使用ARP分組檢測(cè)網(wǎng)絡(luò)節(jié)點(diǎn)

1、使用ARP分組檢測(cè)處于混雜模式的網(wǎng)絡(luò)節(jié)點(diǎn)摘要本文將闡述PromiScan(一個(gè)能夠有效地檢測(cè)網(wǎng)絡(luò)嗅探器的軟件)使用的檢測(cè)機(jī)制。嗅探器為了能夠截獲網(wǎng)絡(luò)上所有的分組，必須把網(wǎng)絡(luò)接口卡(Network Interface Card,NIC)設(shè)置為混雜模式(promiscuous mode)。接著，網(wǎng)卡就能夠接受網(wǎng)絡(luò)上所有的分組，并將其送到系統(tǒng)內(nèi)核。地址解析協(xié)議(Address Resolution Protocol,ARP)請(qǐng)求報(bào)文用來(lái)查詢(xún)硬件地址到IP地址的解析。我們將使用這類(lèi)分組來(lái)校驗(yàn)網(wǎng)卡是否被設(shè)置為混雜模式(promiscuous mode)。之所以會(huì)使用ARP請(qǐng)求分組是因?yàn)樗m用于所有基于以

2、太網(wǎng)的IPV4協(xié)議。在混雜模式(promiscuous mode)下，網(wǎng)卡不會(huì)阻塞目的地址不是自己的分組，而是照單全收，并將其傳送給系統(tǒng)內(nèi)核。然后，系統(tǒng)內(nèi)核會(huì)返回包含錯(cuò)誤信息的報(bào)文?；谶@種機(jī)制，我們可以假造一些ARP請(qǐng)求報(bào)文發(fā)送到網(wǎng)絡(luò)上的各個(gè)節(jié)點(diǎn)，沒(méi)有處于混雜模式的網(wǎng)卡會(huì)阻塞這些報(bào)文，但是如果某些節(jié)點(diǎn)有回應(yīng)，就表示這些節(jié)點(diǎn)的網(wǎng)卡處于混雜模式下。這些處于混雜模式的節(jié)點(diǎn)就可能運(yùn)行嗅探器程序。這樣就可以成功地檢測(cè)到網(wǎng)絡(luò)運(yùn)行的嗅探器程序。(2002-06-24 14:45:15)摘要在一個(gè)局域網(wǎng)中，安全問(wèn)題應(yīng)該引起注意。當(dāng)純文本數(shù)據(jù)在網(wǎng)絡(luò)上傳輸時(shí)，任何網(wǎng)絡(luò)用戶(hù)都會(huì)很容易地竊取這些信息。在網(wǎng)絡(luò)上竊取數(shù)

3、據(jù)就叫作嗅探(sniffing)。通過(guò)嗅探網(wǎng)絡(luò)，一個(gè)用戶(hù)能夠獲得絕密文檔的訪問(wèn)權(quán)限，窺探到任何人的隱私。在Internet上有很多自由散發(fā)的嗅探器軟件可以實(shí)現(xiàn)上述目的。盡管進(jìn)行網(wǎng)絡(luò)嗅探非常容易，然而卻沒(méi)有很好的方法來(lái)檢測(cè)這種惡意行為。本文將闡述PromiScan(一個(gè)能夠有效地檢測(cè)網(wǎng)絡(luò)嗅探器的軟件)使用的檢測(cè)機(jī)制。嗅探器為了能夠截獲網(wǎng)絡(luò)上所有的分組，必須把網(wǎng)絡(luò)接口卡(Network Interface Card,NIC)設(shè)置為混雜模式(promiscuous mode)。接著，網(wǎng)卡就能夠接受網(wǎng)絡(luò)上所有的分組，并將其送到系統(tǒng)內(nèi)核。地址解析協(xié)議(Address Resolution Protoco

4、l,ARP)請(qǐng)求報(bào)文用來(lái)查詢(xún)硬件地址到IP地址的解析。我們將使用這類(lèi)分組來(lái)校驗(yàn)網(wǎng)卡是否被設(shè)置為混雜模式(promiscuous mode)。之所以會(huì)使用ARP請(qǐng)求分組是因?yàn)樗m用于所有基于以太網(wǎng)的IPV4協(xié)議。在混雜模式(promiscuous mode)下，網(wǎng)卡不會(huì)阻塞目的地址不是自己的分組，而是照單全收，并將其傳送給系統(tǒng)內(nèi)核。然后，系統(tǒng)內(nèi)核會(huì)返回包含錯(cuò)誤信息的報(bào)文。基于這種機(jī)制，我們可以假造一些ARP請(qǐng)求報(bào)文發(fā)送到網(wǎng)絡(luò)上的各個(gè)節(jié)點(diǎn)，沒(méi)有處于混雜模式的網(wǎng)卡會(huì)阻塞這些報(bào)文，但是如果某些節(jié)點(diǎn)有回應(yīng)，就表示這些節(jié)點(diǎn)的網(wǎng)卡處于混雜模式下。這些處于混雜模式的節(jié)點(diǎn)就可能運(yùn)行嗅探器程序。這樣就可以成功地檢

5、測(cè)到網(wǎng)絡(luò)運(yùn)行的嗅探器程序。1.簡(jiǎn)介在局域網(wǎng)中，嗅探行為已經(jīng)成為網(wǎng)絡(luò)安全的一個(gè)巨大威脅。通過(guò)網(wǎng)絡(luò)嗅探，一些惡意用戶(hù)能夠很容易地竊取到絕密的文檔和任何人的隱私。要實(shí)現(xiàn)上述目的非常容易，惡意用戶(hù)只要從網(wǎng)絡(luò)上下載嗅探器并安全到自己的計(jì)算機(jī)就可以了。然而，卻沒(méi)有一個(gè)很好的方法來(lái)檢測(cè)網(wǎng)絡(luò)上的嗅探器程序。本文將討論使用地址解析協(xié)議(Address Resolution Protocol)報(bào)文來(lái)有效地檢測(cè)辦公網(wǎng)絡(luò)和校園網(wǎng)上的嗅探器程序。2.網(wǎng)絡(luò)嗅探的原理局域網(wǎng)通常使用以太網(wǎng)進(jìn)行連接。在以太網(wǎng)線(xiàn)纜上使用IP(IPV4)協(xié)議傳輸?shù)膫鬟f的信息是明文傳輸?shù)?，除非使用了加密程序進(jìn)行了加密。當(dāng)一個(gè)人把信息發(fā)送到網(wǎng)絡(luò)上，他

6、會(huì)希望只有特定的用戶(hù)才能收到這些信息。但是，非常不幸，以太網(wǎng)的工作機(jī)制為非驗(yàn)證用戶(hù)提供了竊取這些數(shù)據(jù)的機(jī)會(huì)。以太網(wǎng)在進(jìn)行信息傳輸時(shí)，會(huì)把分組送到各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，目的地址匹配的節(jié)點(diǎn)會(huì)接收這些分組，其它的網(wǎng)絡(luò)節(jié)點(diǎn)只做簡(jiǎn)單的丟棄操作。而接收還是丟棄這些分組由以太網(wǎng)卡控制。在接收分組時(shí)，網(wǎng)卡會(huì)過(guò)濾出目的地址是自己的分組接收，而不是照單全收。在本文以后的部分我們將把網(wǎng)卡的這種過(guò)濾稱(chēng)為硬件過(guò)濾(Hardware Filter)。但是這只是在正常情況下，嗅探器使用另一種工作方式，它把自己的網(wǎng)卡設(shè)置為接收所有的網(wǎng)絡(luò)分組，而不管分組的目的地址是否是自己。這種網(wǎng)卡模式叫作混雜模式(Promiscuous Mode)

7、。3.檢測(cè)混雜模式的基本概念在網(wǎng)絡(luò)中，嗅探器接收所有的分組，而不發(fā)送任何非法分組。它不會(huì)妨礙網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)，因此很難對(duì)其進(jìn)行檢測(cè)。不過(guò)，處于混雜模式(promiscuous mode)網(wǎng)卡的狀態(tài)很顯然和處于普通模式下不同。在混雜模式下，應(yīng)該被硬件過(guò)濾掉的分組文會(huì)進(jìn)入到系統(tǒng)的內(nèi)核。是否回應(yīng)這種分組完全依賴(lài)與內(nèi)核。下面我們舉一個(gè)現(xiàn)實(shí)世界中的例子，說(shuō)明我們檢測(cè)處于混雜模式網(wǎng)絡(luò)節(jié)點(diǎn)的方法。設(shè)想一下，在一個(gè)會(huì)議室中正在舉行一個(gè)會(huì)議。某個(gè)人把耳朵放在會(huì)議室就可以進(jìn)行竊聽(tīng)(嗅探_)。當(dāng)她(還是個(gè)女的，原文如此:P)進(jìn)行竊聽(tīng)(嗅探)時(shí)，會(huì)屏住呼吸，安靜地聆聽(tīng)會(huì)議室內(nèi)所有的發(fā)言。然而，如果此時(shí)會(huì)議室內(nèi)有人忽然叫

8、竊聽(tīng)者的名字：“XX太太”，她就可能答應(yīng)“唉”。這聽(tīng)起來(lái)有點(diǎn)好笑，但是完全可以用于網(wǎng)絡(luò)嗅探行為的檢測(cè)。網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)嗅探的節(jié)點(diǎn)會(huì)接收網(wǎng)絡(luò)的所有報(bào)文，因此其內(nèi)核可能對(duì)某些本該被硬件過(guò)濾的分組作出錯(cuò)誤回應(yīng)。根據(jù)這個(gè)原理，我們可以通過(guò)檢查節(jié)點(diǎn)對(duì)ARP報(bào)文的響應(yīng)來(lái)檢測(cè)網(wǎng)絡(luò)的嗅探行為。4.基礎(chǔ)4.1.硬件過(guò)濾器首先，我們從處于混雜模式(promiscuous mode)下和普通模式下有何不同開(kāi)始。以太網(wǎng)的地址是6個(gè)字節(jié)，制造商為每塊網(wǎng)卡分配的地址在全世界是唯一的，因此理論上沒(méi)有相同地址的網(wǎng)卡。在以太網(wǎng)上的所有通訊都是基于這種硬件地址。不過(guò)，網(wǎng)卡可以被設(shè)置為不同的過(guò)濾模式以接收不同種類(lèi)的分組。下面就是以太網(wǎng)

9、卡的過(guò)濾模式：4.1.1.unicast網(wǎng)卡接收所有目的地址是自己的分組4.1.2.broadcast接收所有廣播分組，以太網(wǎng)廣播分組的目的地址是FFFFFFFFFFFF。這種廣播分組能夠到達(dá)網(wǎng)絡(luò)上的所有節(jié)點(diǎn)。4.1.3.multicast接收目的地址為指定多投點(diǎn)遞交(multicast)組地址的分組。網(wǎng)卡只接收其地址已經(jīng)預(yù)先在多投點(diǎn)列表中注冊(cè)的分組。4.1.3.all multicast接收所有多投點(diǎn)遞交廣播分組。4.1.4.promiscuous根本不檢查目的地址，接收網(wǎng)絡(luò)上所有的分組。圖-1描述了硬件過(guò)濾器處于在正常情況下和在混雜模式下的區(qū)別。通常，網(wǎng)卡的硬件過(guò)濾器被設(shè)置為接收目為單投點(diǎn)

10、遞交(unicast)、廣播(broadcast)和多投點(diǎn)遞交(multicast)地址1的分組。過(guò)濾器只接收目的地址為自己的地址、廣播地址(FF FF FF FF FF FF)和多投點(diǎn)地址1(01 00 5E 00 00 01)的分組。 4.2.ARP機(jī)制使用以太網(wǎng)連接的IP網(wǎng)絡(luò)需要依靠以太網(wǎng)進(jìn)行傳輸。只使用IP地址，報(bào)文是無(wú)法發(fā)送的。因此，在以太網(wǎng)上需要一種機(jī)制來(lái)提供IP地址和硬件地址之間的轉(zhuǎn)換。這種機(jī)制就是地址解析協(xié)議(Address Resolution Protocol)。ARP屬于網(wǎng)絡(luò)層，和IP處于OSI模型的同一層。在IP網(wǎng)絡(luò)上地址解析是不斷進(jìn)行的，所以ARP報(bào)文比較適合用來(lái)檢測(cè)

11、處于混雜模式(promiscuous mode)的網(wǎng)絡(luò)節(jié)點(diǎn)。在下面的例子中，我們將講述使用ARP報(bào)文是怎樣解析IP地址的：例如：網(wǎng)絡(luò)上一臺(tái)IP地址為的PC(X)以太網(wǎng)地址是00-00-00-00-00-01，這臺(tái)PC(X)需要向網(wǎng)絡(luò)上另外一臺(tái)IP地址為0的PC(Y)發(fā)送消息。在發(fā)送之前，X首先發(fā)出一個(gè)ARP請(qǐng)求包查詢(xún)0對(duì)應(yīng)的以太網(wǎng)地址。查詢(xún)包的目的地址被設(shè)置為FF-FF-FF-FF-FF-FF(廣播)，從而本地網(wǎng)絡(luò)上的所有節(jié)點(diǎn)都可以收到這個(gè)包。收到之后，每個(gè)節(jié)點(diǎn)會(huì)檢查這個(gè)ARP包查詢(xún)的IP地址和本機(jī)的IP地址是否匹配。如果不同，

12、就忽略這個(gè)ARP包；如果匹配(Y)就向X發(fā)出應(yīng)答。X收到應(yīng)答之后就緩存Y的IP/硬件地址。然后，X就可以向Y發(fā)送實(shí)際的數(shù)據(jù)。5.檢測(cè)處于混雜模式的節(jié)點(diǎn)上面講到，報(bào)文的過(guò)濾狀態(tài)是處于混雜模式狀態(tài)和正常的網(wǎng)絡(luò)節(jié)點(diǎn)的區(qū)別。當(dāng)網(wǎng)卡被設(shè)置為混雜模式，本該被過(guò)濾掉的報(bào)文就會(huì)進(jìn)入系統(tǒng)的內(nèi)核。通過(guò)這種機(jī)制，我們可以檢測(cè)到網(wǎng)絡(luò)上處于混雜模式的節(jié)點(diǎn)：我們構(gòu)造一個(gè)ARP查詢(xún)包，其目的地址不是廣播地址，然后向網(wǎng)絡(luò)上的各個(gè)節(jié)點(diǎn)發(fā)送這個(gè)ARP查詢(xún)包，最后通過(guò)各個(gè)節(jié)點(diǎn)的回應(yīng)來(lái)判斷是否處于混雜模式。下面我們討論一下整個(gè)ARP請(qǐng)求/響應(yīng)的操作過(guò)程。首先，產(chǎn)生一個(gè)ARP查詢(xún)包來(lái)解析0的硬件地址。為了使網(wǎng)絡(luò)上

13、的所有節(jié)點(diǎn)都能夠收到這個(gè)查詢(xún)包，把這個(gè)包的目的地址設(shè)置為廣播地址。理論上，只有IP地址為0的網(wǎng)卡才能對(duì)這個(gè)查詢(xún)包進(jìn)行響應(yīng)。進(jìn)一步設(shè)想，如果我們把這個(gè)查詢(xún)包的目的地址(以太網(wǎng)地址)設(shè)置為另外的地址,而不是原來(lái)的廣播地址又將如何？例如：我們把查詢(xún)包的目的地址設(shè)置為00-00-00-00-00-01會(huì)發(fā)生什么？處于正常模式下網(wǎng)絡(luò)節(jié)點(diǎn)的以太網(wǎng)卡會(huì)認(rèn)為這個(gè)查詢(xún)包是發(fā)往其它主機(jī)的，其硬件過(guò)濾器會(huì)拒絕接收這個(gè)包；然而，如果這個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)(0)的以太網(wǎng)卡處于混雜模式(promiscuous mode)下，那么即使以太網(wǎng)地址不匹配，其硬件過(guò)濾器也不進(jìn)行任何過(guò)濾，從而使這

14、個(gè)查詢(xún)包能夠進(jìn)入到系統(tǒng)的內(nèi)核。因?yàn)檫@個(gè)節(jié)點(diǎn)的IP地址和查詢(xún)包的要查詢(xún)IP地址相同，其內(nèi)核就會(huì)認(rèn)為ARP查詢(xún)包到達(dá)，應(yīng)該作出應(yīng)答。但是，另我們吃驚的是，這個(gè)處于混雜模式節(jié)點(diǎn)的內(nèi)核不會(huì)應(yīng)答ARPR查詢(xún)包。這種出人意料的結(jié)果說(shuō)明這個(gè)包被系統(tǒng)內(nèi)核過(guò)濾掉了。在這里我們把這叫作軟件過(guò)濾器。再進(jìn)一步，我們可以通過(guò)區(qū)別硬件過(guò)濾器和軟件過(guò)濾器的不同特征來(lái)檢測(cè)處于混雜模式的網(wǎng)絡(luò)節(jié)點(diǎn)。硬件過(guò)濾器一般會(huì)阻塞所有無(wú)效的分組(這些分組顯然不會(huì)進(jìn)入系統(tǒng)內(nèi)核)，因此能夠通過(guò)硬件過(guò)濾器一般也能夠通過(guò)軟件過(guò)濾器，這種情況我們不多做討論。現(xiàn)在我們需要構(gòu)造應(yīng)該被被硬件過(guò)濾器阻塞，但是卻能夠通過(guò)軟件過(guò)濾器的報(bào)文。如果把這種報(bào)文送到各個(gè)

15、網(wǎng)絡(luò)節(jié)點(diǎn)，那么處于普通模式下的網(wǎng)絡(luò)節(jié)點(diǎn)將不做應(yīng)答；而處于混雜模式的節(jié)點(diǎn)會(huì)進(jìn)行應(yīng)答。6.軟件過(guò)濾器軟件過(guò)濾器依賴(lài)于操作系統(tǒng)的內(nèi)核，因此有必要理解系統(tǒng)內(nèi)核軟件過(guò)濾器是如何工作的。Linux是開(kāi)放源瑪系統(tǒng)，因此我們能夠獲得其軟件過(guò)濾機(jī)制。但是對(duì)于Micro$oft Windows我們只有憑經(jīng)驗(yàn)猜測(cè)了:(。 6.1.Linux在Linux的以太網(wǎng)驅(qū)動(dòng)模塊中，分組是以硬件地址分類(lèi)的。廣播包FF FF FF FF FF FF多投點(diǎn)分組所有的分組都有一個(gè)組標(biāo)志位集合，不包括廣播分組。TO_US分組目的地址和本機(jī)網(wǎng)卡相同的分組。OTHERHOST分組所有目的地址和本機(jī)網(wǎng)卡不同的分組?，F(xiàn)在，我們假設(shè)具有組標(biāo)志位

16、的所有分組都是廣播分組。IP網(wǎng)絡(luò)對(duì)應(yīng)的以太網(wǎng)多投點(diǎn)分組的目的地址是01-00-5e-xx-xx-xx，而且，通過(guò)校驗(yàn)組標(biāo)志位本來(lái)就不能對(duì)多投點(diǎn)分組進(jìn)行分類(lèi)。這個(gè)假設(shè)并不錯(cuò)誤，因?yàn)?1-00-5e-xx-xx-xx是一個(gè)基于IP的多投點(diǎn)地址，但是網(wǎng)卡硬件地址還用于其它高層協(xié)議。下面，我們看一下ARP模塊的代碼。if (in_dev = NULL |arp->ar_hln != dev->addr_len ' 'dev->flags & IFF_NOARP |skb->pkt_type = PACKET_OTHERHOST |skb->pkt_

17、type = PACKET_LOOPBACK |arp->ar_pln != 4)goto out;Linux內(nèi)核的ARP模塊拒絕所有OTHERHOST類(lèi)型的分組。接著，ARP模塊將處理廣播、多投點(diǎn)和TO_US類(lèi)型的分組。表1綜合了硬件過(guò)濾器和軟件過(guò)濾器對(duì)各種ARP分組的過(guò)濾處理，1說(shuō)明：hw(hardware)、sw(software)、res.(response)、gr(group)。下面，后我們將對(duì)這六硬件地址的分組進(jìn)行詳細(xì)描述：TO_US網(wǎng)卡在正常模式下，所有地址為T(mén)O_US的分組都能夠通過(guò)精簡(jiǎn)過(guò)濾器和軟件過(guò)濾器。因此，不管網(wǎng)卡是否處于混雜模式(promiscuous mode)

18、下，ARP模塊都會(huì)對(duì)其進(jìn)行響應(yīng)。OTHERHOST當(dāng)網(wǎng)卡處于正常模式下，會(huì)拒絕所有地址為OTHERHOST的分組。即使網(wǎng)卡處于混雜模式(promiscuous mode)，這種分組也無(wú)法通過(guò)軟件過(guò)濾器，因此這種ARP請(qǐng)求不會(huì)收到響應(yīng)。BROARDCAST在正常模式下，BROARDCAST分組能夠也能夠通過(guò)硬件和軟件過(guò)濾器，因此不能用于網(wǎng)絡(luò)節(jié)點(diǎn)混雜模式的檢測(cè)。MULTICAST在正常模式下，如果分組的硬件地址沒(méi)有在多投點(diǎn)地址列表中注冊(cè)，網(wǎng)卡將拒絕接收；但是，如果網(wǎng)卡處于混雜模式，這種分組將暢通無(wú)阻地穿過(guò)硬件過(guò)濾器和軟件過(guò)濾器。因此，可以使用這種類(lèi)型的分組來(lái)檢測(cè)處于混雜模式的網(wǎng)絡(luò)節(jié)點(diǎn)。group

19、bit這種類(lèi)型的分組既不屬于BRODCAST類(lèi)型也不屬于MULTICAST類(lèi)型，但是其硬件地址的組位(以太網(wǎng)地址的首字節(jié)低序第一位)置位即：01-00-00-00-00-00。在正常模式下，網(wǎng)卡會(huì)拒絕接收此類(lèi)分組；但是在混雜模式下，這種類(lèi)型的分組能夠通過(guò)硬件過(guò)濾器。而在Linux內(nèi)核中，這種類(lèi)型的分組被歸類(lèi)為多投點(diǎn)分組進(jìn)行處理，能夠穿過(guò)軟件過(guò)濾器。因此，這種類(lèi)型的分組也能夠用于混雜模式檢測(cè)。6.2.Micro$oft WindowsWindows系統(tǒng)不是開(kāi)放源碼系統(tǒng)，因此不能從源代碼分析其軟件過(guò)濾行為。只好由實(shí)驗(yàn)來(lái)測(cè)試。在實(shí)驗(yàn)中，我們使用了以下的硬件地址：FF-FF-FF-FF-FF-FF 廣

20、播地址所有的網(wǎng)絡(luò)節(jié)點(diǎn)都會(huì)接收這種分組。通常的ARP查詢(xún)包使用這個(gè)地址。FF-FF-FF-FF-FF-FE 偽廣播地址FF-FF-FF-FF-FF-FE是一種偽廣播地址，它的最后一位丟失。這個(gè)地址被用來(lái)檢查軟件過(guò)濾器是否檢查所有的地址位，是否應(yīng)答。FF-FF-00-00-00-00-00 16位偽廣播地址FF-FF-00-00-00-00-00只有前16位和真正的廣播地址相同。如果過(guò)濾器函數(shù)只測(cè)試廣播地址的第一個(gè)字，這個(gè)地址就可以歸入廣播地址。FF-00-00-00-00-00 8位偽廣播地址這個(gè)地址只有前8位和廣播地址相同，如果過(guò)濾器函數(shù)只檢查廣播地址的首字節(jié)，它也可以歸入廣播地址類(lèi)。01-0

21、0-00-00-00-00 多投點(diǎn)標(biāo)記置位地址這個(gè)地址只有多投點(diǎn)標(biāo)記位(以太網(wǎng)地址的首字節(jié)低序位)被置位，用來(lái)檢查過(guò)濾器函數(shù)是否也象Linux一樣把它作為多投點(diǎn)地址處理。01-00-5E-00-00-00 多投點(diǎn)地址0多投點(diǎn)地址0并不常用，因此我們使用這個(gè)地址作為沒(méi)有在網(wǎng)卡多投點(diǎn)地址列表中注冊(cè)的多投點(diǎn)地址。正常情況下，硬件過(guò)濾器應(yīng)該拒絕接收這種分組。但是，如果軟件過(guò)濾器不能檢查所有的地址位，這類(lèi)分組就可能被歸類(lèi)到多投點(diǎn)地址。因此，如果網(wǎng)卡處于混雜模式(promiscuous mode)，內(nèi)核就會(huì)進(jìn)行應(yīng)答。01-00-5E-00-00-01 多投點(diǎn)地址1局域網(wǎng)上的所有網(wǎng)絡(luò)節(jié)點(diǎn)都應(yīng)該接收多投點(diǎn)地址

22、1類(lèi)型的分組。換句話(huà)說(shuō)，默認(rèn)情況下硬件過(guò)濾器允許這類(lèi)分組通過(guò)。但是可以由于網(wǎng)卡不支持多投點(diǎn)模式而不應(yīng)答。因此，這類(lèi)分組可以用于檢查主機(jī)是否支持多投點(diǎn)地址。即使結(jié)果：對(duì)于這7種類(lèi)型地址的測(cè)試結(jié)果如表2所示。測(cè)試是針對(duì)Windows85/98/ME/2000和Linux。不出所料，網(wǎng)卡處于正常模式下，內(nèi)核會(huì)對(duì)所有地址為廣播地址和多投點(diǎn)地址1的分組進(jìn)行回應(yīng)。然而，當(dāng)網(wǎng)卡處于混雜模式下時(shí)，每種操作系統(tǒng)的測(cè)試結(jié)果不盡相同。Windows95/98/ME會(huì)響應(yīng)31、16、8位偽廣播地址的分組。因此，我們可以認(rèn)為Window9x系列操作系統(tǒng)的軟件過(guò)濾器只通過(guò)檢測(cè)一位來(lái)判斷分組地址是否是廣播地址。Window

23、s2000對(duì)地址為31、16位偽廣播地址的分組進(jìn)行響應(yīng)。因此，我們可以認(rèn)為WindowsY2K檢查地址的8位來(lái)判斷分組地址是否為廣播地址。Linux內(nèi)核對(duì)所有七種地址的分組都會(huì)進(jìn)行響應(yīng)。7.混雜模式檢測(cè)我們可以把這個(gè)測(cè)試結(jié)果用于局域網(wǎng)處于混雜模式節(jié)點(diǎn)的檢測(cè)。下面是具體檢測(cè)過(guò)程：7.1.我們需要檢測(cè)IP地址A的主機(jī)是否處于混雜模式。我們首先需要構(gòu)造如下格式的ARP分組和以太網(wǎng)幀： ARP分組：· 目的以太網(wǎng)地址 00 00 00 00 00 00(說(shuō)明1) · 發(fā)送方以太網(wǎng)地址 00 11 22 33 44 55(說(shuō)明2) · 高層協(xié)議類(lèi)型 08 00(IP) · 硬件類(lèi)型 00 01(以太網(wǎng)) · 硬件地址長(zhǎng)度 06(以太網(wǎng)地址長(zhǎng)度) · IP地址長(zhǎng)度 04 · 發(fā)送方的IP地址 本機(jī)IP地址 · 目標(biāo)的IP地址 被檢測(cè)主機(jī)的IP地址 · ARP操作碼 00 01(ARP請(qǐng)求01、ARP應(yīng)答02) 以太網(wǎng)幀:· 協(xié)議類(lèi)型 08 06(ARP) · 發(fā)送方的硬件地址 本機(jī)以太網(wǎng)卡地址 · 目標(biāo)硬件地址 FF FF FF FF FF FE 說(shuō)明1:這時(shí)ARP要查詢(xún)的以太網(wǎng)地址，全部填0或者1都可以。說(shuō)明