦會受到影響。

解決arp攻擊的另一種方法是減小廣播域。用可變長子網(wǎng)掩碼（VLSM）技術精細化劃分出多個子網(wǎng)（VLAN），對arp攻擊有時能起到事半功倍的效果。VLSM特征就是網(wǎng)絡中的不同部分（如不同的部門、不同的樓層等）出現(xiàn)了不同的子網(wǎng)掩碼。即使arp爆發(fā)，也會被局限某一個部門（樓層）幾臺電腦，不會影響其他PC。如某地級內(nèi)網(wǎng)IT承載網(wǎng)終端數(shù)950臺，屬34個子單位，則合適的VLAN劃分數(shù)為68個。