中文字幕无码免费久久,中文字幕成人精品久久不卡 ,蜜桃麻豆WWW久久囤产精品

Tue, 14 Aug 2007 16:12:00 GMT

　　对于构徏 VPN 来说�Q�网�l�隧�?Tunnelling)技术是个关键技术。网�l�隧道技术指的是利用一�U�网�l�协议来传输另一�U�网�l�协议，它主要利用网�l�隧道协议来实现�q�种功能。网�l�隧道技术涉及了三种�|�络协议�Q�即�|�络隧道协议、隧道协议下面的承蝲协议和隧道协议所承蝲的被承蝲协议�?
　　
　　现有两种�c? 型的�|�络隧道协议�Q�一�U�是二层隧道协议�Q�用于传输二层网�l�协议，它主要应用于构徏�q�程讉K��虚拟专网�Q�Access VPN�Q�；另一�U�是三层隧道协议�Q�用于传输三层网�l�协议，它主要应用于构徏企业内部虚拟专网�Q�Intranet VPN�Q�和扩展的企业内部虚拟专�|�（Extranet VPN�Q��?
　　
　　二层隧道协议
　　
　　二层隧道协议主要有三�U�。一�U�是微��Y、Ascend�?COM �{�公司支持的 PPTP�Q�Point to Point Tunneling Protocol�Q�点对点隧道协议�Q�，�?Windows NT 4.0以上版本中即有支持。另一�U�是 Cisco、北方电信等公司支持�? L2F�Q�Layer 2 Forwarding�Q�二层�{发协议）�Q�在 Cisco 路由器中有支持。而由 IETF 赯��Q�微�?Ascend 、Cisco�?3COM �{�公司参与的 L2TP�Q�Layer 2 Tunneling Protocol�Q�二层隧道协议）�l�合了上�q�C��个协议的优点�Q�将很快地成�?IETF 有关二层隧道协议的工业标准�?L2TP 作�ؓ更优更新的标准，已经得到了如�Q�Cisco Systems�Q�Microsoft�Q�Ascend�Q?Com �{�的支持�Q�以后还必将为更多的�|�络厂商所支持�Q�将是��用最�q�泛�?VPN 协议�?
　　
　　下面��简单介�l�一�?L2TP �|�络协议。应�?L2TP 所构徏的典�?VPN 服务的结�?其中�Q�LAC 表示 L2TP 讉K��集中器（L2TP Access Concentrator �Q�，是附属在交换�|�络上的��h�� PPP 端系�l�和 L2TP 协议处理能力的设备，LAC 一般就是一个网�l�接入服务器 NAS�Q�Network Access Server�Q�它用于为用户通过 PSTN/ISDN 提供�|�络接入服务�Q�LNS 表示 L2TP �|�络服务器（L2TP Network Server�Q�，�?PPP 端系�l�上用于处理 L2TP 协议服务器端部分的��Y件�?
　　
　　在一�?LNS �?LAC 对之间存在着两种�c�d��的连接，一�U�是隧道�Q�tunnel�Q�连接，它定义了一�?LNS �?LAC 对；另一�U�是会话�Q�session�Q�连接，它复用在隧道�q�接之上�Q�用于表�C�承载在隧道�q�接中的每个 PPP 会话�q�程�?L2TP �q�接的维护以�? PPP 数据的传送都是通过 L2TP 消息的交换来完成的，�q�些消息再通过 UDP �?1701 端口承蝲�?TCP/IP 之上。L2TP 消息可以分�ؓ两种�c�d��Q�一�U�是控制消息�Q�另一�U�是数据消息。控制消息用于隧道连接和会话�q�接的徏立与�l�护。数据消息用于承载用��L�� PPP 会话数据包�?
　　
　　L2TP �q�接的维护以�?PPP 数据的传送都是通过 L2TP 消息的交换来完成的，�q�些消息再通过UDP�?701端口承蝲�?TCP/IP 之上�?控制消息中的参数�?AVP 值对�Q�Attribute Value Pair�Q�来表示�Q��得协议具有很好的扩展性；在控制消息的传输�q�程中还应用了消息丢失重传和定时��通道�q�通性等机制来保证了 L2TP 层传输的可靠性。数据消息用于承载用��L�� PPP 会话数据包。L2TP 数据消息的传输不采用重传机制�Q�所以它无法保证传输的可靠性，但这一点可以通过上层协议�?TCP �{�得��C��证；数据消息的传输可以根据应用的需要灵�z�d��采用��控或不��控机制�Q�甚臛_��以在传输�q�程中动态地使用消息序列号从而动态地�Ȁ�z�L��息顺序检��和��量控制功能�Q�在采用��量控制的过�E�中�Q�对于失序消息的处理采用了缓存重排序的方法来提高数据传输的有效性�?
　　
　　L2TP �q�具有适用于VPN 服务的以下几个特性：
　　
　　灉|��的��n份验证机制以及高度的安全�?L2TP 可以选择多种�w�䆾验证机制�Q�CHAP、PAP �{�）�Q��承了 PPP 的所有安全特性，L2TP �q�可以对隧道端点�q�行验证�Q�这使得通过 L2TP 所传输的数据更加难以被��d��。而且�Ҏ��特定的网�l�安全要求还可以方便地在 L2TP 之上采用隧道加密、端对端数据加密或应用层数据加密�{�方案来提高数据的安全性�?
　　
　　内部地址分配支持 LNS可以攄��于企业网的防火墙之后�Q�它可以对于�q�端用户的地址�q�行动态的分配和管理，可以支持 DHCP 和私有地址应用�Q�RFC1918�Q�等�Ҏ��。远端用��h��分配的地址不是Internet地址而是企业内部的私有地址�Q�这��h��便了地址的管理�ƈ可以增加安全性�?
　　
　　�|�络计费的灵�z�L�?
　　
　　可以在LAC和LNS两处同时计费�Q�即ISP处（用于产生帐单�Q�及企业处（用于付费及审讎ͼ�。L2TP 能够提供数据传输的出入包敎ͼ�字节数及�q�接的�v始、结束时间等计费数据�Q�可以根据这些数据方便地�q�行�|�络计费�?
　　
　　可靠�?
　　
　　L2TP 协议可以支持备䆾 LNS�Q�当一个主 LNS 不可达之后，LAC�Q�接入服务器�Q�可以重��C��备䆾 LNS 建立�q�接�Q�这样增加了 VPN 服务的可靠性和定w��性�?�l�一的网�l�管�?L2TP 协议��很快地成�ؓ标准�?RFC 协议�Q�有�?L2TP 的标�?MIB 也将很快地得到制定，�q�样可以�l�一地采�?SNMP �|�络��理�Ҏ��q�行方便的网�l�维护与��理�?

　　三层隧道协议
　　
　　用于传输三层�|�络协议的隧道协议叫三层隧道协议。三层隧道协议�ƈ非是一�U�很新的技术，早已出现�?RFC 1701 Generic Routing Encapsulation�Q�GRE�Q�协议就是个三层隧道协议。新出来�?IETF �?IP 层加密标准协�?IPSec 协议也是个三层隧道协议�?
　　
　　IPSec 协议不是一个单独的协议�Q�它�l�出了应用于IP层上�|�络数据安全的一整套体系�l�构�Q�它包括�|�络安全协议 Authentication Header�Q�AH�Q�协议和 Encapsulating Security Payload�Q�ESP�Q�协议、密钥管理协议Internet Key Exchange �Q�IKE�Q�协议和用于�|�络验证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换�Q�向上提供了讉K��控制、数据源验证、数据加密等�|�络安全服务�?
　　
　　GRE
　　
　　GRE �?IP in IP、IPX over IP �{�封装�Ş式很�怼��Q�但比他们更通用。很多协议的�l�微差异都被忽略�Q�这��导致了它不是徏议用在某个特定的“X over Y”进行封装，所以是一�U�最基本的封装�Ş式�?
　　
　　在最��单的情况下，�pȝ��接受��C��个需要封装和路由的数据报�Q�我们称之�ؓ有效报文�Q�Payload�Q�。这个有效报文首先被 GRE ��装然后被称之�ؓ GRE 报文�Q�这个报文接着被封装在 IP 协议中，然后完全�?IP 层负责此报文的向前传输（Forwarded�Q�。我们也�U�这个负责向前传输的IP 协议��Z��递（Delivery�Q�协议或传输�Q�Transport�Q�协议。整个被��装的报文具有图2 所�C��Ş式： Delivery Header(transpor Protocol) GRE Header(Encapsulation Protocol) Payload Packet(Passenger Protocol) �? 通过 GRE 传输报文形式 GRE 的作用如下：多协议的本地�|�通过单一协议的骨�q�网传输的服�?��一些不能连�l�的子网�q�接��h��Q�这一点用于组�?VPN 扩大了网�l�的工作范围,包括那些路由�|�关有限的协议；�?IPX 包最多可以�{�?6�ơ（既经�q?6个�\由器�Q�，而在一�?Tunnel �q�接中看上去只经�q�一个�\由器 IPSec IPSec�Q�IP 安全协议�Q�是一�l�开攑֍�议的�ȝ��Q�在特定的通信方之间提供数据的�U�有性、完整性保护，�q�能�Ҏ��据源�q�行验证。IPSec 使用 IKE �q�行协议及算法的协商�Q��ƈ采用�?IKE 生成的密码来加密和验证。IPSec 用来保证数据包在 Internet �|�上传输时的�U�有性、完整性和真实性。IPSec �?IP 层提供这些安全服务，�?IP 及所承蝲的数据提供保护。这些服务是通过两个安全协议 AH �?ESP�Q�通过加密�{�过�E�实现的。这些机制的实现不会对用戗��主机或其它 Internet �l��g造成影响�Q�用户可以选择不同的加密算法，而不会对实现的其它部分造成影响�?
　　
　　IPSec 提供以下几种�|�络安全服务�Q?
　　
　　�U�有�?�Q?IPsec 在传输数据包之前��其加密�Q�以保证数据的私有�?
　　
　　完整�?�Q?IPsec 在目的地要验证数据包�Q�以保证该数据包在传输过�E�中没有被替�?
　　
　　真实�?�Q?IPsec 端要验证所有受 IPsec 保护的数据包
　　
　　反重�?�Q?IPsec 防止了数据包被扑捉�ƈ重新投放到网上，即目的地会拒�l�老的或重复的数据包；它通过�?AH �?ESP 一起工作的序列号实�?IPSec 协议本��n定义了如何在 IP 数据包中增加字段来保�?IP 包的完整性、私有性和真实性，�q�些协议�q�规定了如何加密数据包。��? IPsec�Q�数据就可以在公�|�上传输�Q�而不必担心数据被监视、修�Ҏ��伪造了。IPsec 提供了两个主��Z��间、两个安全网关之间或��L��和安全网关主机的保护�?
　　
　　IPSec 定义了两个新的数据包头增加到 IP 包，�q�些数据包头用于保证 IP 数据包的安全性。这两个数据包头由AH�Q�Authentication Header�Q�和 ESP�Q�Encapsulating Security Payload�Q�规定。在�|�关上实�?IPSec�Q�AH ��插到标准IP包头后面�Q�它保证数据包的完整性和真实性，防止黑客截断数据包或向网�l�中插入伪造的数据包。AH 采用了安全哈希算法来�Ҏ��据包�q�行保护。AH 没有对用��h��据进行加密。ESP ��需要保护的用户数据�q�行加密后再��装到IP包中�Q�ESP 可以保证数据的完整性、真实性和�U�有性�?
　　
　　IPSec 有隧道和传送两�U�工作方式。在隧道方式中，用户的整�? IP数据包被用来计算 ESP ��_��且被加密�Q�ESP 头和加密用户数据被封装在一个新�?IP 数据包中�Q�在传送方式中�Q�只是传输层�Q�如TCP、UDP、ICMP�Q�数据被用来计算 ESP ��_��ESP 头和被加密的传输层数据被攄��在原IP包头后面。当 IPSec 通信的一端�ؓ安全�|�关�Ӟ��必须采用隧道方式�?
　　
　　 Internet 密钥交换协议�Q�IKE�Q�用于在两个通信实体协商和徏立安全相养I��交换密钥。安全相养I��Security Association�Q�是 IPSec 中的一个重要概��c��一个安全相兌��C�Z��个或多个通信实体之间�l�过了��n份认证，且这些通信实体都能支持相同的加密算法，成功��C��换了会话密钥�Q�可以开始利�? IPSec �q�行安全通信。IPSec 协议本��n没有提供在通信实体间徏立安全相关的�Ҏ��Q�利�?IKE 建立安全相关。IKE 定义了通信实体间进行��n份认证、协商加密算法以及生成共享的会话密钥的方�?/p>

旅�?/a> 2007-08-15 00:12 发表评论

Tue, 14 Aug 2007 15:58:00 GMT

　现在的计��机领域��来��依赖于各种�c�d��的隧道技术。所有的�q�程接入VPN(虚拟专用�|?都要用隧道，你还�l�常听到计算机狂��Z��在谈论SSH(安全 Shell)隧道。利用隧道技术你可以完成许多令�h惊讶的工作，所以请舒舒服服地坐好吧�Q�愉快地享受�q�一期关于隧道技术及其用途的知识讲��。如果你想了�? IP安全协议(IPSec)的具体情况，我们会在以后的基��知识讲��中阐�q��?

　　隧道技术的主要作用是让一�U�网�l�不支持的外来协议通过该网�l�。隧道协议可以让你利用诸如IP�{�协议通过IP数据包的“数据”部分发送另一�U�协议。大多数隧道协议作用在第4层，�q�就意味着�q�些协议可以用来代替TCP(传输控制协议)或UDP(用户数据报协�?�{�协议的功能�?/p>

　　VPN隧道技术允许远�E�客户通过隧道�q�入我们的网�l�，�q�一点证明了早前关于隧道被用于那些“不受支持协议”的观点�Q�尽��该作用�q�不显而易见。如果我们要通过VPN才能实现打印机和文�g�׃�n�Q�那可能是因为端�?39�?45(Windows的配对端�?已被关闭�Q�实际上对于我们的边界�\由器来说�Q? �q�两个端口是不受支持的TCP端口。然而，如果在已知的VPN服务器上采用IPSec或PPTP(点对炚w��道协�?�Q�那么一切就“都没问题”了�?/p>

　　被发往�z�d��目录(Active Directory)服务器端�?45的数据包��被隐藏为VPN数据包。当�q�些数据包到达VPN服务器时�Q�服务器会对数据包进行解�?demux�Q�即de -multiplex�Q�也被称为disassemble)�Q�然后将其发送到内部�|�络上。当数据包到辑ֆ�部网�l�时�Q�其源地址现在��是VPN服务器的内部 IP�Q�这样内部网�l�做出的响应��p��q�回VPN服务器。除了这一点，数据包都会完全按照你的意图行事。VPN服务器一收到响应�Q�就会给该数据包��d��VPN�? �q�封装�v来，然后通过其外部接口把它发回给你�?/p>

　　关于VPN隧道要注意几个有意思的地方:一旦你的数据到辑ֆ�部网�l�，它就已经被解�?而当�q�些数据通过Internet�Ӟ��会有一些特别的“东襎쀝被加入到数据包中�?/p>

　　有一�Ҏ��们没有提及，但是也许很明显，那就是VPN协议在传送你的数据包之前会�ؓ其加密。对于理解隧道概念这无关紧要�Q�不�q�却值得一提。注意这 �U�加密�ƈ不是端对端，也就是说你和服务器之间的通信不是真正安全的。当然你自己和你的网�l�之间很安全�Q�别人无法窥探，然而一旦数据包从VPN服务器出来， ��׃��再一�ơ被解密�?/p>

　　说到�W�二个有意思的地方�Q�我们先来了解一下最基本的IP��装原理。从概念上来��_��我们是把数据包嵌套，更确切地��_�� 外部的IP数据包的数据部分要包含一个完整的IP数据包。很妙，是不�?�q�样我们��p��释了IPIP隧道的概�?IP被包含在IP数据包中�?/p>

　　�?

　　如图1所�C�，IP数据包的数据部分包含了一个崭新的IP数据包。除了加密，它与VPN隧道技术的作用是一��L��。当你的数据包顶端带了个“附加的包头”时�Q�你无法发送大量的数据�Q�因为第一个IP头就占用�?0个节字。认识这一炚w��帔R��要，因�ؓ在采用隧道技术时会突然出现Path MTU(最大传输单�?问题�?/p>

　　"建立SSH隧道"是一件很奇妙也很让�h费解的事�Q�也��是采用SSH协议通过隧道传送数据。X11�E�序(例如一个图形用��L��面程�?如果需要连接一个显�C�终端。它可以非常��L��地通过SSH隧道传送数据。X的客�?例如弹出�H�口�E�序)会试图连接显�C�器所在的工作站上的X服务器，如果你与一台服务器之间采用了SSH�Q��ƈ且各选项讄��无误�Q�那么程序试图连接X的信息将被通过隧道�q�回�l�你本地的计��机�Q�解密后再传送给你本机机上的X服务器。现在来试着�? 立SSH隧道�?执行“ssh-Y user@hostname.com”命令，然后一旦进入就�q�行firefox�Q�它应该昄��在你的本地计��机上，而且是通过加密SSH隧道实现的�?/p>

　　因�ؓOpenSSH的能力很有趣�Q��ƈ且有助于我们理解隧道概念�Q�所以我们来看看SSH另外两个��技巧�?/p>

　　你可以把到自��p��机上的一个端口的�q�接转发�l�一台远�E�计��机�Q�它��你的数据通过SSH隧道传送，使之安全可靠。这看�v来似乎没什么用处，�? 竟，��Z��么我要把自己计算��Z��的端口发�l�另一台计��机�?要回�{�这个问题我们先要澄清一些概��c��SSH转发端口之前首先要侦听本地端口是否有�q�接�Q�当建立 �q�接后，SSH��把整个�q�接发送给�q�程��L��和端口，�q�是一个单端口VPN!

　　例如:ssh -L80:workserver.com:80 user@workdesktop.com

　　�q�条命��o在本��Z��workdesktop.com计算��Z��间徏立一个SSH�q�接�Q�而与此同时也打开了你本地计算��Z��的端�?0。如果你让web ��览器指向http://localhost�Q�此�q�接��׃��通过SSH�q�接被发送至workdesktop.com�Q�进而又发送至 workserver.com服务器的端口80上。这非常有益于从安��讉K��那些仅存在于Intranet上的站点�Q�而无需先连接至VPN服务器�?/p>

　　最新的OpenSSH版本同样支持SSH上的IP隧道技术。实际上�Q�它也支持以太网(Ethernet)�Q�目的是��两个以太网�q�播域桥接在一 �?也就是通过SSH加密!在OpenSSH的隧道选项中，��Z��可以讄��全功能的SSH-VPN隧道�Q��之在��M��SSH�|�络上都能实现。它在两端都创徏�? 道接口，而唯一需要手动配�|�的只是路由表。如果你惌��所有发往目的�|�络的数据都通过加密隧道来发送，那么你只需为目的网�l�增加一条�\由，�q�把它指向SSH 自动创徏的隧道接口。这��实是目前最无可争议的VPN讄��了�?/p>

　　隧道也传送其它协议。希望上�q�内容能够让你深入了解隧道技术，�Ȁ发一点兴��，或者至��让某些��Z��再觉得这�U�技术多么神�U��?/p>

　　��结

　　隧道技术用于在各种不同的网�l�中发送不受支持的协议�?/p>

　　通过隧道的数据、VPN或其它内容��数据包增大，所以每个数据包所发送的数据量减��?/p>

　　一般来��_��通过SSH隧道发送数据是一�U�根据具体应用徏立的VPN�Q�然而最新版本的OpenSSH可实��C��个完全成熟、无可争议的VPN�?/p>

旅�?/a> 2007-08-14 23:58 发表评论

Tue, 14 Aug 2007 15:42:00 GMT

隧道技术（Tunneling�Q�是一�U�通过使用互联�|�络的基��设施在网�l�之间传递数据的方式�?b>使用隧道传递的数据�Q�或负蝲�Q�可以是不同协议的数据��或包�? 隧道协议��其它协议的数据帧或包重新封装然后通过隧道发送。新的��头提供�\�׃��息，以便通过互联�|�传递被��装的负载数据�?
　　�q�里所说的隧道�c�M��于点到点的连接。这�U�方式能够��来自许多信息源的�|�络业务在同一个基��设施中通过不同的隧道进行传输。隧道技术��用点对点通信协议代替了交换连接，通过路由�|�络来连接数据地址。隧道技术允许授权移动用��h��已授权的用户在�Q何时间、�Q何地点访问企业网�l��?
　　通过隧道的徏立，可实玎ͼ�
* ��数据流强制送到特定的地址
* 隐藏�U�有的网�l�地址
* 在IP�|�上传递非IP数据�?br /> * 提供数据安全支持
　　�q�来出现了一些新的隧道技术，�q�在不同的系�l�中得到�q�用和拓展�?br /> 　　隧道技�?br /> 　　为创建隧道，隧道的客��h��和服务器双方必须使用相同的隧道协议。隧道技术可分别以第2层或�W?层隧道协议�ؓ基础。第2层隧道协议对应于OSI模型的数据链路层�Q��用��作�ؓ数据交换单位。PPTP�Q�点对点隧道协议�Q�、L2TP�Q�第二层隧道协议�Q�和L2F�Q�第2层�{发协议）都属于第2层隧道协议，是将用户数据��装在点对点协议�Q�PPP�Q��中通过互联�|�发送。第3层隧道协议对应于OSI 模型的网�l�层�Q��用包作�ؓ数据交换单位。IPIP�Q�IP over IP�Q�以及IPSec隧道模式属于�W?层隧道协议，是将IP包封装在附加的IP包头中，通过IP�|�络传送。无论哪�U�隧道协议都是由传输的蝲体、不同的��装格式以及用户数据包组成的。它们的本质区别在于�Q�用��L��数据包是被封装在哪种数据包中在隧道中传输�?br /> �q�个技术是�q�期才出现的��C��物，�q�且已经被用到各�U�黑客��Y件之中，比较成熟的有�q�程控制软�g“网�l�神偷”和“灰鸽子”�?
�q�是国内两个很有代表性的�q�用“http隧道�I�越原理”而制作的软�g�Q�用该类型��Y件可以穿透防火墙�Q�不受端口的限制�?

一般防火墙��Z��安全赯��Q�都只开80和其他一些常用的端口�Q�这��L��话，那些一般的��Z��tcp/ip客户端和服务端的木马��׃��能通过防火墙和外界发生联系�Q? 特别是在内网之中�Q?b>但是�l�过�Ҏ��处理的ip��包可以伪装成http��包�Q�这样防火墙��p��为其是合法的http数据包，��׃��放行�Q�这样在木马的接收端�Q��Y�? 再将伪装�q�的ip��包�q�原出来�Q�取出其中有用的数据�Q�从而达到穿��防火墙端口讄��的限制�?

该类型��Y件具有很大的�ƺ骗性，所以不要认��|�了端口限制的防火墙��׃��定很安全了�?

利用HTTP协议的缺��h��实现寚w��火墙的渗透，或者说现有的一些HTTP隧道技术的实现�Q�是��Z��防火墙在对HTTP协议的报文进行识别与�q��o�Ӟ��往往只对其诸如POST、GET�{�命令的头进行识别，而放行其后的所有报文�?img src ="http://www.shnenglu.com/mydriverc/aggbug/30030.html" width = "1" height = "1" />

旅�?/a> 2007-08-14 23:42 发表评论

Sun, 29 Jul 2007 07:02:00 GMT

摘要: Windows下网�l�数据报的监听和拦截技�? Windows下网�l�数据报的监听和拦截技术是一个比较古老的话题�Q�应用也很广泛，例如防火墙等�{�。这��小文只是对该技术的一个�ȝ��Q�没有新技术，高手免看�Q�）要监听和拦截Windo... 阅读全文

旅�?/a> 2007-07-29 15:02 发表评论

利用WinSock2 SPI�q�行�|�络内容讉K��控制

Sun, 29 Jul 2007 06:34:00 GMT

�~�者按�Q�与传统的包�q��o防火墙技术不同，本文从应用层�|�关技术入手，深入探讨了利用WinSock2 SPI�q�行�|�络内容讉K��控制的问题。这是网�l�安全的一��Ҏ��内容�Q�或者说�Q�它为网�l�安全技术的爱好者和研发人员提供了一个新的思�\�?

防火墙可以实施和执行�|�络讉K��{�略�Q�但是，传统的防火墙技术集中于如何防范外部�|�络对内部网�l�的入��R和攻��M��Q�而对于如何控制内部用户对外部�|�络的访�? 问题研究不够深入�Q�相关的控制技术也不多。据权威资料昄��Q�全球现有大�U?5万色情网站，单纯依靠传统的包�q��o�{�防火墙技术，势必会严重媄响网�l�性能。针对这一问题�Q�我们从应用层网��x��术入手，利用WinSock2 SPI技术，�q�行了研�I�和探讨�?

　　Winsock2 SPI原理�?/p>

Winsock2 SPI�Q�Service Provider Interface�Q�服务提供者接口徏立在Windows开攄��l�架构WOSA�Q�Windows Open System Architecture�Q�之上，是Winsock�pȝ��l��g提供的面向系�l�底层的�~�程接口。Winsock�pȝ��l��g向上面向用户应用�E�序提供一个标准的 API接口�Q�向下在Winsock�l��g和Winsock服务提供者（比如TCP/IP协议栈）之间提供一个标准的SPI接口。各�U�服务提供者是 Windows支持的DLL�Q�挂靠在Winsock2 的Ws2_32.dll模块下�?/p>

对用户应用程序��用的Winsock2 API中定义的许多内部函数来说�Q�这些服务提供者都提供了它们的对应的运作方�?例如API函数WSAConnect有相应的SPI函数 WSPConnect)。多数情况下�Q�一个应用程序在调用Winsock2 API函数�Ӟ��Ws2_32.dll会调用相应的Winsock2 SPI函数�Q�利用特定的服务提供者执行所��h��的服务�?

　　Winsock2 SPI允许开发两�c�L��务提供者——传输服务提供者和名字�I�间服务提供者�?#8220;传输提供�?#8221;�Q�Transport Providers, 一般称作协议堆栈，例如TCP/IP�Q�能够提供徏立通信、传输数据、日常数据流控制和错误控制等传输功能斚w��的服务�?#8220;名字�I�间提供�?#8221;�Q�Name Space Providers�Q�例如DNS名字解析服务�Q�则把一个网�l�协议的地址属性和一个或多个用户友好名称兌��C��P��以便启用与应用无关的名字解析�Ҏ��?

Winsock2 中��用的传输服务提供者有两类�Q�基��服务提供者和分层服务提供者。基��服务提供者执行网�l�传输协议（比如TCP/IP�Q�的具体�l�节�Q�其中包括在�|�络上收�? 数据之类的核心网�l�协议功能�?#8220;分层�?#8221;�Q�Layered�Q�服务提供者只负责执行高��的自定义通信功能�Q��ƈ依靠下面的基��服务提供者，在网�l�上�q�行真正�? 数据交换�?

��Z��q�行内部用户对外讉K��控制�Q�我们需要在现有的基��提供者TCP/IP提供者上讄��一个分层式的URL�q��o��理者。通过 URL�q��o��理者我们可以截��L��戯��求的HTTP数据包中的URL地址�Q��而可以通过高效的数据检索算法（如利用Fibonacci散列函数的哈希表�Q�，在访问规则库�Q�被��止讉K��的IP集合�Q�中查找指定的IP�Q�根据结果拒�l�或提供讉K��服务�?

　　传输服务提供者的安装方式军_��了它不仅�? 一个分层提供者，�q�是一个基��服务提供者。Winsock 2使用�pȝ��配置数据库配�|�传输服务提供者。配�|�数据库让Winsock2得知服务提供者的存在�Q��ƈ定义了提供的服务�c�d��。要在Winsock2服务提供�? 数据库内成功安装和管理服务提供者，需要四个函敎ͼ�WSCEnumProtocols、WSCInstallProvider�? WSCWriteProvider Order、WSCDeInstallProvider�?/p>

�q�些函数利用WSAPROTOCOL_INFOW�l�构�Q�对服务提供者数据库�q�行查询和操作。要安装分层式服务提供者，需要徏立两�? WSPPROTOCOL_INFOW目录条目�l�构。一个代表分层提供者（协议��N��度等�?�Q�，另一个将代表一个协议链�Q�协议长度大�?�Q�，该协议链把分�? 提供者与一个基��服务提供者链接�v来。应该��用现有服务提供者的WSAPROTOCOL_INFOW目录条目�l�构的属性来初始化这两个�l�构�?/p>

调用WSCEnumProtocols可以获得已有的服务提供者的WSAPROTOCOL_INFOW目录条目�l�构。初始化之后�Q�首先需要��? WSCInstallProvider来安装我们的讉K��控制分层服务提供者目录条目，然后�Q�利用WSCEnumProtocols列�D出所有的目录条目�Q? 获得安装之后��个结构分配的目录ID。然后，用这个目录条目来讄��一个协议链目录条目�Q�通过它，��我们的讉K��控制服务提供者和另一个提供者（TCP基础提供者）链接��h��。然后再�ơ调用WSCInstallProvider来安装我们的分层铑ּ�服务提供者�?

　　在用 WSCInstallProvider安装一个服务提供者时�Q�目录条目自动成为配�|�数据库中的最后一个条目。要实现讉K��控制��必��M��我们的URL�q��o服务提供者成为默认的TCP/IP提供者，必须通过调用WSCWriteProviderOrder函数来完成此��工作，�Ҏ��据库中提供者目录条目进行重新排序，�q�把协议铄��录条目放在TCP/IP基础提供者之前�?

　　Winsock2传输服务提供者随标准的Windows动态链接库模块一��h��行。我们必��d��我们的服务提供者动态链接库模块中导入DLLMain函数�Q�同时还必须导入一个名为WSPStartup的单一函数条目。我们的 URL�q��o服务提供者必��L��供对WSPStartup函数和其�?0个SPI函数的支持。调用WSAStartup期间�Q�Winsock�Ҏ�� WSASocket调用的地址家族、套接字�c�d��和协议参敎ͼ�来决定需要加载哪个服务提供者。只有在一个应用程序通过socket或WSASocket API调用建立一个采用地址家族AF_INET、套接字�c�d��为SOCK_STREAM的套接字�Ӟ��Winsock才会搜烦�q�加载与之相应的、能够提�? TCP/IP能力的传输服务提供者。WSPStartup的参数UpcallTable取得Ws2_32.dll的SPI函数�z�N��表，我们的访问控制分�? 服务提供者利用这些函数来��理自��n和Winsock2之间的I/O操作�?

　　我们利用WSPConnect函数来实现访问控制功能�? 在用戯��求HTTP服务�Ӟ��需要首先徏立与目标站点的连接，�q�接成功后，在此�q�接基础上发送HTTP��h��数据包。用户应用程序调用connect�? WSAConnect函数建立�q�接�Ӟ��SPI会调用对应的WSPConnect函数�Q�INT WSPAPI WSPConnect(...,const struct sockaddr FAR *name,...,INT FAR *lpErrno)。在sockaddr�c�d��的参数name中包含了用户��要讉K��的目标站点的IP地址信息。我们将name参数传递到IP可访问性判定例 �E�IPFilter。如果IPFilter函数�q�回代表授权讉K��的结果，我们采用协议铑֑�令�\由，调用下一层的基础服务提供�?TCP/IP)来完成连�? ��h��。如果IPFilter函数�q�回代表拒绝服务的结果，我们讄��lpErrno参数为相应的错误码，然后�q�回�Q�不�q�行协议链下一层服务提供者的调用�Q�从而实现访问控制�?

　　分层式服务提供者大大发挥了联网服务的潜能，增强了Winsock的应用，在我们的URL�q��o服务中发挥了巨大的作用，基本实现了对内部用户讉K��外部�|�络的访问控�Ӟ��为用��h��供了对互联网的健��h��的讉K��服务�?br>(e129)

旅�?/a> 2007-07-29 14:34 发表评论

ARP�ƺ骗原理

Wed, 13 Jun 2007 06:46:00 GMT

再仔�l�看了一下ARP数据包，�l�于恍然大悟�ƺ骗原理�?br>是这��L��Q��ؓ了能和其他机器通讯�Q�局域网上的各个机器都缓存了ARP列表�Q�ARP列表可以��单理解成“一个IP地址对应一个MAC地址”�Q�。机器要通过�|�关和其他机器通讯�Q�其实是在局域网内发了查询ARP��h��Q�可以简单理解成“�|�关啊，��h��你的MAC地址告诉我好吗？”�Q�；�|�关收到此类��h��后，��׃��发送ARP回应报文�Q�回应网关的MAC。这��P��某个机器��׃��把通讯数据发到�|�关的MAC上�?br>那么�q�行了p2pOver之类的��Y件后是怎么�ƺ骗的呢�Q�简单�v见，我们设��用了p2pOver的机器�ؓ”A”�Q?#8221;A”的MAC地址�?#8221;M”�?br>首先�Q?#8221;A”通过ARP查询得到真实的网关MAC�Q�和不停地轮询局域网上其他主机（IP�Q�及其MAC�?br>其次�Q?#8221;A”不停地给局域网上其他主机发送伪造的ARP回应报文�Q�告诉他们网关的MAC�?#8221;M”�Q?br>同时�Q?#8221;A”也不停给交换机发送伪造的ARP回应报文�Q�告诉真正的�|�关局域网上所有主机的MAC地址�?#8221;M”�?br>因�ؓ是不停地发送报文，��C��最后：局域网上的其他��L��以�ؓ�|�关��是”A”�Q�真正的�|�关以�ؓ局域网上的所有通讯只来�?#8221;A”。也��是”A”变成了事实上的中转中心：不仅可以截取其他��L��的流量和数据�Q�还能随心所�Ʋ地截断�|�络通讯�?br>ARP�ƺ骗防治
从欺骗原理，不难推出防治关键��是惛_��法不接收错误的ARP回应报文�Q?br>1) 使用��交换机，�l�定�|�内所有IP-MAC。这样也��׃��需要ARP查询才能知道MAC�?br>2) �q�有一个办法，��是在网内所有机器上�l�定�ȝ��关的MAC�Q�下面适用于WinXP�Q�：
在网�l�正常情况下�Q?strong>arp -a �|�关IP�Q�如192.168.1.1�Q�，查询到正��的�|�关MAC
然后�l�定�|�关MAC�Q?strong>arp -s �|�关IP �|�关MAC
在执行arp -a�Q�看到网关IP和MAC是静态（Static�Q�的�Q�就可以�?

旅�?/a> 2007-06-13 14:46 发表评论

ARP�ƺ骗原理

Wed, 13 Jun 2007 06:46:00 GMT

旅�?/a> 2007-06-13 14:46 发表评论