什么是网络协议篇1
关键词:计算机网络;辅助教学;理论教学;教学方法
1教学思路
计算机网络中计算机设备之间的通信过程,与人类社会中的通信过程有许多相似之处。计算机网络课程教学涉及到许多抽象的理论概念,不容易为学生理解和掌握,若能够结合人们生活中的一些知识,辅助“计算机网络”理论教学的研究,会起到事半功倍的作用。
自然界的许多知识是有联系的、可以类比的,通过类比,可以做到触类旁通。在对抽象计算机网络理论知识感到困惑时,用生活中的例子进行类比,可以让学生很快真正理解计算机网络中对应的理论知识,并且会和计算机网络的具体应用联系起来,留下深刻记忆。在以后学习其他知识时,学生也会借助这种类比的方法分析、理解和掌握有关知识。
例如,教师可以结合人们生活中的通信过程,对计算机网络知识的重点和难点进行剖析,尽可能用通俗的语言、生活中类似的例子阐述比较抽象的对等层协议、服务和接口等概念。
另一方面,教师可以结合因特网和身边的网络阐述计算机网络的理论基础、核心技术和应用方法。让学生看得懂、学得会、能与身边的网络应用紧密联系,知道所学网络知识用在哪里、怎样用。这对提高学生的阅读能力和学习计算机网络的兴趣是十分重要的。这样,学生可以尽快联系身边的计算机网络应用实例,带着网络应用中遇到的问题学习,知道要学什么,拥有终生学习的信心和工具。
2网络协议层次与人类通信所使用协议层次的类比
计算机网络体系结构把网络功能划分到不同层次上,需要弄清楚的问题有网络层次之间怎样联系;对等层怎样通过对等层协议理解和通信;网络中的层次、服务、协议和接口怎样描述,它们之间的关系是什么[1]。
在日常生活中,人们之间的通信自觉或不自觉使用着分层和协议的概念,这对理解网络协议和计算机网络体系结构会有帮助。
人们在日常生活和生产活动中离不开消息的传递,通信就是从一个地点向另一个地点传递消息。人们在通信时也要遵循双方认可的通信协议,只不过人们在自觉不自觉地使用着通信的协议。这些通信协议的应用已经成为人们生活习惯的一部分,以至于不会注意它们的存在。
tCp/ip协议就是internet中计算机设备之间采用的通信语言,可以类比人与人之间的通信语言。人们之间的语言交流就要用到双方都遵循的协议,人们要么讲汉语,要么讲英语,双方要能彼此理解对方的语言、所讲的内容和含义,也应能知道讲话内容的分隔,知道讲话内容从什么地方开始,到什么地方结束,以及听不清楚怎么处理,讲错了怎么处理,来不及听怎么处理。人们遵循的这些协议是在自觉不自觉中进行的[2]25-26。
人们之间的会话也在使用分层的概念,之所以感觉不到,是因为人们已经习惯了。以两个人之间的自然语言通信为例,可以分为三个层次:传输层;语言层;知识层。两个人通信用到的分层协议如图1所示。
1)传输层。人的发音器官,气流通过声带的振动发出声音,声音通过空气传输到人的听觉器官,耳膜感受到声波振动,接收声音。传输层并不关心采用什么语言,也不考虑传输的是什么内容,只要能够发出声音传到对方,对方可以听到声音就行了。
2)语言层。解决双方通信采用哪一种语言,比如是讲汉语还是讲英语,关心的是彼此能够听得懂通信的语言,但是并不考虑语言所表示的确切含义。
3)知识层。该层关心彼此通信的内容、双方传递消息的具体含义,与收发双方的文化背景、经验、阅历有关。例如,若有一方从来没有听说过internet,即使也能辨识听到有关internet内容的声音,但是双方也无法交流。
网络通信协议是信息网络中计算机设备之间使用的通信语言,是按对等层协议、即通信双方理解的格式设计的。例如,人们常说tCp/ip协议是internet中的语言。通信是在人们(对象)之间传递消息,计算机网络中的通信对象就是计算机设备。
进一步说明,在计算机网络中,用协议数据单元(protocolDataUnit,pDU)描述网络协议,计算机网络中计算机设备之间的通信类似于人们之间的信息交流,采用的是书面语言,是用二进制语言表示、可以彼此理解、有结构的由二进制数据0或1组成的数据块,即网络协议数据单元pDU。网络体系结构中的每一层次都有该层对应的pDU。pDU由控制部分和数据部分组成,控制部分由若干字段组成,表示通信中用到的双方可以理解和遵循的协议,数据部分为需要传输的信息内容。协议数据单元(pDU)格式如图2所示。
3身边计算机网络协议与层次的位置
人们可能会问,在具体组网时,tCp/ip协议在哪里呢?tCp/ip协议与底层网络协议之间是怎样联系的?要说明这些问题,需要确定协议层次的位置,这里以底层网络采用以太网为例进行讨论。
一般来讲,底层网络涉及到网络体系结构的数据链路层和物理层,具体实现时由网络适配器(网卡)描述。对于一个给定的通信链路,链路层协议的主要部分在网络适配器中实现,网络适配器也称为网络接口卡或niC,通常包括Ram、DSp芯片、总线接口和链路接口。适配器的主要部分是总线接口和链路接口,总线接口在适配器和节点之间传输数据和控制信息,链路接口实现链路层协议,负责形成帧,提供差错控制、信道访问控制等链路层功能,链路接口也包括收发器电路。
而应用层、tCp层、ip层协议包含在操作系统中。目前主流的操作系统包括windows、Unix、Linux等,均支持tCp/ip协议。tCp/ip协议的位置以及与5层协议的对应关系如图3所示。
在配置网络协议时,顺序是先配置底层网络协议,在计算机主板的扩展槽上插入网卡,网卡可以实现物理层和数据链路层的功能,安装网卡驱动程序,即安装了低两层的网络协议。之后,选择计算机中使用的网络体系结构和协议,若与internet连接,需要选择tCp/ip协议,绑定ip层协议、tCp层协议和应用层协议,分别对应着网络体系结构中的网络层、运输层和应用层。在相应的操作系统中,可以指定采用的网络协议为tCp/ip协议,然后在tCp/ip协议属性对话框中设置ip地址、子网掩码、网关地址、DnS服务器地址等,从而完成整个tCp/ip协议配置。要清楚网络协议层次绑定的概念,绑定是按自底向上的顺序进行的[2]29-30。
进一步对上述内容进行归纳,说明网络终端节点网络协议的安装和设置步骤:安装网卡驱动程序;指定(安装)tCp/ip协议;绑定网络协议(第一层到第五层);用ping测试协议安装和配置是否成功。
4Rip路由协议水平分割的教学设计
解决Rip路由无穷计算问题的方法是采用水平分割(Splithorizon)和带毒性逆转(poisonreverse)的水平分割机制,目的是最大可能地避免由于协议本身缺陷造成的收敛慢和路由环路问题。Rip无穷计算问题如图4所示。
水平分割采用的设计思想如下:任何一个节点并不把从其相邻节点学到的路由信息再回送给那些相邻节点,即当节点从某个网络接口发送路由更新信息时,其中不能包含从该接口学习到的路由信息。我所知道的有关这条路由的信息是来自于你,就不用再告诉你了。例如,如果节点C在其距离表中有从节点B学到的路由表项(a,2),节点C在发送更新路由信息的距离表给节点B时,在其距离表中不应包含表项(a,2)。
可以类比生活中的例子理解水平分隔的思想。假设北京人(D地)和郑州人(C地)都要去广州(a地),他们都必须经过武汉(B地)。北京人想知道去广州的路径信息必须通过郑州人了解,同理,郑州人想知道到广州的路径信息需要通过武汉人了解。在这种情况下,郑州人告诉武汉人怎样到广州去的路径信息没有任何意义,因为郑州人所得到的怎样到广州的路径信息是从武汉人那里学到的。借助图4来描述上述类比情况,C可以告诉D它到a的实际距离,但C或者不告诉B它到a的情况(水平分割),或者告诉B它到a的距离为无穷大(带毒性逆转的水平分割)。由于C到a的路由要通过B,所以C告诉B它到a的距离没有任何意义。依次类推,D可以告诉e它到a的实际距离,但不用向C通告它到a的距离。可以看出水平分割采用的策略是不对路由信息来源的接口通告路由更新信息[2]200-201。
5三层交换技术的教学设计
局域网采用的一种三层交换技术称为下一跳解析协议(nextHopResolutionprotocol,nHRp),采用的技术也称为“路由一次,随后交换”,3Com公司的Fastip技术使用的就是nHRp[2]296-299。
Fastip的工作原理如图5所示。其中,主机a、B分别处在不同的VLan中,图中数字表示下一跳解析协议的工作顺序。以主机a与主机B通信为例,最初主机a通过路由器与主机B建立通信连接,并学习到a与B之间的交换路径,主机B给出响应,双方建立起交换路径,一旦路由确定了交换路径,双方就可以在确定交换路径上进行通信,无须再通过路由器。这就是“路由一次,随后交换”的核心思想。
可以类比日常生活中的例子来进一步理解“路由一次,随后交换”概念。例如,一个人要到火车站,最初他不知道到火车站的路径,需要询问知道到火车站怎样去的人。这个人找到了火车站,学习到了去火车站的路径,这个人以后再去火车站时,就不用再询问知道到火车站怎样去的人了,可以自己直接去了。
接着,再进一步说明,Fastip受到网络拓扑结构的限制,这是因为nHRp的响应是基于交换路径的,在通信的双方之间必须存在交换路径。Fastip技术的关键是在数据交换过程中避开第三层路由器,把基于ip地址路由表的功能转换成基于端口maC地址表的转发功能。Fastip把交换和路由结合在一起,在一次路由的基础上进行交换,既使用路由,又对路由进行补充。
6结语
采用结合生活知识辅助“计算机网络”理论教学的方法,给理论教学带来清新的思路,是一种把对抽象理论的理解演绎为生活知识类比应用的教学途径。
实践证明,任何复杂、深奥的理论知识,都可以在生活中寻找到可以类比的知识。这又从另一方面说明自然界知识都是互相联系的,需要不断探寻讲授理论知识的方法,与人们生活中的知识结合起来学习,理论知识与生活中的应用知识是相辅相成的。
参考文献:
[1]教育部高等学校计算机科学与技术教学指导委员会.高等学校计算机科学与技术专业核心课程教学实施方案[m].北京:高等教育出版社,2009:229-234.
[2]王相林.计算机网络:原理、技术与应用[m].北京:机械工业出版社,2010.
methodsofaidComputernetworktheoryteachingwithKnowledgeofDailyLife
wanGXianglin
(CollegeofComputer,HangzhouDianziUniversity,Hangzhou310018,China)
什么是网络协议篇2
边界网关协议的工作原理
边界网关协议运行在互联网服务提供商的路由器上,属于一种“幕后”协议。我们都知道互联网是一个庞大的互联网络,边界网关协议的路由就是建立联系的桥梁。它可以让路由器知道如何以及向哪里传输互联网流量。相邻的路由器在边界网关协议被称为邻居。边界网关协议的邻居之间采用的是活跃连接,以便进行信息交换。一旦边界网关协议的路由表发生了变换。路由器会将变动信息自动发送给所有的邻居。在边界网关协议中,由于互联网是一个非常有弹性的网状网。所以邻居的概念是很大的一个部分。
由于互联网是一个网状网络的结果。所以每条路线总是会有多种选择。因此,对于路由器来说,它们是怎么挑选邻居的呢?第一,边界网关协议的每个条目部包含了几个参数。用来对不同性质的路线进行分析。下一步。一个算法将利用这些参数选择出最佳路线。其中的一些参数是weight、localpreference、origin和aS_path(请记住这一个)。这些并不是全部,边界网关协议会检查更多的参数。但这个是最重要的。并且也是最根本的设计缺陷所在。导致窃听行为成为可能。
为了找到最佳路线,边界网关协议会对每个网络的间隔进行考虑。举例来说,―个路由器正在寻找网络地址10.10.10.25。从边界网关协议的路由表中,它可以找到进入10.xxx.xxx.xxx网络的路线。不过,它还发现了另一条可以进入10.10.xxx.xxx网络的路线。因为进入10.10.xxx.xxx网络是一条比较好的路线。路由器将选择它,将数据包发送到10.10.xxx.xxx网络的路由器上。每个路由器都将重复上面的步骤,直至互联网流量到达预定的目的地。
边界网关协议的设计缺陷
现在我们对边界网关协议的工作模式有了清晰的了解,下面我就说明一下为什么边界网关协议的设计缺陷会导致攻击者的重定向和窃听成为可能。基本上,由于边界网关协议中的路由条目的邻居的数量是非常多的。因此,路由器只是假设边界网关协议的路由条且是正确的,并通过这条路径传输数据包。
但攻击者会肆无忌惮地利用这种信任,以便进行边界网关协议的重定向攻击。窃听者所要做的仅仅是比边界网关协议官方提供的邻居细化的网络地址(例如使用10.10.25.xxx之类更接近真实的网络lp地址)。在伪装的边界网关协议数据包传播后,攻击者的网络不用很长的时间就可以得到传输的数据流了。
Youtube的中断事件
边界网关协议的重定向攻击并不是什么新出现的事件,实际上你们中的许多人也许还记得发生在过去几个月的时间里,Youtube的中断事件。这起事件就是由于在巴基斯坦的一家互联网服务提供商偶然误操作的一次边界网关协议重定向造成的。事件的具体细节和互动式显示过程可以在RipenCC(负责整个欧洲地区的ip地址资源分配与管理的组织)的网站上找到。
自治系统的路由器
如果已经访问了Ripe的网站,你就可以发现像aSl7557之类的略由器命名符。自治系统号码(aSn)被分配到每个自治系统(aS)以便来进行识别。简单地说。每个自治系统是一个单独实体,可以对路由信息控制进行处理。该实体负责维护控制范围内所有采用边界网关协议的路由器提供的服务。
两次重定向
当边界网关协议的重定向发生时,即使不是恶意的,造成的后果也是非常明显的。为了对这种行为的后果进行解释。还以Youtube事件为例子。一旦巴基斯坦的互联网服务提供商对边界网关协议路由所做的改动开始生效,Youtube的网站就无法进入,并且会影响到所有国家的访问。
卡佩拉山和皮里苏瓦已经找到一种方法。可以让互联网用户对重定向攻击进行确认。他们创造性地增加了第二次调整,这样就可以防止中间人类型(mitm)攻击进行的窃听。专家们知道。这在理论上是可行的,但直到2008年的DefCon国际黑客大会之前,没人能够实现这样的效果。
通过增加第二次重定向,卡佩拉山和皮里苏瓦给我留下了深刻的印象,因为这不是一个很直观的过程。为了证明这一点,我对确切发生的过程进行一下概略的说明。首先,攻击者的路由器作为到达原始目的地网络的最佳途径是通过欺骗自身实现的。由于边界网关协议的工作原理。我们知道现在错误的路由信息已经传播到攻击者的路由器所有边界网关协议的邻居上。由于所有攻击者的路由器的边界网关协议的邻居都认为它是最佳途径,因此,攻击者的路由器的所有传输都会通过边界网关协议的邻居送回邻居。现在,问题就出现了。不要着急,下面就是最酷的部分。
aSpathprepending
卡佩拉山和皮里苏瓦通过利用aSpathprepending绕过了这个问题。在前面,我们说过路径选择采用了aS_path的属性。在一次回旋操作中。将aS_path的属性调整为自治系统的路由器拒绝来自攻击者的路由器的欺骗性边界网关协议条目。攻击者将转发网络流量到具体的边界网关协议邻居。这样的话,在数据到达目的地之前,采用边界网关协议路由进程的互联网传输将保持正常。
这样意味着什么?
确认通过边界网关协议进行的窃听是很困难的事情。路由追踪可以用来分析,但很难确定是否存在异常行为。为了安全起见,我们必须考虑这是一个中间人类型的攻击并使用相同的优化技术,也就是现在经常说的虚拟专用网。
几种临时的解决方案正在试图消除设计中存在的缺陷。其中的一种解决方案是对边界网关协议的邻居进行验证,但它将耗费大量资源。并且只要有一家互联网服务提供商拒绝使用,整个网络就将崩溃。另一种解决方案是使用签名的证书,对边界网关协议的邻居进行验证。但这只适用于传输过程的第一步。
一种解决方案被称为安全边界网关协议(S-BGp)。下面是他们的网站上对其工作方式的介绍:
“采用安全边界网关协议的网络环境包含了三种安全机制:首先是采用了公钥基础设施(pKl)的网络地址认证机制,并且拥有自治系统(aS)号码,一个自治系统的身份,并且采用边界网关协议的路由器的身份验证和授权系统类似自治系统。
其次,一个新的、可选的传递路径用的边界网关协议属性可以用来进行数字签名,以便进行边界网关协议的路由信息更新。这些证书的签名包含了地址的前缀和路径等信息以便进行验证。
第三,互联网协议安全性系列(ipSec)可以为数据和部分序列的完整性提供保障,并且保证采用边界网关协议的路由器可以对来自其它部分的流量进行验证。”
安全边界网关协议听起来非常强大,但问题是现有的大多数路由器没有足够的内存或处理能力来处理额外的工作量。
最后的思考
什么是网络协议篇3
关键词:ip地址maC地址ip地址与maC地址工作过程
中图分类号:tp393文献标识码:a?文章编号:1007-9416(2015)12-0000-00
1ip地址
为保证因特网上每台计算机间能相互通信,tCp/ip协议规定给相互通信的每台主机用一串32位的二进制数字来标识,这串数字标识就是我们熟称的ip地址。ip地址用于寻找来自不同网络中的主机。任一串ip地址包含网络iD和主机iD两部分。通过网络iD可以确定该ip地址在哪个网络,通过主机iD号可确定它是对应网络中哪一台主机。
2maC地址
所有联网的计算要都必须要配置一块网卡,而我们使用的网卡上就有一串地址,这串地址叫maC地址。maC地址位于oSi模型中的第二层数据链路层,用来定义网络设备的位置,所以也被称为硬件地址。
maC地址采用一串48位的二进制来标识标识网络上的每一台计算机。为方便书写,会用六个字节的十六进制表示,每两个字节间用冒号隔开,如D8:50:e6:D3:88:7a就是一个用十六进制表示的maC地址。maC地址有两部分组成的,别是生产商号和设备编号。前3个字节代表网络生产商编号,后3个字节表示生产商生产的设备编号。
maC地址是一串物理地址,maC具有唯一性,它是固定不变的。如每一块网卡的maC地址是不可更改的,它是在网卡被生产时,厂家烧录到Rom只读存储器中的。用户不需配置maC地址,它是物理设备自带的。
3网络中为什么要用ip加maC两种地址
网络中每台以太网设备(如网卡,集线器,路由器等)都在出厂时都有唯一的一个maC地址,通过maC地址来标识每台主机,那为什么还需为每台主机再分配一个ip地址呢?同样,既然每台主机都配置了一个唯一的ip地址,那为什么每个网络设备在生产时还要内嵌一个maC地址呢?实际上无论是ip地址还是maC地址,在通信时两类地址应同时存在,我们寻找主机时使用的是ip地址与maC地址结合进行,不是靠单独使用ip地址或使用maC地址来实现的。
主要原因是:我们现在使用的国际互联网是由众多局域网通过接入网来加入广域网的。在局域网中通过集线器或交换机把同一个网中的计算机组织到一起,再把组织到一起的不同网络通过路由器与因特网相联,从而构成了一个全世界范围的网络。ip地址是网络层上的一个地址,它工作于广域网上,用于不同网络间的寻址,工作于网络层的路由器就是用来转发ip地址的。maC地址是工作于局域网内部,由局域网内的交换机或其它处理器来转发maC地址。在互联网上传输的ip地址通过路由器到达目标网络后,网络内部的交换机或处理器并不能识别ip地址,无法通过转发ip地址来找到目标主机,所以只有ip地址无maC地址是无法完成通信的。同样由于maC地址仅是用于局域网中转发的地址,无法将maC地址发送到不同网络的广域网中,因此在互联网中仅有maC地址而没有ip地址也是不行的。
另外,在oSi协议参考模型中,ip地址工作七层协议中的第三层即网络层,网络层以上的协议全是以ip地址作为通信的基本地址,他们识别的是ip地址。maC地址是工作在网络层以下的数据链路层,用于底层硬件间的通信。
4ip地址与maC地址在互连网中的工作过程
网络上的数据包从初始点开始,经过一个个中间节点最终到达目标节,数据包是如何从初始节点开始识别一个个中间节点最终找到目标节点的呢?实际上初始节点是根据目标节点的ip地址,将目标节点的ip地址映射到中间节点的maC地址,找到第一个中间节点。从第一个中间节点出发,根据目标节点的ip地址映射到第二个中间节点的maC地址,从而找到第二个中间节点……,以此类推,直到当找到最后一个中间节点后,从最后一个中间节点出发,根据目标节点的ip地址映射到目的节点的maC地址,从而将数据包传送给目标主机。所以数据包的传送过程就是:不断地将目标节点的ip地址映射到一个个中间节点的maC地址,再从一个个中间节点出发,直到找到最终的目标结点。
数据包传送的关键是将目标节点的ip地址映射到中间节点的maC地址。ip地址与maC地址的映射要通过aRp地址解析协议来完成,它可将网络中的ip地址映射到主机的maC地址,如交换机可以根据网络中的ip地址来找到本地主机的maC地址。具体过程是:当交换机接收到来自网上一个数据包时,会根据该数据包的目标ip地址,查看交换机内部是否有跟该ip地址对应的maC地址,如果有上次保留下来的对应的maC地址,就会将该数据包转发到对应maC地址的主机上去。如果在交换机内部没有与目标ip地址对应的maC地址,则交换机会根据aRp协议将目标ip地址按照“表”中的对应关系映射成maC地址,数据包就被转送到对应的maC地址的主机上。
5ip地址与maC地址之间的关系
相同点:ip地址与maC地址都是用来标识网络上的每台主机的一串二进制数字地址,它们必须唯一。但它们又有如下区别:其一长度不同,ip地址为32位,maC地址为48位;其二ip地址是逻辑地址,是可以改变的,它的分配是基于网络拓朴结构。maC地址是设备的物理地址,它的分配是基于制造商;其三它们在网络中寻址方式也是不同的,ip地址位于oSi协议的第三层网络层,通过ip地址用来选择到达目标网的一条路由,负责将数据包从一个网络传送到另一个网络。而maC地址位于oSi第二层的数据链路层,通过maC地址可将数据从一个节点传递到相同网络的另一个节点上,maC可以选主机。ip数据包到达目标网后,最终要通过aRp协议,由ip地址映射到maC地址,最终要落实到maC地址确定物理主机。只有将ip地址与maC地址两者结合起来才可共同完成网上整个寻址过程。
什么是网络协议篇4
关键词:LoadRunner网络流媒体压力测试
中图法分类号:tp316.8文献标识码:aDoi:10.3969/j.issn.1003-6970.2012.02.023
talkingabouttheLoadRunnerinthenetworkstreamingmediaapplicationLiLi(HebeiQuantongCommunicationCo.,Ltd.ShijiazhuangCity,050021)
【abstract】withtherapiddevelopmentoftheinternetandthepopularityofnetworkstreamingmediabusinessdevelopmentwitha
powerfulmarketpower,networkstreammediatechnologyhasbeenwidelyapplied,theuserstreamingmediaservicequalitydemandisalsogrowing.thispaperbrieflyintroducedwhatisLoadRunneranditsprincipleofworkaswellaswhatisanetworkstreamingmediaandstreamingmedianetworkworkingprinciple,thenintroducedhowtouseLoadrunneronthenetworkstreamingmedia,pressuretest,analysisoftestresults,andputsforwardthecorrespondingsolutions.
【Keywords】Loadrunnernetworkstreamingmediapressuretest
0引言
随着互联网的迅猛发展和普及为网络流媒体业务发展提供了强大市场动力,网络流媒体技术也得到了广泛的应用,用户对流媒体业务的质量需求也日益高涨。下面简单介绍什么是LoadRunner和它的工作原理以及什么是网络流媒体和网络流媒体的工作原理,然后介绍如何运用LoadRunner对网络流媒体播放操作进行压力测试,研究分析测试结果,提出相应的解决方案。
1LoadRunner及其工作原理
首先简单介绍一下LoadRunner,LoadRunner是一种预测系统行为和性能的负载测试工具。LoadRunner主要针对基于浏览器相关的业务,通过模拟上千用户,实施并发负载测试及实时监测性能的方式来确认和查找系统存在的问题和瓶颈。运用LoadRunner进行性能自动化测试,项目能最大限度地缩短测试时间,优化性能和加速应用系统的周期。
下面对LoadRunner的原理简单阐述,LoadRunner主要是先模拟单用户操作,记录、解释并执行脚本,最后通过多用户并发执行脚本,找出系统中最薄弱的环节即瓶颈的地方。下面来简单认识一下LoadRunner的内部结构,如图1.1所示,是LoadRunner的总体结构图,包括了主要的三个部分,VUGen,
图1.1
简单描述一下之间的工作原理:
Vugen进行基本脚本的记录。
Controller是一个中央控制台管理和监控负载测试,数以千计的虚拟用户通过Controller执行的应用测试,模拟流量。
analysis对Controller的运行结果进行分析。
2网络流媒体
2.1网络流媒体的定义:
网络流媒体是以流的方式在网络中传播音频、视频或多媒体文件的形式。流媒体用流式传输方式将视频和音频等多媒体文件经过特殊的压缩方式打成一个个压缩包,由Server向用户机连续、实时传送。在采用流式传输方式时,用户不必等到整个文件全部下载完毕后才能看视频或者音频内容,而只需经过很短的启动时间即可播放压缩的视频或音频等流式媒体文件,剩余的部分将继续进行下载,直至播放完毕。这个过程的一系列相关的packge称为“流”。流媒体实际指是一种新的媒体传送方式,该技术全面应用后,人们在网上聊天可直接语音输入,并可以进行视频聊天,大大满足了用户远程可视的愿望。
1.2网络流媒体的工作原理:
要想对网络流媒体进行性能测试,首先要对网络流媒体的工作原理有所了解,以便我们能选择相应的协议,如本次测试需要选择Real、windowssockets、web(Http/HtmL)等协议,一个完整的网络流媒体解决方案应是相关软硬件的完美集成,大致包括:互联网服务、传送内容的采集、编辑、存储、播放、视音频捕获和压缩编码、应用服务器内容管理及用户管理等,在流式传输的实现方案中,一般采用Http/tCp协议来传输控制信息,而用Rtp/UDp协议来传输实时声音数据。如图2.1所示:
图2.1
简单描述:
(1)webBrower与webServer之间使用Http/tCp交换控制信息。
(2)通过Http从webServer检索出相关数据,并进行初始化。
(3)从webServer检索出来的相关服务器的地址定位a/VServer。
(4)a/Vplay与a/VServer之间交换传输所需要的实时控制协议。
(5)一旦数据抵达客户端,a/Vplay就可播放。
因为数据流是以包传输为基础,进行连续或断续的异步传输,在播放时,流式传输的实现需要缓存,在传输中它们要被分解为许多包,由于网络是动态变化的,各个package也会选择不同的路由方式,故到达客户端的时间延迟也就不等,甚至先发的数据包还有可能后到。为此,使用缓存来弥补延迟和抖动,并保证数据包的按照正确的顺序发出,从而使媒体数据能连续输出,不会因为网络暂时拥塞使播放出现停顿。
目前主流的流媒体技术有三种,分别是Realnetworks公司的Realmedia、microsoft公司的windowsmediatechnology和apple公司的Quicktime。这三家的技术都有自己的专利算法、专利文件格式甚至专利传输控制协议。
3运用LandRunner对网络流媒体进行压力测试
LoadRunner的工作原理很简单,但是该如何运用LoadRunner对网络流媒体进行压力测试,首先了解什么叫压力测试,压力测试是通过确定一个系统的瓶颈或者不能接收的性能点,来获得系统能提供的最大的服务级别的测试。通俗地讲,压力测试是为了发现在什么条件下应用程序的性能会变得不可接受。其次是要有测试脚本也就是Script,由于LoadRunner对网络流媒体的记录方式虽然是支持的,但是大部分功能需要手动编写脚本去实现。
3.1测试脚本的编写
Loadrunner中是使用RealplayerLReaL函数仿真Realplayer协议进行客户端和服务器之间的通信功能,每个实时播放功能有LReaL前缀。VuGen能自动记录在Realplayer在session有效期内的LReaL功能列表,但是由于大多录制内容不完全,对于主要的函数功能如:lreal_close_player、lreal_current_time、lreal_get_property需要进行人工编写方可实现。
根据我实际测试的经验,网络流媒体测试步骤可分为以下几步:
使用web(Http/HtmL)和windowsSocket双协议来录制,在产生的Script中找到播放的流媒体文件名。
然后将脚本中web的部分拷贝到事先准备的web和mmS或者web和Real脚本模板中(具体选择哪个模板,根据自己要测试的流媒体格式类型)再手工编写Real或mmS的播放代码。
最后添加关闭代码。(这个很重要,如果不加关闭代码,会导致内存泄漏)。
图3.1列举笔者实际测试网络流媒体的一个脚本实例,由于篇幅所限只显示重要的代码片段。
3.2脚本运行结果
从图3.2脚本运行结果中可以看到clipsizeis1271360milliseconds和clipcurrenttimeis394milliseconds等的时间属性。
接下来可以进入controll控制台,在仿真环境进行模拟多用户使用流媒体进行压力测试。
通过测试可以看到,当用户数为60person时,用户全部通过。
从实测图4的数据中可以看到CpU和内存的使用情况。
%processortime:如果该值持续超过95%,表明瓶颈是CpU。可以考虑增加一个处理器或换一个更快的处理器。
%DpCtime:在多处理器系统中,如果这个值大于50%,并且CpU值很大,可加入一个网卡可能会提高性能,提供的网络已经不饱和,该值越小越好。
memory:内存使用情况可能是系统性能中最重要的因素。如果系统“页交换”频繁,说明内存不足。
page/sec:表明由于硬件页面错误而从磁盘取出的页面数,或由于页面错误而写入磁盘以释放工作集空间的页面数。一般如果pages/sec持续高于几百,可能需要增加内存,以减少换页的需求。pages/sec的值很大不一定表明内存有问题,而可能是运行使用内存映射文件的程序所致。
从实测图4中可以看到CpU和内存基本处于正常状态。
但当连续三次压100人时只有部分通过。(红色代表没通过的用户数)
3.3分析结果:
从实测图1可以看出;
并发10~60人时,通过率还比较高,从并发10人起,随数增加,通过人数变化平稳,说明并发60人以内时,流媒体播放比较稳定。
从实测图2可以看出:
当第一次并发100人时,100人均通过。并且系统保持平稳。
从实测图5和实测图6可以看出:
连续三次并发100人时性能明显下降,只有85人通过,平均响应时间15.896s,已经超过的容忍度。分析原因,是后台播放流媒体没有关闭,后台进程已占满所致,如实测图7所示,没有一个进程能正常运行,说明有内存溢出现象,需要修改脚本代码把状态改为close。
3.4容易出错的地方以及出错原因及解决方案
错误现象1:action.c(12):error:Connectiontotheserverhastimedout.Youmaybeexperiencingnetworkproblems
错误分析:可能是由于网络不可达或本地文件路径出错,或mdrv.exe进程都被挂起。
解决办法:可以先检查一下服务是否可用,本地访问路径是否输入正确。一定要把地址写全,前边的file不能丢。
错误现象2:模拟录制后,脚本的action内容为空。
错误分析:可能没有选择正确的协议,也可能协议选择不全。
解决办法:首先熟悉被测试软件所用的协议,然后根据协议进行选取,注意不能多选,也不能少选,多选容易造成协议间的不兼容现象。
错误现象3:并发后会paSS大幅度减少,eRRoR大幅度增加。
解决办法:查看后台进程表,可能原因就是在写脚本时,没有及时关闭相应的操作。在写代码最后需要关闭流媒体为close状态。
4结束语
本文首先简单介绍什么是LoadRunner和它的工作原理以及什么是网络流媒体和网络流媒体的工作原理,然后通过一些实际测试的方法和步骤,以及测试的图表和数据,证明LoadRunner能成功应用到网络流媒体的性能测试中,并研究分析测试结果,提出相应的解决方案。此次对网络流媒体的性能测试只针对real协议进行测试,对于非real协议的流媒体有待进一步的研究。
参考文献
[1]邵梅,赵旭,刘学佳.谈如何提高非计算机专业高职学生计算机应用能力[J].中国科教创新导刊,2009(8).
[2]于涌主编.软件性能测试与loadrunner实践[m].人民邮电出版社.
什么是网络协议篇5
关键词:计算机网络;教学模式;问题驱动;师生互动;知行合一
文章编号:1672-5913(2013)01-0049-04
中图分类号:G642
计算机网络是一门理论与实践、软件和硬件相结合的课程,它是计算机专业本科生的必修课,更是网络工程专业的主干课程。鉴于该课程的上述地位,当前出现了诸多围绕该课程教学改革的研究和实践,但他们大多围绕教学内容、方法、手段的改革等方面展开。在教育部相关研究课题的支持下,我们重点梳理了计算机网络教学的目标和手段,提出了基于“科学思维模式”的计算机网络课程教学法,以提高学生创新能力为导向,在教学内容组织和教学环节设计中突出学生的创新思维训练,强化学生的创新能力培养,在教学手段上凸显学生的主体地位,在实践训练上注重知行合一,着重培养学生的知识运用和问题分析能力。从而全面提升网络课程在提高学生创新发展等能力方面的功效,使计算机网络课程教学质量大为提高。
1突出创新思维训练的教学设计
计算机网络是网络工程专业的一个核心基础课程,其教学效果对于学生的后续专业课程学习起到至关重要的作用。然而学生普遍反映计算机网络课程学习起来比较困难,通过分析,我们发现,其中一个主要原因在于课程的涵盖面很广,且知识点之间联系性相对较弱。对此,教师在整个课程教学中的内容组织和教学掌控能力就显得尤为重要,教学大纲规定了教学的基本内容,但将这些内容以何种方式传授给学生则体现了教师的能力和价值。在计算机网络课程的教学改革中,我们着重从提高学生的创新能力人手,教学内容的组织上突出系统性和连续性,使学生的知识获取过程成为一个创新思维的训练过程。
鉴于计算机网络本身的复杂性,采用分层结构组织教学内容已经成为共识。采用这一结构进行授课的优点显而易见,它能够有效地帮助学生理解复杂的网络体系结构。然而过分强调分层结构则容易使学生忽略网络体系结构的概念,脑海中出现的只是各个独立的知识点,缺少对网络整体的认识,进而造成学习的困难。
其实,学习计算机网络的过程就是在学生的知识空间内“构建”计算机网络体系结构的过程。因此,在授课过程中,我们将所有知识点均放在网络系统的大环境中进行讨论,理解它们的作用及其相互关系。如图1所示,在讲授网络中每一层时,首先向学生概述该层的作用,与其他层次之间的关联,其次围绕该层的核心概念开展具体分析,最后在总结中进一步对该层在整个网络体系结构中处于什么位置,解决了哪些问题,为其他层次提供了哪些服务,在解决这些问题时利用了另外哪些层次为其提供的服务等。使学生始终围绕网络体系结构展开学习,做到“胸有网络”,各个看似分散的知识点可以通过这种方式有机的串联在一起。一方面避免因知识点太散而影响学习效果;同时又使学生对计算机网络始终有一个整体观和大局观,避免“一叶障目,不见泰山”现象的产生。培养学生系统思考问题的习惯和能力,为以后的创新发展奠定基础。
针对每一个网络协议,我们在讲授过程中都要启发学生思考:为什么要这样做?其设计背景是什么?能够解决什么问题?换一种设计方法行不行?在网络的发展史上,为什么一些技术成功了,而另一些在当时看似非常先进的技术最终却销声匿迹了?对这些问题的思考能够帮助学生更好地理解计算机网络的发展历程,同时也为学生以后从事相关方面的研究提供指导。通过让学生参与到问题的解决和协议的设计,将网络知识的传授过程变为“科学发现”和“科技创新”的过程,将创新能力培养贯穿于计算机网络课程教学的始终,让学生在发现和解决问题的过程中,潜移默化地学习和掌握知识,从而使学生变为学习的主体,有效地促进了学生分析解决问题、动手实践及创新能力的提高,实现知识和能力的有机统一。
2强化创新能力培养的教学手段
在创新能力的培养中,知识的传授是基础,能力的培养是目标。也就是说没有知识传授作为基础,所有的创新之说只能是无本之木。不去有意识地进行学生创新能力培养,那么知识的传授过程也就无法体现其价值所在。为此,我们在教学过程的组织上,按照“课前猜想、课堂研讨、实验验证、课后思考”四个步骤进行,并在课堂上创设学生主体、教师主导的教学氛围,充分调动学生的学习积极性,鼓励学生建言设问,活跃课堂气氛,提高学生的课堂参与意识。
2.1问题驱动的理论课堂教学
要在授课中达到既传授专业知识又培养能力的双重目标,首先要从教学方法改革入手。要改变传统教学中教师“一言堂”、“满堂灌”的现象,真正把课堂还给学生,将教师从知识传授者转变为科学发现过程中的引导者。这一教学模式的基本流程,在每部分的预习环节,选择一个网络中重要而具有启发性的问题,让学生进行预习和猜想;在课堂教学环节,结合猜想组织研讨,然后由教师重点讲授该知识点,将被动的知识传授过程变为主动的知识发现过程,最后启发学生深入思考,如图2所示。
例如:计算机网络中的“协议”概念,一开始学生往往觉得太抽象,不好理解。可以举出生活中两人约定一起看电影的例子,让学生思考制定一套规则使得两个人能够正常完成这一任务,并针对学生制定的规则不断进行引导,例如若学生提出规则“几点几分,在某某电影院门口不见不散”这样的规则,则可以提出“万一某人有事去不了,又没有其他办法告知另一人,这时该怎么办”等,一方面激发了学生的创新思维,另一方面又能够将网络协议这个抽象的内容具体化,消除了学生对计算机网络知识的神秘感和畏惧感。随后教师讲解网络协议的概念,并随后根据课程进度介绍Http协议,在实验课程中,则让学生通过wireshark分析Http协议的具体格式和交互时序,实现理论与实践的相互验证。此后在学习其他协议时可以让学生举一反三,进行类似的分析。
再如,在讲述可靠数据传输过程中,在学生课前预习的基础上,我们连续地通过以下问题启发学生:网络中存在哪些不可靠现象?分组传输过程中出错了怎么办?丢失了怎么办?数据丢失和确认丢失效果是否一样?为什么会出现分组冗余现象?该如何处理?超时计时器该怎样设置比较合理?通过这一系列问题的解决,使学生在教师的引导下逐步完善其最初猜想的可靠传输协议机制,最终实现问题的完美解决。因为在课堂上重现了整个协议的设计过程,并让学生全程参与,其效果远远优于简单地将概念介绍给学生。
在这一教学过程中,学生课前预习效果的好坏对课堂教学效果有重要影响。因此,在实践中我们采取了课堂表扬、增加平时成绩的激励措施,并通过教师的渊博知识和对本学科的热爱,潜移默化地影响学生。从教学的实际效果看,学生对我们选择的内容很感兴趣,在他们提出的方案中,也能看到很多创新性的思想,起到了培养学生创新能力的作用。而且,这种教学方法能给学生带来很强的现场感,激发了学生的主体参与意识,培养了其想象力和创新思维能力,课堂参与度和学习主动性都有比较显著的提升。
2.2师生互动的专题研讨
鉴于计算机网络技术发展迅速、与每个人的生活密切相关等特点,为进一步激发学生主动学习的热情,提高课堂学习的参与度,我们还设计了针对网络中一些重要概念和热门应用的专题研讨课,让学生针对某些概念和网络应用发表自己的理解和看法,以得到更多独立思考的机会,开阔学生眼界,培养学生思维的广阔性和深刻性。
在教学实施过程中,针对计算机网络的层次结构,在网络体系结构、数据链路层、网络层、运输层、应用层各设置了一个研讨课题,如表1所示。这些研讨课题的设置主要基于如下标准:
1)计算机网络的基础和核心概念,如分组交换、路由选择等;
2)一些重要但又相对较难的知识点,如可靠数据传输协议设计、tCp拥塞控制等;
3)充分发挥学生想象力和创新思维的开放性题目,如对网络发展过程中的著名应用、协议及其设计者的深入剖析等。
在课程开始之前,将学员划分为4人每组,教师提前两周将下次课要讨论的内容布置给各小组。学生根据教师提供的材料和思考题做好充分的准备工作,课下以研讨小组为单位进行研究讨论,提前一周以小组为单位上交一份研讨稿,教师帮助学生修改研讨稿,并选择3个小组上台报告成果,报告过程中,老师和其他同学随时针对其报告内容进行提问质疑。最后,教师对所有报告进行点评总结。
在组织学生研讨时,教师要能够掌控教学过程,一方面要对学生做好引导,要求他们加入自己对研讨内容的思考。另一方面要充分肯定学生的创新,从而激发其学习和研究的兴趣,增强他们的创新思维能力。另外,组织研讨的过程中要关注到全体学生,我们采用了平时成绩加分的方式,激励各个小组积极参与报告,取得了很好的效果。
3倡导知行合一的实践训练环节
就计算机网络教学而言,网络协议的交互过程复杂且难以观察理解,网络实验是不可或缺的。针对计算机网络的层次结构,我们设计了9个实验,授课时根据学生实际情况从中选择5个实验课题。重点培养学生的动手能力,使学生掌握科学的实验方法,并能在实践中培养学生的创新能力。为了利用好课堂上有限的实验教学时间,我们进行了以下几个方面的工作。
首先,强调实验预习的重要性。我们要求学生在每次实验之前必须预习实验内容,设计实验方案和步骤,并按要求完成实验预习报告。
其次,注重教师在实验过程中的引导作用。例如,通过报文结构分析验证理论课堂上学习的协议首部格式等。当出现一些错误时,引导学生利用原理分析问题产生的原因,通过实验步骤逐步排除问题,而不是越俎代庖帮他们解决。
例如,在“配置路由器的路由选择协议”实验中,一些学生经常会忽略了配置主机默认网关而导致无法ping通其他设备,此时可以启发学生思考:默认网关的作用是什么?主机为什么需要默认网关?当学生完成协议配置并测试成功后,可以进一步启发他们思考:分组在从pC0到达pC1的过程中其ip地址与maC地址分别是怎么变化的?并让其在packettracer中实际模拟分析。可以说,通过教师有效的引导,学生在一次实验中的收获要远远大于实验本身。
最后,在实验教学过程中还要做到因材施教,让优秀的学生有成就感。例如在套接字编程实验中,有些学生具有较强的能力素质,很快就完成了布置的基本Socket通信程序,此时可以鼓励他们通过分析Http协议,进行web服务器和多线程web服务器的设计和编程实现。当看到自己编写的web服务器程序正确响应浏览器的请求后,不需要教师的任何表扬,学生亦可受到巨大鼓舞。
什么是网络协议篇6
摘 要:随着intemet访问的增加,传统的intemet接入服务已越来越满足不了用户需求,因为传统的intemet只提供浏览、电子邮件等单一服务,没有服务质量保证,没有权限和安全机制,界面复杂不易掌握,Vpn的提出就是来解决这些问题。Vpn的组网方式为企业提供了一种低成本的网络基础设施.并增加了企业网络功能.扩大了其专用网的范围。Vpn技术已经发展了几个阶段,结合相关阶段的技术进行研究,进而展望下一代Vpn技术。
关键词:虚拟专用网;ipSec;SSL;隧道协议
中图分类号:tp393.01 文献标识码:a 文章编号:1009―3044(2007)01―10056-02
1 引言
随着interact访问的增加,传统的intemet接入服务已越来越满足不了用户需求,因为传统的intemet只提供浏览、电子邮件等单一服务,没有服务质量保证,没有权限和安全机制,界面复杂不易掌握,Vpn的提出就是来解决这些问题。Vpn的组网方式为企业提供了一种低成本的网络基础设施,并增加了企业网络功能,扩大了其专用网的范围。
传统的专用网络往往需要建立自己的物理专用线路,使用昂贵的长途拨号以及长途专线服务;而Vpn则是利用公共网络资源和设备建立一个逻辑上的专用通道,尽管没有自己的专用线路,但是这个逻辑上的专用通道却可以提供和专用网络同样的功能。换言之,Vpn虽然不是物理上真正的专用网络,但却能够实现物理专用网络的功能。
2 什么是虚拟专用网(Vpn)
2.1Vpn的定义
Vpn被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接:可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2.2Vpn的主要技术及特点
Vpn具有降低成本、易于扩展、保证安全等优点。Vpn作为一种综合的网络安全方案,包含了很多重要的技术,最主要的是采用了密码技术、身份认证技术、隧道技术和密钥管理技术4项技术。
密码技术:包括对称密钥加密和非对称密钥加密。
身份认证技术:采用pKi体系的身份认证。目前常用的方法是依赖于Ca(数字证书签发中心)所签发的符合X.509规范的标准数字证书。通信双方交换数据前,需先确认彼此的身份,交换彼此的数字证书,双方将此证书进行比较,只有比较结果正确,双方才开始交换数据;否则,不能进行后续通信。
隧道技术:通过对数据进行封装,在公共网络上建立一条数据通道(隧道),让数据包通过这条隧道传输。生成隧道的协议有多种,包括第二层隧道协议、第三层隧道协议及SSL协议等。
密钥管理技术:在Vpn应用中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置的方式.另一种是采用密钥交换协议动态分发。手工配置的方法要求密钥更新不要太频繁,否则管理工作量太大,因此只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥,保证密钥在公共网络上安全地传输而不被窃取,适合于复杂网络的情况,而且密钥可快速更新,可以显著提高Vpn应用的安全性。目前主要的密钥交换与管理标准有SKip和iSaKmp(intemet安全联盟和密钥管理协议)。
3 Vpn解决方案的核心技术:第二层隧道技术
第二层隧道协议是在数据链路层进行的,先把各种网络协议封装到ppp包中,再把整个数据包装入隧道协议中,这种经过两层封装的数据包由第二层协议进行传输。第二层隧道协议有以下几种:
L2F(RFC2341,Layer2Forwarding)
pptp(RFC2637,point-topointtunnelingprotocol)
L2tp(RFC2661,Layertwotunnelingprotoe01)
L2F已经过时,很少使用;pptp在微软的推动与支持下.已经成为一种事实上的工业标准,被广泛实现并已使用很长一段时间,目前夫多数厂家均支持pptp;L2tp作为下一代的隧道协议.是pptp和L2F隧道功能的集合,其隧道并不局限于tCp/ip,但是目前仅支持ip。
第二层隧道协议具有简单易行的优点,但是它们的可扩展性都不好。更重要的是,它们都没有提供内在的安全机制.它们不能支持企业和企业的外部客户以及供应商之间会话的保密性需求,因此它们不支持用来连接企业内部网和企业的外部客户及供应商的企业外部网extranet的概念。extranet需要对隧道进行加密并需要相应的密钥管理机制
4 Vpn解决方案的核心技术:第三层隧道技术
4.1第三层隧道技术分类
第三层隧道协议是在网络层进行的.把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层协议有以下几种:
lpSec(JpSecurity)
GRe(RFC2784,GeneralRoutingencapsulation)
GRe协议提出较早,有很强封装能力,是一种通用的封装形式。然而,GRe协议既不进行加密.又不进行验证,因此通常与其他协议结合使用,
4.2ipSecVpn相关说明
1pSee(ipSecurity)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在ip层提供安全保障。它不是一个单独的协议,它给出了应用于ip层上网络数据安全的一整套体系结构,它包括网络安全协议authenticationHeader(aH)协议和encapsulatingSecuritypayload(eSp)协议、密钥管理协议intemetKeyexchange(iKe)协议和用丁网络验证及加密的一些算法等。
4.2.1ipSec的功能包括:
(1)作为一个隧道协议实现了Vpn通信
(2)保证数据来源可靠(通过认证实现)
(3)保证数据完整性(通过验证算法)
(4)保证数据机密性(通过加密算法)
4.2.2ipSec的主要不足:
(1)安全性能高,但通信性能较低
因为ipSec安全协议是工作在网络层的,不仅所有网络通道都是加密的,而且在用户访问所有公司资源时,就像采用专线方式与公司网络直接物理连接一样。
(2)要客户端软件
需要安装客户端软件,但并非所有客户端操作系统均支持ipSecVpn的客户端程序,南于在每一台客户使用的计算机上安装了管理软件.软件补丁的和远程电脑的配置升级将是一件十分令人头疼的任务。在一些情形中,ipSec安全协议是在运行在网络硬件应用中,在这种解决方案巾大多数要求通信双方所采用的硬件是相同的,ipSec协议在硬件应用中同样存在着兼容性方面的问题。
(3)安装和维护困难
ipSec安全协议方案需要大量的it技术支持,包括在运行和长期维护两个方面。当用户的Vpn策略稍微有所改变时,Vpn的管理难度将呈几何级数增长。在大的企业通常有几个专门的员工为通过ipSec安全协议进行的Vpn远程访问提供服务。
(4)采用隧道方式,使远程接人的安全风险增加
由于ipSecVpn在连接的两端创建隧道,提供直接(而非)访问,并对全部网络可视,因此ipSecVpn会增加安全风险。一旦隧道建立,就像用户的pC机在公司局域网内部一样,用户能够直接访问公司全部的应用。
5 新一代Vpn解决方案的核心技术:SSL协议
5.1SSLVpn的定义
现在,web成为标准平台已势不可挡,越来越多的企业开始将eRp、CRm、SCm移植到web上。SSLVpn指的是以HtFpS为基础的Vpn.但也包括可支持SSL的应用程序。例如,电子邮件客户端程序,如microsoftoutlook或eudora。SSLVpn经常被称之“无客户端”.因为目前大多数计算机在出货时,都已经安装了支持HtFp和Hti'pS(以SSL为基础的Htrp)的web浏览器,所以SSLVpn可以通过web浏览器实现无客户端的远程访问。目前,SSL已由tLS传输层安全协议(RFC2246)整合取代,它工作在tCp之上。
5.2SSL的体系结构设计
SSL是为了利用tCp提供可靠的端到端的安全传输。SSL不是一个单独的协议.而是两层协议,即SSi,记录协议和存记录协议之上的三个子协议.如图2所示。其中,最主要的两个SSL子协议是记录协议和握手协议。
5.3SSLVpn技术的主要优点
(1)无需安装客户端软件:执行基于SSL协议的远程访问不需要在远程客户端设备上安装软件,只需通过标准的支持SSL的web浏览器连接因特网。
(2)适用大多数设备:基于web访问的开放体系可以运行标准的浏览器访问任何设备。
(3)可以穿越防火墙进行访问:基于SSL的远程访问方案中,由于SSi以443通讯端口作为传输通道,它通常是作为webServer对外的数据传输通道,防火墙是开放此端口的.因此不需要在防火墙上做任何修改,从而减少管理员的困扰,同时也不会降低整个通讯系统的安全性。
(4)维护工作量小,减少费用:对于那些简单远程访问用户(仅需要进入公司内部网站或者进行email通信),基于SSL的Vpn网络可以非常经济地提供远程访问服务,而这也是SSLVpn最适用的场合。
5.4SSLVpn的不足
上面介绍SSLVpn技术这么多优势,那么为什么现在不是所有用户都使用SSLVpn,且据权威调查机构调查显示目前绝大多部分企业仍采用ipSecVpn呢?SSLVpn的主要不足在哪里呢?
(1)只能有限地支持windows应用或者其它非web系统:因为大多数基于SSL的Vpn都是基于web浏览器丁作的,远程用户不能在windowS、UniX、Linux、aS400或者大型系统上进行非基于web界面的应用。虽然有些SSL提供商已经开始合并终端服务来提供上述非web应用,但不管如何,目前SSLVpn还未正式提出全面支持.这一技术还有待讨论,也可算是一个挑战。
(2)SSL存在潜在弱点,验证网络服务器身份所使用的数字证书可能会被偷窃或复制。如果两台计算机协商建立新的SSL会话.它们会使用数字证书(SSL证书)来确认对方的身份、交换密钥材料。密钥材料的交换利用网络服务器的公钥(网络服务器的SSL证书私有公钥)对材料进行加密。一收到加密后的材料,网络服务器就用相应的私钥进行解密。
(3)驱动SSL会话所需的任务繁重的密码计算会影响网络服务器的性能。标准的计算机处理器不是为专门的密码处理而设计的。网络服务器的处理器速度、存储器容量、操作系统及网络服务器软件都对决定SSL的整体性能起到重要作用。
6 未来的Vpn
什么是网络协议篇7
关键词:以太网通道技术,线路热备,CaCti监控平台,自动短信告警
0引言
三网融合的提出以及日益发展,对广电网络提出了新的挑战,广播电视节目的传统传输方式已经不能够承载飞速发展的数字电视、互动电视、高清电视和其他宽带数据需要。目前综合传输业务越来越和ip方式融合。那么建设一个可靠的、高带宽的数据通信网是一个迫在眉睫的任务,也是推动将来业务发展的必要条件。而各地的广电网络公司在数据通信网方面的运维技术、经验目前还很欠缺,面临起步晚,建设规模小,网络设备不统一,专业网络运维人员少,用户数量少等系列问题。这些都是阻滞广电发展综合业务的不利因素。怎样依据自身网络现状,采用合适的技术来提供不间断的数据网络服务,逐步夯实基础,积累经验,为广电的发展奠定基础,才是正确而务实的技术运维思路。
以太网通道技术,是一种最基本的交换机间互联技术,不管是最底端的还是高端的设备,都支持这种技术。依靠这种协议做成的线路热备,与设备无关,只要我们具有不同路由的光纤线路,就可以实现热备。
1以太网通道技术和链路备份
1.1链路备份的方法
网络技术的飞速发展,为以太网链路备份提供了多种选择,例如采用二层网络的生成树协议Stp,或者快速生成树协议RStp,还有多协议生成树协议mStp等。都能达到链路备份以至于负载均衡。或者H3C等厂商开发的快速环网保护协议RRpp。
但是,对于以太城域网来说,运营中都是逐步建设的,也就是说不同时期投入的设备可能不同,那么其性能也可能不一样,这样的网络设备不可能使用Stp协议或者某厂商的链路保护协议了。
1.2为什么要使用以太网通道?
长久以来,不管是网络上还是实际使用中,以太网通道技术基本上都被用来作为一种扩展带宽的方法来使用。2、4、8个fastethernet端口捆绑在一起构成双向400m800m1.6G的交换机间链路。即使千兆以至万兆的链路都可以这样来做。
网络建设是一个循序渐进的过程,一次性建设成双星型或者设备热备型的网络是不现实的。可能我们只能有一个核心设备,外部星型分布接入层设备,组成一个单星型网络。这样的网络类型是脆弱的,特别是链路的突发中断对网络的运营造成很大的影响;某天突然想到:何不用以太网通道来做线路热备呢?只要我们具有两个不同路由的光纤线路,就可以完美实现线路热备。还附带着能增加网络带宽,这样的好事情何乐而不为呢!
以太网通道技术在不增加设备的情况下就能完美的实现线路的热备,是一种性价比最好的热备方式了。
1.3怎么构成以太网通道
以太网通道技术(etherchannel)特性在交换机到交换机、交换机到路由器之间提供冗余的、高速的连接方式,也就是说将两个设备间多条快速以太网(Fe)或G位以太网(Ge)物理链路捆绑在一起组成一条设备间逻辑链路,从而达到增加带宽,提供冗余的目的。目前也支持10G链路的聚合使用。
构成以太网通道的端口必须配置成相同的特性,如双工模式、速度;同为Fe或Ge端口;本征Vlan、Vlan范围;trunk封装类型、状态等。
当以太网通道中某一条链路中断时,etherchannel中其它链路照常工作。博士论文,CaCti监控平台。而流量也会及时转移到通着的线路上来,这中间可能会产生瞬时的中断、丢包,但是其时间间隔很短,可能只有几十毫秒到1秒钟之内,完全在容许的范围内,而且ping测试中不会出现丢包现象,那么用户在实际体验中根本感觉不到变化。博士论文,CaCti监控平台。
还有一些扩展特性,在网络流量做详细调整时可能使用到。以太网通道在作数据转发时,通过接口配置命令pagpport-priority改变优先级设定哪条物理链路主用,哪条备用,一旦主用物理链路上产生阻塞,备用链路立即启用。
以太网通道在作数据转发时,是基于数据包的源或目的ip或者maC地址随机选择etherchannel中的一条物理链路进行数据转发的。我们可以通过全局配置命令port-channelload-balance选择是根据源ip或者maC地址还是根据目的ip或者maC地址进行数据转发来实现负载平衡。
实际网络中骨干上使用trunk模式也就是带vlan标记的通道模式,这对开展各种业务大有裨益。
1.4实验的验证过程
下面的测试实验主要是检验二层trunk链路的热备倒换时网络会不会发生中断以及中断的时间等参数,用两台思科3560交换机,两太pC机,组成下图的结构。
图1拓扑图
交换机1和交换机2的47-48端口配置成ethernetchannel。用两条网线连接起来,交换机1的端口1接服务器,交换机2的端口1下接一台pC机。服务器启用Ftp软件,pC机上下载大型文件来测试。下面是交换机配置(两台配置一样):
interfaceport-channel1
switchporttrunkencapsulationdot1q
switchportmodetrunk
interfaceFastethernet0/1
switchportaccessvlan101
switchportmodeaccess
interfaceFastethernet0/47
switchporttrunkencapsulationdot1q
switchportmodetrunk
channel-group1modeon
interfaceFastethernet0/48
switchporttrunkencapsulationdot1q
switchportmodetrunk
channel-group1modeon
从pC机连续ping服务器,同时在pC机上下载Ftp服务器上的大型文件。断开端口47的网线,观察2分钟时间,ping未出现断开,下载依然。然后恢复47号端口的连线,等待47号端口从橙色变为绿色表示恢复连接完成。也未出现ping丢包的现象,下载依旧进行着。从而可以得出结论,用以太网通道技术来实现线路的热备是完全可行的。博士论文,CaCti监控平台。博士论文,CaCti监控平台。其网络的连通性效果也是能达到实际运营要求的。博士论文,CaCti监控平台。
2线路中断的自动报警和发送邮件
有了能帮助我们实现线路热备的技术条件,再结合开源软件搭建的CaCti网络监控平台来实现自动监控、自动报警。博士论文,CaCti监控平台。
我们的骨干设备是思科公司的,所以我们开发了Cacti相关的模版Ciscointerfacestatus来实现线路的自动监控。其作用就是能监控Cisco设备的端口状态,当端口Up时其值为1,而当线路断开,端口Down时,其值为2。我们设定一个最高阈值Highthreshold为1,当阈值超过这个最高值时,系统认为不正常,将发出警告。我们将CaCti系统的告警邮箱设置为自己的手机邮箱,依据移动运营商的手机邮箱功能,我们就能很方便的用手机接收告警信息了。
我们有东向、西向两条不同路由的光缆到达某个机房。
在数据源datasources里面,修改name项目,就能在发送的email告警里明确显示线路路由信息。
图2数据源修改
一旦某个路由的光缆中断,阈值页面将显示告警信息:
图3告警页面
同时CaCti系统将发出告警email,其内容如下:
主题:test3560-1-西区分机房西向环1-2#-Fa0/47[int_status]wentabovethresholdof1with2
内容:请注意
Host:test3560-1(192.168.1.200)
1表示线路正常,2表示线路断
message:test3560-1-西区分机房西向环1-2#-Fa0/47[int_status]wentabovethresholdof1with2
据此,我们就能明确知道那条路由的线路发生中断了。这样不管是什么时间,什么地方,只要有手机信号的地方,我们就能及时知道故障,并及时通知运维人员抢修线路。当线路恢复后,同样我们能接受到一封恢复邮件:
主题:test3560-1-西区分机房西向环1-2#-Fa0/47[int_status]restoredtonormalthresholdwithvalue1
内容:请注意
Host:test3560-1(192.168.1.200)
1表示线路正常,2表示线路断
message:test3560-1-西区分机房西向环1-2#-Fa0/47[int_status]restoredtonormalthresholdwithvalue1
据此,我们完美实现了利用以太网通道技术结合CaCti模板来实现线路热备、中断报警,抢修完成通告的自动化网络监控运维。
什么是网络协议篇8
关键词:omnipeek;协议分析;端口镜像;校园网
中图分类号:tp393文献标识码:a文章编号:1009-3044(2009)04-0828-03
omnipeeknetworkprotocolanalysisBasedonportmirroring
weiping1,2
(1.SchoolofinformationtechnologyJiangnanUniversity,wuxi214122,China;workCenterofwXStC,wuxi214028,China)
abstract:Campusnetworkisahighlyintegratedsystemproject.withanincreasingcomplexityoftheinteractionamongavarietyofnetworkdevices,applications,andnetworkingusers,networkmanagementtendstobemoreimportant.omnipeeknetworkprotocolsoftwarebasedonswitchportmirroring,cancaptureandanalyzenetworkdata,helpnetworkadministratorsmonitornetworkstatus,removenetworkerrorsquicklyandoptimizenetworkperformance.
Keywords:omnipeek;protocolanalysis;portmirroring;campusnetwork
1引言
随着信息化在我国的不断深入和发展,校园网为高等教育事业注入了新的活力。internet的接入扩大了校园网的应用范围,网络技术的高速发展带来了许多新技术应用,各类网络信息平台广泛应用于“产、学、研”。这些都成为衡量高等院校信息化水平的重要标志,信息化全面带动了我国高等教育事业的现代化。在校园网物理拓扑基础架构已经确立,各种网络设备、应用程序与联网用户的交互作用却日益复杂。在大型网络架构中,确保网络的快速响应和高效率运行,这是基本的网络故障检测和网络管理研究的范畴。
如何对校园网进行全方位有效的管理,及时掌握网络的运行状况并在网络发生故障后能及时分析、排查,已成为网络管理员的重要工作并日益受到重视。网络分析软件提供了复杂环境中维护、分析和管理网络的优秀工具。omnipeek是美国wildpackets公司推出的一款功能强大的协议分析软件,与sniffer类似,它提供了优秀的网络实时管理和故障检测等功能。
2网络协议分析在校园网管理中的重要性
校园网是一个高度集成的系统工程,由于各种不确定因素,网络管理员时刻面对着大量网络管理方面的问题,需要全面了解网络的运行状况,及时作出判断和决策。如:
1)当前网络中有多少计算机在访问internet?每个校园网内部ip所占的数据流量有多大?
2)网络中运行着哪些应用协议?各种应用协议所产生的传输流量占多大的比例?
3)某个时段校园网与internet的通信总量有多少?网络利用率如何,有没有传输性能上的瓶颈?能否优化网络性能?
4)通讯主机的源maC地址、源ip地址、源端口是什么?目的maC地址、目的ip地址、目的端口是什么?数据包解码后的具体内容是什么?能否实时显示每个ip的网络连接图?
5)有没有广播风暴和网络攻击行为?有没有中毒计算机在不断向网络发送攻击数据包?能否及时判断和排查等等?
上述都涉及到了校园网中比较复杂的、深层次管理方面的问题,在许多情况下可以利用网络协议分析软件来辅助判断和决策。
3omnipeek网络分析软件的特点
omnipeek利用计算机网卡捕获交换机镜像端口数据,并实时统计分析出结果,能全面反映网络底层的运行状况。omnipeek主要特点如下:
1)提供了针对整个网络系统(或者子网)的实时故障检测。
2)包括功能强大的、与现有网络很高相关性的分析工具,能识别大量主流的应用协议。
3)界面友好、清晰直观,与sniffer相比,操作和配置均比较简单。
4)基于数据包流的专家级和应用程序级分析,支持分布式错误分析与无线网络。
5)以oSi(开放系统互联)参考模型为基础,提供了从物理层到应用层的全七层实时解码、显示网络数据包。
6)自动生成各类分析报告及图表,为保护并优化网络性能提供决策依据。
4omnipeek网络分析平台的构建
建议采用windows2000server以上操作系统作为omnipeek的oS平台,为了确保网络抓包和协议分析的高效、稳定,通常采用高性能CpU处理器、大容量内存和千兆网卡的服务器平台。在小型局域网中(一般不超过20台计算机),可以采用百兆集线器(HUB)抓包。但在大型网络中,核心层采用HUB抓包会造成网络传输性能的严重瓶颈。所以通常采用高性能的千兆智能交换机,如思科的Catalyst系列全千兆三层交换机。利用思科的Span(Switchedportanalyzer)功能,把交换机的某1个或者多个源端口中全部接收和发送的数据流实时复制(镜像)到某1个目的端口上,其中目的端口连接omnipeek的服务器网卡。
网络中心通常分析整个校园网与internet出口处的网络通讯数据包,也可以针对某个VLan、或某个汇聚层、接入层交换机分析数据包。以思科wS-C3750G-24t-S交换机为例,进行如下配置:其中交换机的port1连接防火墙的lan口,port2连接核心交换机Catalyst6509的千兆以太网模块,port24作为port1的镜像端口。即把校园网中全部通过防火墙的数据包复制到port24,同时port24连接omnipeek的服务器网卡,以便抓包和分析统计。
思科wS-C3750G-24t-S交换机的Span端口镜像配置命令如下:
Switch>enable
Switch#configterminal
Switch(config)#nomonitorsession1
Switch(config)#monitorsession1sourceinterfacegigabitethernet1/0/1
Switch(config)#monitorseesion1destinationinterfacegigabitethernet1/0/24
Switch(config)#end
Switch#copyrunning-configstartup-config
Switch#exit
5omnipeek的具体应用与分析实例
启动omnipeek软件后,点击“newCapture”,设定抓包缓冲区“BufferrSize”的大小,如“300m”字节,如图1所示。当服务器存在多块网卡,必须在“adapter”中选择当前用于抓包的网卡。点击“确定”后选中“StartCapture”,即开始一次新的抓包过程。在网络使用的高峰时间段,或者网络发生故障、性能不稳定、传输流量异常等情况时启用omnipeek,就可以实时分析网络的运行状况。
1)流量分析与交换机端口速率优化。
通常网络流量越大,对整个网络造成的影响就越严重。根据校园网内部每个ip的网络流量从大到小进行排序,发现某些ip流量较大,如图2所示。主要是实验室服务器、图书馆光盘镜像服务器、多媒体教室计算机等。服务器集中控制实验机房计算机的上网接入,omnipeek能检测出其wan口网卡的流量。光盘镜像服务器用于图书馆非书资源的上传和下载,而多媒体教室的计算机经常要用到视频课件点播服务,因此产生的流量都比较大。其它一些计算机流量大,是因为有的用户在滥用Bt、迅雷、emule等p2p工具进行大流量下载。因此在接入层交换机端口,根据不同的应用需求,灵活的设置不同端口速率,如服务器等设置端口速率上下行达到20m,普通办公计算机设置端口速率上下行达到2m,以优化网络的整体传输速率。对于一些常用的工具软件、视频课件等,网络中心可以在校园网核心层设置一台内部Ftp服务器,以Lan方式供用户下载,从而大大减轻internet出口路由器的传输压力。
2)某个子网上网故障分析和排查。
某天上午,9网段用户报告网络故障,反映其整个网段不能接入校园网。启用omnipeek协议分析后,根据ip通讯列表排序。发现整个192.168.9.0网段的计算机与internet没有任何通讯流量,但其它网段用户均能正常访问internet。可以初步排除核心交换机、防火墙和internet出口路由器的故障。因此故障原因可以从核心交换机的9网段光纤模块起,到其汇聚和接入层交换机及综合布线处查找。经排查,发现9网段汇聚交换机端光纤模块松动,导致其整个子网数据传输链路中断。经重新插紧光纤模块后,数据链路接通,上网恢复正常。
3)网络攻击分析和紧急处理。
某天下午,校园网用户普遍反映上网速度奇慢,internet网页不能正常打开,网络传输性能急剧下降。启用omnipeek协议分析后,根据ip通讯列表排序,发现核心层192.168.0.150这台主机不停的向网络发送大量UDp攻击数据包,上传流量特别大。再仔细检查这台计算机,发现系统日期被篡改,杀毒软件已被禁用,肯定是感染了某类恶意计算机病毒引起的网络攻击。为了恢复网络的正常工作,采取临时措施果断地拔下这台主机的网线,整个校园网立即恢复了畅通。后经重新安装操作系统,彻底查杀计算机病毒,修复全部补丁,192.168.0.150主机恢复了正常工作。在大型校园网中,由于联网用户众多,网络中心可以架设一台网络杀毒服务器,集中部署客户端杀毒软件,对联网计算机进行病毒查杀和病毒库统一升级,以提高网络的整体安全性。
4)网络协议应用状况查询。
在omnipeek的分析结果中,点击“protocols”,可以查看在某时段网络协议的应用分布情况,如图3所示。网络管理员可以及时掌握当前主要网络协议的占用比率,以及哪些ip在运行这些协议,比如Http传输协议所占的百分比。双击“Http”后,显示出这个时段哪些ip用户在通过Http浏览网页,并可了解每个ip的Http传输字节数与数据包数。点击“Bittorrent”后,可以看到当前哪些ip在运行Bt下载软件等。图3所示,在某个网络使用的高峰时段,UDp协议所占比例较大,达到72%左右,反映出当前基于UDp协议的网络应用程序利用率所占比例最大。
5)ip网络通讯连接图
在omnipeek的分析结果中,点击“peermap”,可以清晰的看到每个ip之间的网络连接交通图。如ip为192.168.0.198与218.90.175.169的两台主机建立了连接,而在网络协议中这个连接是基于Http协议的,说明内网中ip为192.168.0.198的主机登录到ip为218.90.175.169的主机,利用Http协议浏览网页。通过ip网络通讯连接图还可以查看网络广播、组播等连接情况。
6)网络统计结果汇总表
在omnipeek的分析结果中,点击“Summary”,可以查看在某时段网络利用率的统计汇总表,如图4所示。包括开始分析的日期与时间、网络丢包数、总的传输数据包数、当前利用率bits/s、平均利用率等参数。还包括了email、Ftp、iCmp、Voip分析与internet攻击、weBURLs等统计信息,为网络管理员分析校园网总出口处的运行状况提供了全面的统计数据。
7)协议过滤与数据包分析
为了有针对性的分析某些网络协议,可以点击“Filters”,选择一个或多个协议进行分析。以Ftp协议为例,筛选Ftp(Ftpdataorcontrolpackets)后,开始一次抓包过程。这时omnipeek对进出防火墙的的“Ftp连接与传输”单独抓包并分析。点击“packets”后查看列表,可以看到源ip为192.168.0.193的主机与目的ip为218.90.174.165的Ftp服务器进行连接并下载数据,同时显示出这两台主机网卡的maC地址,如图5所示。双击某记录后,能够详细的显示这个ip数据包的完整结构信息。在解码数据“summary”一栏中,显示出登录用户名为“test”,密码为“123456”。这说明了omnipeek能够对数据包中隐含的深层次信息进行分析解码,同时反映了客户机利用Ftp下载,登录用户名与密码以明文方式发送存在着一定的安全隐患。在一些网络安全级别较高的环境中,可以通过SSH等加密方式进行远程主机登录和连接,以提高安全性。
■
图5
以上是omnipeek的基本应用与常见的实例分析,其它一些高级特性,如广域网分析、无线网络分析、“expert”专家分析、omniDnX分布式引擎应用等,可以随着网络架构的规模与大小、复杂程度等,作进一步深入研究与灵活应用。
6结束语
网络协议分析在网络管理中的地位日益重要,并在广域网、企业网、校园网、高校宿舍网、宽带小区网等各类大中型网络中得到了广泛的应用。omnipeek、sniffer等协议分析软件的许多设计思想和功能特性被集成到“行为监管器”等网络安全设备中,用于网络日志的记录与监管。作为高职高专院校,可以把它列为一门重要的计算机网络实训课程,在修完“网络基础”、“tCp/ip协议原理”、“网络工程”和“交换机与路由器配置”课程后学习。对于学生理论联系实际、深刻理解网络协议的基本原理与应用,提高动手能力和网络管理水平,以及积累一定的实践经验都有很大的帮助。
参考文献:
[1]/products.
什么是网络协议篇9
关键词:网络安全;aRp攻击;双向绑定
中图分类号:tp393文献标识码:a文章编号:1009-3044(2008)36-2611-01
SchemesforaRpDiseaseSolving
YanYan
(LiaoningprovinceDirectlySubordinateorganemployees'University,Shenyang110032,China)
abstract:thepaperbrieflyintroducesaRpagreement,analysestheprinciplesforaRpattackingandillustrateseffectivenessofprevalentpreventionsandtreatments.itputsforwardyetthatbidirectionalbindingofexchangerisoverallandlastingschemeforsolvingthedisease,thatisjointlyrealizedbymanagementofnetworkwithdispositionofhardware.
Keywords:networksafety;aRp'sattacking;two-waybinding
1引言
最近计算机网络经常受到各种各样的aRp病毒的攻击,如何防治aRp病毒攻击,是我们每个技术人员都要应对的问题。随着病毒侵害愈演愈烈,防治的方案也多种多样,各种防治方法让人无所适从,但一些方法只对个别的攻击有效,对其他的aRp攻击发挥不了作用,同时降低了局域网工作效率。怎样才能有效防治aRp病毒的攻击,从根本上解决问题?这就需要我们了解aRp攻击的机理,判断各种防治方式的有效性,并介绍为什么交换机双向绑定是目前较全面又持久的解决方案。
2aRp病毒介绍
2.1aRp协议与aRp攻击
当局域网内某台主机运行aRp欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。要了解故障原理,我们先来了解一下aRp协议以及aRp攻击的常用手法:aRp欺骗。从影响网络连接通畅的方式来看,aRp欺骗分为二种,一种是对路由器aRp表的欺骗;另一种是对内网pC的网关欺骗。第一种aRp欺骗的原理是――截获网关数据。它通知路由器一系列错误的内网maC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的maC地址,造成正常pC无法收到信息。第二种aRp欺骗的原理是――伪造网关。要了解故障原理,我们先来了解一下aRp协议以及aRp攻击的常用手法:aRp欺骗。从影响网络连接通畅的方式来看,aRp欺骗分为二种,一种是对路由器aRp表的欺骗;另一种是对内网pC的网关欺骗。第一种aRp欺骗的原理是――截获网关数据。第二种aRp欺骗的原理是――伪造网关。它的原理是建立假网关,让被它欺骗的pC向假网关发数据,而不是通过正常的路由器途径上网。在pC看来,就是上不了网了,“网络掉线了”。
aRp协议是“addressResolutionprotocol”(地址解析协议)的缩写。aRp是地址解析协议,aRp协议主要负责将局域网中的32位ip地址转换为对应的48位物理地址,即网卡的maC地址。计算机有aRp缓存表,用于保存ip地址以及相应的maC地址。解析过程是一台主机先发送包含目标主机ip地址信息的广播数据包,即aRp请求,目标主机收到请求后向该主机发送一个含有ip地址和maC地址数据包,即aRp应答。将目标主机ip地址以及相应的maC地址保存在aRp缓存表中,以备通讯之用,两个主机就可以实现数据传输了。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的maC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的maC地址。但这个目标maC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标ip地址转换成目标maC地址的过程。aRp协议的基本功能就是通过目标设备的ip地址,查询目标设备的maC地址,以保证通信的顺利进行。所以说从某种意义上讲aRp协议是工作在更低于ip协议的协议层。这也是为什么aRp欺骗更能够让人在神不知鬼不觉的情况下出现网络故障,他的危害更加隐蔽。
2.2aRp攻击的机理
在网络中发送虚假的aRp应答就可以实现欺骗的目的,使发出aRp请求的主机的aRp缓存表中记录ip地址及错误的maC地址。这种错误的对应关系就是aRp欺骗。aRp解析协议产生这样的问题,就造成了数据包不能准确到达。错误数据包引起网络重发,结果就是越发越多,超负荷运转,就会导致网络瘫痪,从而导致主机不能上网。
一般计算机中的aRp协议,对于应答数据包总是无条件覆盖本机缓存中的ip/maC对照表。这就造成只要有恶意计算机在局域网持续发出错误的aRp讯息,就会让计算机及路由器信以为真,作出错误的传送网络包动作。一般的aRp就是以这样的方式,造成网络运作不正常,达到盗取用户密码或破坏网络运作的目的。
3防治aRp攻击的常见方法
针对aRp攻击的防治,常见的方法,可以分为以下三种:
①利用aRpeCHo传送正确的aRp信息:通过频繁发送正确的aRp对照表,来达到防治的效果。它是最早开发出来的aRp攻击解决方案,但随着aRp攻击的发展,渐渐失去它的效果。常见的aRpeCHo处理有两种,一种是由路由器持续发送,另一种则是在计算机或服务器安装软件发送。持续发送的缺点是被广播包占据大量带宽,另外攻击软件通常会设定更高频率的广播包,这个方法不但面对攻击没有防治效果,还会降低局域网运作的效能,
②利用绑定方式,固定aRp对照表不受外来影响:通过固定正确的aRp对照表,来达到防治的效果。但是aRp绑定并不是灵丹妙药,网管必须通过网络监控或扫瞄的方法,找出攻击者加以去除,只作路由器端绑定效果有限,一般计算机仍会被欺骗,常发生掉包或掉线的情况。
③舍弃aRp协议,采用其它寻址协议:不采用aRp作为传送的机制,而另行使用其它协议例如pppoe方式传送。
以上三种方法中,前两种方法较为常见,第三种方法由于变动较大,适用于技术能力较佳的应用。
3交换机双向绑定方案
双向绑定的解决方案,就是在路由器上绑定aRp表的同时,在每台电脑上也绑定一些常用的aRp表项。它能够防御轻微的、手段不高明的aRp攻击。aRp攻击程序如果没有试图去更改绑定的aRp表项,那么aRp攻击就不会成功;如果攻击手段不剧烈,也欺骗不了路由器,这样我们就能够防住aRp攻击。在现在aRp双向绑定流行起来之后,攻击程序的作者也提高了攻击手段,攻击的方法更综合,另外攻击非常频密,仅仅进行双向绑定已经不能够应付凶狠的aRp攻击了,仍然很容易出现掉线。
事实上,由于路由器是整个局域网的出口,而aRp攻击是以整个局域网为目标,当aRp攻击包已经达到路由器的时候,影响已经造成。所以由路由器来承担防御aRp攻击的任务只是权宜之计,并不能很好的解决问题。
我们要真正消除aRp攻击的隐患,安枕无忧,必须对局域网核心--交换机做工作。由于任何aRp包,都必须经由交换机转发,才能到达被攻击目标,只要交换机拒收非法的aRp包,那么aRp攻击就不能造成任何影响。
真正严密的防止aRp攻击的方案,就是在每台接入交换机上面实现aRp绑定,并且过滤掉所有非法的aRp包。这样可以让aRp攻击足不出户,在局域网内完全消除了aRp攻击。因为需要每台交换机都具有aRp绑定和相关的安全功能,这个方案的价格无疑是昂贵的。
参考文献:
[1]冯登国.计算机通信网络安全[m].北京:清华大学出版社,2001.
[2]单国栋,戴英侠,王航.计算机漏洞分类研究[J].计算机工程,2002,28(10):3-6.
[3]夏云庆.VisualC++6.0数据库高级编程[m].北京:希望电子出版社,2003.
[4]段钢.加密与解密[m].2版.北京:电子工业出版社,2005.
什么是网络协议篇10
关键词:aRp欺骗;网关;计算机;局域网;断网
其实,此伏的瞬间掉线或大面积的断网大都是aRp欺骗在作怪。aRp欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。一般来说,aRp欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为pC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。这一切的一切其实都是aRp惹的祸。那么什么是aRp欺骗呢?它又是如何实现这一破坏呢?下面我们从几个方面来开始研究:
第一、什么是aRp?aRp(addressResolutionprotocol),即地址解析协议,是根据ip地址获取物理地址的一个tCp/ip协议。主机发送信息时将包含目标ip地址的aRp请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该ip地址和物理地址存入本机aRp缓存中并保留一定时间,下次请求时直接查询aRp缓存。地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送aRp应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机aRp缓存;由此攻击者就可以向某一主机发送伪aRp应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个aRp欺骗。aRp命令可用于查询本机aRp缓存中ip地址和maC地址的对应关系、添加或删除静态对应关系等。相关协议有RaRp、aRp。nDp用于在ipv6中代替地址解析协议。
aRp攻击就是通过伪造ip地址和maC地址实现aRp欺骗,能够在网络中产生大量的aRp通信量使网络阻塞,攻击者只要持续不断的发出伪造的aRp响应包就能更改目标主机aRp缓存中的ip-maC条目,造成网络中断或中间人攻击。
aRp攻击主要是存在于局域网网络中,局域网中若有一个人感染aRp木马,则感染该aRp木马的系统将会试图通过“aRp欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
从影响网络连接通畅的方式来看,aRp欺骗分为二种,一种是对路由器aRp表的欺骗;另一种是对内网pC的网关欺骗。第一种aRp欺骗的原理是――截获网关数据。它通知路由器一系列错误的内网maC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的maC地址,造成正常pC无法收到信息。第二种aRp欺骗的原理是――伪造网关。它的原理是建立假网关,让被它欺骗的pC向假网关发数据,而不是通过正常的路由器途径上网。在pC看来,就是上不了网了,“网络掉线了”。而且如果第一种aRp欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。作为网吧路由器的厂家,对防范aRp欺骗不得已做了不少份内、份外的工作。
第三、如何防范aRp欺骗?目前对于aRp攻击防护问题出现最多是绑定ip和maC和使用aRp防护软件,也出现了具有aRp防护功能的路由器。下面来了解以下三种方法:静态绑定、aRp防护软件和具有aRp防护功能的路由器。
1、静态绑定。最常用的方法就是做ip和maC静态绑定,在网内把主机和网关都做ip和maC绑定。欺骗是通过aRp的动态实时的规则欺骗内网机器,所以我们把aRp全部设置为静态可以解决对内网pC的欺骗,同时在网关也要进行ip和maC的静态绑定,这样双向绑定才比较保险。