Toad的博客

摘要

边界网关协议[1]是为TCP/IP互联网设计的自治系统间路由协议。 本文档描述了BGP的一个扩展，可以传送更多的信息到临近和远端的BGP对端。 提议本技术的目的是辅助策略管理并减少维护互联网的管理复杂度。

点击下载：[PDF]RFC 1997 中文版

摘要

本文档描述了拥有IP骨干网的服务提供商SP为其客户提供VPN服务的一种方法。在骨干网中，使用MPLS（多协议标签交换）进行包转发，BPG（边界网关协议）进行路由信息分发。这个方法主要目地是为企业网络提供IP骨干网服务的外包。这种方法不仅对企业而言很简单，对SP而言也有较好的可扩展性和灵活性，还可以提供增值服务。同时，这种方法还可以建立一个为客户提供IP服务的VPN。

点击下载：[PDF]RFC 2547 中文版

摘要

本文定义了BGP（边界网关协议）的新功能——“路由刷新功能“。它允许路由刷新请求在BGP扬声器和相应的广告资源信息输出模块的后继重新广告(re-advertisment)之间进行动态交换。该功能的一种应用是使无拆分的路由策略的更改更加容易。

点击下载：[PDF]RFC 2918 中文版

摘要

本文描述了一种在使用实时传输协议（RTP版本2）时对冗余音频数据进行编码的负载格式。在此提出这套机制的主要目的是为了开发针对包易丢失网络（如Internet MBone）的音频会议工具。尽管如此，该机制并不局限于此类应用。

点击下载：[PDF]RFC 2198 中文版

前面两篇文章叙述了ARP欺骗攻击的原理和最有效的防御措施！这篇文章，我们从Sniffer的角度，进行客观的分析！还是老规矩，实例在文章的结尾处下载（用“科来”打开，实例来自csna）！请看下面两张图：

                                                                    图1

                                                                    图2 

Toad先不告诉大家，这两张图中，什么地方的数据是很敏感的！请，读者朋友仔细观察，以找到答案！

waiting。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

哈哈，找到了吗？

如果，未找到，请接着往下看。编号为1 的包，是一个ARP请求。在这个ARP请求中，源IP和目标IP都是：192.168.1.254。为什么会这样呢？请大家回忆“什么是ARP攻击”这篇文章中所讲的内容，对，这个包就是Toad说过的“1）、第一个ARP请求包用于查询同网段内是否有跟自己IP相同的主机”，以后讲“ARP免费”机制时再详加讨论。这个包对于我们抓到凶手，有一定的参考价值，因为这个包是由ARP协议自动产生，并非用户行为。那么 ，这里的源MAC和源IP就绝对是真实的，下文，就不用Toad多说了吧！但是，“ARP免费”机制是否只在系统引导时触发，Toad不敢肯定，没做过这种实验，没有实践经验的问题，Toad向来不喜欢下定论！如果，“ARP免费”机制只在主机引导时产生，那么这个包，就很难抓到了！攻击者，不会攻击一会儿，就重启吧！哈哈，万一真被抓到了，那就要恭喜你了，可以省不少力气！

我们再看编号为2的包，这里的源MAC已经发生变化了，但，源IP依然是：192.168.1.254。说明，ARP欺骗已经开始！（看到这里，也说明，这个实例，只是这个实例作者自己搞的一个测试而已，并非真正的ARP欺骗行为！）“目的MAC”已经变为单播，目的IP已经是被害者的IP。

ARP欺骗攻击实例：点击下载

文章来源于>>TCP/IP协议分析博客           转载请注明：Toad的博客

摘要

本文档描述了一种可在IP数据报中封装另一个IP数据包（作为净负载）的方法.封装通过把路由信息送往某个中间目的地（不是由原IP头部的IP Destination Address域）把正常的IP路由变为数据报。封装可用于多方面,例如使用移动IP把数据报传送到某个移动节点.

点击下载：[PDF]RFC 2003 中文版

我们接着讨论。回到上一讲提出的问题：“这种欺骗会导致什么样的后果呢？”

由于，受害主机的MAC缓冲池被恶意修改，网关的MAC被修改为了攻击者的MAC。当受害主机向Internet发送数据时，这些数据会被导向攻击主机，而不是网关（具体原理，在分析ARP协议时，会详加解释，这里大家只要记住会造成这种后果就行了）！这种后果是非常是严重，轻则上不了Internet，重则用户数据被盗（例如：游戏、WEB、e_mail帐号等等）。例如：HTTP数据，一般情况下HTTP数据是未加密的，HTTPS用的比例相对较少。攻击主机收到这些HTTP包后，会反解到应用层读出封装在HTTP协议中的用户数据，到了这一步，会发生什么，就不用Toad多说了！有段时间，大量用户的传奇帐号被盗，就是这种方式！

预防ARP欺骗攻击的最好形式，还是“IP—MAC”的静态绑定！再次重申：主机、交换机、网关都要做相应的静态绑定处理！因为这三者都有自己的MAC缓冲池，攻击者改其中一个的MAC缓冲池，都会导致一系列故障！

文章来源于>>TCP/IP协议分析博客                  转载请注明：Toad的博客

ARP欺骗攻击，是非常常见的一种ARP攻击。如果把ARP广播攻击归类于莽夫型攻击，那么，ARP欺骗攻击，就是智者型攻击！

攻击者，一般会伪造ARP回应包（注意，这里是ARP回应包，不再是ARP请求包）。伪造一些什么样的信息呢？首先，大家要弄明白，攻击要对受害者进行什么样的欺骗。一般情况下，攻击主机想修改被害主机MAC缓冲池中的网关IP所对应的MAC！这种欺骗会导致什么样的结果呢？请看下图：

这是，我们目前最常用的一种网络拓扑图。有些企业或者机构，他们使用的不是交换机，而是路由交换机，网关就做在路由交换机上！IDC机房的网络拓扑就更专业了，由多个这种网络单元组成！但，这不影响我们接下来要讨论的东东！不管什么拓扑结构，什么交换设备，都是用的TCP/IP协议（这种说法，只针对于我们讨论的组网技术，当然，还有其他网络协议）。

攻击主机、3台被害主机、交换机和网关它们都有自己的MAC缓冲池！在正常情况下，攻击主机、3台被害主机和交换机的MAC缓冲池中都有一条“网关IP—–网关MAC”的记录！攻击主机的目的就是把3台被害主机和交换机MAC缓冲中这条记录改为“网关IP——攻击主机MAC”！

文章来源于>>TCP/IP协议分析博客                      转载请注明：Toad的博客

今天比较忙，没时间写文章了，划下水，抄书，请见谅！

IP数据报的格式如图3-1所示。普通的IP首部长为20个字节，除非含有选项字段。

                                   图3-1 IP数据报格式及首部中的各字段

分析图3-1中的首部。最高位在左边，记为0bit；最低位在右边，记为31bit。4个字节的32bit值以下面的次序传输：首先是0～7bit，其次8～15bit，然后16～23bit，最后是24~31bit。这种传输次序称作bigendian字节序。由于TCP/IP首部中所有的二进制整数在网络中传输时都要求以这种次序，因此它又称作网络字节序。以其他形式存储二进制整数的机器，如littleendian格式，则必须在传输数据之前把首部转换成网络字节序。

目前的协议版本号是4，因此IP有时也称作IPv4。3.10节将对一种新版的IP协议进行讨论。首部长度指的是首部占32bit字的数目，包括任何选项。由于它是一个4比特字段，因此首部最长为60个字节。在第8章中，我们将看到这种限制使某些选项如路由记录选项在当今已没有什么用处。普通IP数据报（没有任何选择项）字段的值是5。

服务类型（TOS）字段包括一个3bit的优先权子字段（现在已被忽略），4bit的TOS子字段和1bit未用位但必须置0。4bit的TOS分别代表：最小时延、最大吞吐量、最高可靠性和最小费用。4bit中只能置其中1bit。如果所有4bit均为0，那么就意味着是一般服务。RFC1340[ReynoldsandPostel1992]描述了所有的标准应用如何设置这些服务类型。RFC1349[Almquist1992]对该RFC进行了修正，更为详细地描述了TOS的特性。

图3-2列出了对不同应用建议的TOS值。在最后一列中给出的是十六进制值，因为这就是
在后面将要看到的tcpdump命令输出。

                                                      图3-2 服务类型字段推荐值

Telnet和Rlogin这两个交互应用要求最小的传输时延，因为人们主要用它们来传输少量的交互数据。另一方面，FTP文件传输则要求有最大的吞吐量。最高可靠性被指明给网络管理（SNMP）和路由选择协议。用户网络新闻（Usenetnews,NNTP）是唯一要求最小费用的应用。

现在大多数的TCP/IP实现都不支持TOS特性，但是自4.3BSDReno以后的新版系统都对它进行了设置。另外，新的路由协议如OSPF和IS-IS都能根据这些字段的值进行路由决策。

在2.10节中，我们提到SLIP一般提供基于服务类型的排队方法，允许对交互通信 数据在处理大块数据之前进行处理。由于大多数的实现都不使用TOS字段，因此这种排队机制由SLIP自己来判断和处理，驱动程序先查看协议字段（确定是否是一个TCP段），然后检查TCP信源和信宿的端口号，以判断是否是一个交互服务。一个驱动程序的注释这样认为，这种“令人厌恶的处理方法”是必需的，因为大多数实现都不允许应用程序设置TOS字段。

总长度字段是指整个IP数据报的长度，以字节为单位。利用首部长度字段和总长度字段，就可以知道IP数据报中数据内容的起始位置和长度。由于该字段长16比特，所以IP数据报最长可达65535字节（回忆图2-5，超级通道的MTU为65535。它的意思其实不是一个真正的MTU—它使用了最长的IP数据报）。当数据报被分片时，该字段的值也随着变化，这一点将在11.5节中进一步描述。

尽管可以传送一个长达65535字节的IP数据报，但是大多数的链路层都会对它进行分片。而且，主机也要求不能接收超过576字节的数据报。由于TCP把用户数据分成若干片，因此一般来说这个限制不会影响TCP。在后面的章节中将遇到大量使用UDP的应用（RIP，TFTP，BOOTP，DNS，以及SNMP），它们都限制用户数据报长度为512字节，小于576字节。但是，事实上现在大多数的实现（特别是那些支持网络文件系统NFS的实现）允许超过8192字节的IP数据报。

总长度字段是IP首部中必要的内容，因为一些数据链路（如以太网）需要填充一些数据以达到最小长度。尽管以太网的最小帧长为46字节（见图2-1），但是IP数据可能会更短。如果没有总长度字段，那么IP层就不知道46字节中有多少是IP数据报的内容。标识字段唯一地标识主机发送的每一份数据报。通常每发送一份报文它的值就会加1。在11.5节介绍分片和重组时再详细讨论它。同样，在讨论分片时再来分析标志字段和片偏移字段。

RFC791[Postel1981a]认为标识字段应该由让IP发送数据报的上层来选择。假设有两个连续的IP数据报，其中一个是由TCP生成的，而另一个是由UDP生成的，那么它们可能具有相同的标识字段。尽管这也可以照常工作（由重组算法来处理），但是在大多数从伯克利派生出来的系统中，每发送一个IP数据报，IP层都要把一个内核变量的值加1，不管交给IP的数据来自哪一层。内核变量的初始值根据系统引导时的时间来设置。TTL（time-to-live）生存时间字段设置了数据报可以经过的最多路由器数。它指定了数据报的生存时间。TTL的初始值由源主机设置（通常为32或64），一旦经过一个处理它的路由器，它的值就减去1。当该字段的值为0时，数据报就被丢弃，并发送ICMP报文通知源主机。第8章我们讨论Traceroute程序时将再回来讨论该字段。

我们已经在第1章讨论了协议字段，并在图1-8中示出了它如何被IP用来对数据报进行分用。根据它可以识别是哪个协议向IP传送数据。首部检验和字段是根据IP首部计算的检验和码。它不对首部后面的数据进行计算。ICMP、IGMP、UDP和TCP在它们各自的首部中均含有同时覆盖首部和数据检验和码。为了计算一份数据报的IP检验和，首先把检验和字段置为0。然后，对首部中每个16bit进行二进制反码求和（整个首部看成是由一串16bit的字组成），结果存在检验和字段中。当收到一份IP数据报后，同样对首部中每个16bit进行二进制反码的求和。

由于接收方在计算过 程中包含了发送方存在首部中的检验和，因此，如果首部在传输过程中没有发生任何差错，那么接收方计算的结果应该为全1。如果结果不是全1（即检验和错误），那么IP就丢弃收到的数据报。但是不生成差错报文，由上层去发现丢失的数据报并进行重传。

ICMP、IGMP、UDP和TCP都采用相同的检验和算法，尽管TCP和UDP除了本身的首部和数据外，在IP首部中还包含不同的字段。在RFC1071[Braden,BormanandPatridge1988]中有关于如何计算Internet检验和的实现技术。由于路由器经常只修改TTL字段（减1），因此当路由器转发一份报文时可以增加它的检验和，而不需要对IP整个首部进行重新计算。RFC1141[MalloryandKullberg1990]为此给出了一个很有效的方法。

但是，标准的BSD实现在转发数据报时并不是采用这种增加的办法。每一份IP数据报都包含源IP地址和目的IP地址。我们在1.4节中说过，它们都是32bit的值。

最后一个字段是任选项，是数据报中的一个可变长的可选信息。目前，这些任选项定义如下：

1、安全和处理限制（用于军事领域，详细内容参见RFC1108[Kent1991]）
       2、记录路径（让每个路由器都记下它的IP地址，见7.3节）
       3、时间戳（让每个路由器都记下它的IP地址和时间，见7.4节）
       4、宽松的源站选路（为数据报指定一系列必须经过的IP地址，见8.5节）
       5、严格的源站选路（与宽松的源站选路类似，但是要求只能经过指定的这些地址，不能经过其他的地址）。

这些选项很少被使用，并非所有的主机和路由器都支持这些选项。选项字段一直都是以32bit作为界限，在必要的时候插入值为0的填充字节。这样就保证IP首部始终是32bit的整数倍（这是首部长度字段所要求的）。

OK，我们继续！面对ARP攻击，其实，我们很无赖！这是协议BUG，没办法防御，网上很多防御措施，但，在ARP洪水攻击下，网络质量都会大大下降！防御ARP攻击最有效的方式还是IP—MAC的三向绑定！

1、主机端静态绑定

2、网关端静态绑定

3、交换机静态绑定

ARP攻击者一样可以改写网关的MAC缓冲池，导致网关转发数据包时，出现错误！交换机中也有MAC缓冲池，所以一样要静态绑定！平时的那些ARP防火墙，在实际应用中，偶尔会导致正常应用出现问题！有条件的朋友，一定要要求IDC托管商进行交换机绑定。Toad在CSNA找了两个ARP攻击的sniffer结果，对了，还得说一下，对于初学者做sniffer实验时，最好选用HUB不要用SWITCH，原因，我们以后解释。请看下图：

这个例子，不是真正意义上的ARP攻击！只是作者自己用软件模拟的“ARP广播风暴”式攻击！为什么叫“广播式”呢？大家看，这些ARP攻击包的目标MAC全为：FFFF-FFFF-FFFF（二层广播地址），交换机接到这种ARP包，会转发给交换机上所有电口所接的主机！主机接到这种ARP广播包，链路层是不会直接删除的！

我们来说说，正常的ARP请求包该是个什么样子。正常ARP请求包目的MAC也为：FFFF-FFFF-FFFF，但目的IP是为空的，为什么呢？原因很简单，如果已然知晓对方IP，就没有理由再发出ARP请求包了！大家看看这些ARP攻击包是什么样子：

目标IP不为空，而且，每个ARP包中的目标IP都不一样，这一点，只有大家自己用“科来”打开Sniffer包看一下了！后面，Toad会上传的！

如果你的网段中，出现以下现象：

1、ARP请求包的包量大

2、ARP请求包的目的MAC全为FFFF-FFFF-FFFF

3、ARP请求包中的目的IP不为空，而且，动态变化

不用怀疑，ARP攻击来了！

ARP广播风暴抓包实例：点击下载

文章来源于>>TCP/IP协议分析博客                         转载请注明：Toad的博客