Month: March 2007

以前尝试过两次，都没有配置成功，今天下决心，终于搞定。
(ubuntu 6.10， intel wireless)
在ubuntu下笔记本的wifi灯从来都亮不起来，搜索了才知道，开启wifi的组合键其实是有效的，只不过灯不会亮。
首先在网络配置处启用无线网，基本不需要配置，ESSID填入无线网的名称即可。
不过默认情况下ubuntu并不会像windows那样自动搜索可用的无线连接，我是从shao的机器上看到的
比如，今天在A309，最强的信号名就是A309，于是填入ESSID
然后，点任务栏处的网络图标，把连接名称改为无线网的名称，由于我禁了有线，所以是eth1
这时候如果信号强度为0，说明机器的wifi没开，用组合键开了之后应该就可以看见信号了
其实之前也曾看过信号强度很好的情况，但是却显示“已断开”，原来就是ESSID没有正确配置。
最后，可以下载个小工具wifi-radar，然后就能自动搜索网络了

最近一段时间，很多校园局域网内的主机出现频繁断网的现象，引起这种现象的主要原因是局域网内部存在ARP欺骗攻击。以下就针对这种攻击的原理和防范方法进行简单介绍。

什么是ARP协议

要想了解ARP欺骗攻击的原理，首先就要了解什么是ARP协议。ARP是地址转换协议的英文缩写，它是一个链路层协议，工作在OSI模型的第二层，在本层和硬件接口间进行联系，同时为上层（网络层）提供服务。
我们知道，二层的以太网交换设备并不能识别32位的IP地址，它们是以48位以太网地址（就是我们常说的MAC地址）传输以太网数据包的。因此IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。
ARP工作时，首先请求主机发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机。这样请求主机就能获得要到达的IP地址对应的MAC地址，同时请求主机会将这个地址对放入自己的ARP表缓存起来，以节约不必要的ARP通信。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用（Windows系统这个时间为2分钟，而Cisco路由器的这个时间为5分钟），就会被删除。通过下面的例子我们可以很清楚地看出ARP的工作机制。
假定有如下五个IP地址的主机或者网络设备，它们分别是：

假如主机A要与主机B通信，它首先会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址，如果没有它就会向局域网的广播地址发送ARP请求包，大致的意思是192.168.1.3的MAC地址是什么请告诉192.168.1.2，而广播地址会把这个请求包广播给局域网内的所有主机，但是只有192.168.1.3这台主机才会响应这个请求包，它会回应192.168.1.2一个ARP包，大致的意思是192.168.1.3的MAC地址是02-02-02-02-02-02。这样的话主机A就得到了主机B的MAC地址，并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通信就依靠两者缓存表里的MAC地址来通信了，直到通信停止后2分钟，这个对应关系才会从表中被删除。
再来看一个非局域网内部的通信过程。假如主机A需要和主机D进行通信，它首先会发现这个主机D的IP地址并不是自己同一个网段内的，因此需要通过网关来转发，这样的话它会检查自己的ARP缓存表里是否有网关192.168.1.1对应的MAC地址，如果没有就通过ARP请求获得，如果有就直接与网关通信，然后再由网关C通过路由将数据包送到网关E，网关E收到这个数据包后发现是送给主机D（10.1.1.2）的，它就会检查自己的ARP缓存，看看里面是否有10.1.1.2对应的MAC地址，如果没有就使用ARP协议获得，如果有就是用该MAC地址与主机D通信。

什么是ARP欺骗

通过上面的例子我们知道，在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机（包括网关）都有一个ARP缓存表。在正常情况下这个缓存表能够有效保证数据传输的一对一性，像主机B之类的是无法截获A与D之间的通信信息的。
但是主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截取主机A与主机D之间的数据通信成为可能。
首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是02-02-02-02-02-02，主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成02-02-02-02-02-02，同时主机B向网关C发送一个ARP响应包说192.168.1.2的MAC是02-02-02-02-02-02，同样，网关C也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成02-02-02-02-02-02。当主机A想要与主机D通信时，它直接把应该发送给网关192.168.1.1的数据包发送到02-02-02-02-02-02这个MAC地址，也就是发给了主机B，主机B在收到这个包后经过修改再转发给真正的网关C，当从主机D返回的数据包到达网关C后，网关也使用自己ARP表中的MAC，将发往192.168.1.2这个IP地址的数据发往02-02-02-02-02-02这个MAC地址也就是主机B，主机B在收到这个包后再转发给主机A完成一次完整的数据通信，这样就成功地实现了一次ARP欺骗攻击。
因此简单点说，ARP欺骗的目的就是为了实现全交换环境下的数据监听。大部分的木马或病毒使用ARP欺骗攻击也是为了达到这个目的。

如何发现及清除

局域网内一旦有ARP的攻击存在，会欺骗局域网内所有主机和网关，让所有上网的流量必须经过ARP攻击者控制的主机。其他用户原来直接通过网关上网，现在却转由通过被控主机转发上网。由于被控主机性能和程序性能的影响，这种转发并不会非常流畅，因此就会导致用户上网的速度变慢甚至频繁断线。另外ARP欺骗需要不停地发送ARP应答包，会造成网络拥塞。
一旦怀疑有ARP攻击我们就可以使用抓包工具来抓包，如果发现网内存在大量ARP应答包，并且将所有的IP地址都指向同一个MAC地址，那么就说明存在ARP欺骗攻击，并且这个MAC地址就是用来进行ARP欺骗攻击的主机MAC地址，我们可以查出它对应的真实IP地址，从而采取相应的控制措施。另外，我们也可以到路由器或者网关交换机上查看IP地址与MAC地址的对应表，如果发现某一个MAC对应了大量的IP地址，那么也说明存在ARP欺骗攻击，同时通过这个MAC地址查出用来ARP欺骗攻击的主机在交换机上所对应的物理端口，从而进行控制。
如何防范？
我们可以采取以下措施防范ARP欺骗。
（1）在客户端使用arp命令绑定网关的真实MAC地址命令如下：
arp (先清除错误的ARP表)
arp 192.168.1.1 03-03-03-03-03-03 （静态指定网关的MAC地址）
（2）在交换机上做端口与MAC地址的静态绑定。
（3）在路由器上做IP地址与MAC地址的静态绑定。
（4）使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表。
（5）最主要是要提高用户的安全意识，养成良好的安全习惯，包括：及时安装系统补丁程序；为系统设置强壮的密码；安装防火墙；安装有效的杀毒软件并及时升级病毒库；不主动进行网络攻击，不随便运行不受信任的软件。

连在某个网络上的两台计算机在相互通信时，在它们所传送的数据包里含有某些附加信息，这些附加信息就是发送数据的计算机的地址和接受数据的计算机的地址。当网络中存在以IP协议为基础的通信时，这些发送和接受数据的地址就是IP地址。

基本地址格式

现在的IP网络使用32位地址，以点分十进制表示，如172.16.0.0。地址格式为：IP地址=网络地址＋主机地址 或 IP地址=主机地址＋子网地址＋主机地址。

IP地址类型

最初设计互联网络时，为了便于寻址以及层次化构造网络，每个IP地址包括两个标识码（ID），即网络ID和主机ID。同一个物理网络上的所有主机都使用同一个网络ID，网络上的一个主机（包括网络上工作站，服务器和路由器等）有一个主机ID与其对应。IP地址根据网络ID的不同分为5种类型，A类地址、B类地址、C类地址、D类地址和E类地址。

1． A类IP地址

一个A类IP地址由1字节的网络地址和3字节主机地址组成，网络地址的最高位必须是“0”， 地址范围从1.0.0.0 到126.0.0.0。可用的A类网络有126个，每个网络能容纳1亿多个主机。

2． B类IP地址

一个B类IP地址由2个字节的网络地址和2个字节的主机地址组成，网络地址的最高位必须是“10”，地址范围从128.0.0.0到191.255.255.255。可用的B类网络有16382个，每个网络能容纳6万多个主机 。

3． C类IP地址

一个C类IP地址由3字节的网络地址和1字节的主机地址组成，网络地址的最高位必须是“110”。范围从192.0.0.0到223.255.255.255。C类网络可达209万余个，每个网络能容纳254个主机。

4． D类地址用于多点广播（Multicast）。

D类IP地址第一个字节以“lll0”开始，它是一个专门保留的地址。它并不指向特定的网络，目前这一类地址被用在多点广播（Multicast）中。多点广播地址用来一次寻址一组计算机，它标识共享同一协议的一组计算机。

5． E类IP地址

以“llll0”开始，为将来使用保留。

全零（“0．0．0．0”）地址对应于当前主机。全“1”的IP地址（“255．255．255．255”）是当前子网的广播地址。

在IP地址3种主要类型里，各保留了3个区域作为私有地址，其地址范围如下：

A类地址：10.0.0.0～10.255.255.255

B类地址：172.16.0.0～172.31.255.255

C类地址：192.168.0.0～192.168.255.255

子网掩码与子网划分

目录 ：

一、摘要

二、子网掩码的概念及作用

三、为什么需要使用子网掩码

四、如何用子网掩码得到网络/主机地址

五、子网掩码的分类

六、子网编址技术

七、如何划分子网及确定子网掩码

八、相关判断方法

一、摘要

近期在我的论坛中大家对子网掩码以及子网划分的讨论比较多，因为前面也写了关于ip地址的教程，为了延续性，就写了这个关于子网掩码与子网划分的教程，学这篇教程需要一定的基础（高手当然除外），建议读过前面的关于ip的教程后，再读本教程。准备好了吗？我们开始吧！！

二、子网掩码的概念及作用

子网掩码是一个应用于TCP/IP网络的32位二进制值，它可以屏蔽掉ip地址中的一部分，从而分离出ip地址中的网络部分与主机部分，基于子网掩码，管理员可以将网络进一步划分为若干子网。

三、为什么需要使用子网掩码

虽然我们说子网掩码可以分离出ip地址中的网络部分与主机部分，可大家还是会有疑问，比如为什么要区分网络地址与主机地址？区分以后又怎样呢？那么好，让我们再详细的讲一下吧！

在使用TCP/IP协议的两台计算机之间进行通信时，我们通过将本机的子网掩码与接受方主机的ip地址进行’与’运算，即可得到目标主机所在的网络号，又由于每台主机在配置TCP/IP协议时都设置了一个本机ip地址与子网掩码，所以可以知道本机所在的网络号。

通过比较这两个网络号，就可以知道接受方主机是否在本网络上。如果网络号相同，表明接受方在本网络上，那么可以通过相关的协议把数据包直接发送到目标主机；如果网络号不同，表明目标主机在远程网络上，那么数据包将会发送给本网络上的路由器，由路由器将数据包发送到其他网络，直至到达目的地。在这个过程中你可以看到，子网掩码是不可或缺的！

四、如何用子网掩码得到网络/主机地址

既然子网掩码这么重要，那么它是如何分离出ip地址中的网络地址和主机地址的呢？

过程如下：

1.将ip地址与子网掩码转换成二进制；

2.将二进制形式的ip地址与子网掩码做’与’运算，将答案化为十进制便得到网络地址；

3.将二进制形式的子网掩码取’反’；

4.将取’反’后的子网掩码与ip地址做’与’运算，将答案化为十进制便得到主机地址。

下面我们用一个例子给大家演示：

假设有一个I P 地址：192.168.0.1

子网掩码为：255.255.255.0

化为二进制为：I P 地址11000000.10101000.00000000.00000001

子网掩码11111111.11111111.11111111.00000000

将两者做’与’运算得：11000000.10101000.00000000.00000000

将其化为十进制得：192.168.0.0

这便是上面ip的网络地址，主机地址以此类推。

小技巧：由于观察到上面的子网掩码为C类地址的默认子网掩码（即未划分子网），便可直接看出网络地址为ip地址的前三部分，即前三个字节。

解惑：

什么？你还是不懂？问我为什么要做’与’运算而不是别的？其实你仔细观察一下上面的例子就应该能明白。

‘1’在做’与’运算时，不影响结果，’0’在做’与’运算时，将得到0，利用’与’的这个特性，当管理员设置子网掩码时，即将子网掩码上与网络地址所对应的位都设为’1′,其他位都设为’0′,那么当作’与’时，ip地址中的网络号将被保留到结果中，而主机号将被置0，这样就解析出了网络号，解析主机号也一样，只需先把子网掩码取’反’,在做’与’。

五、子网掩码的分类

1）缺省子网掩码：

即未划分子网，对应的网络号的位都置1，主机号都置0。

A类网络缺省子网掩码：255.0.0.0

B类网络缺省子网掩码：255.255.0.0

C类网络缺省子网掩码：255.255.255.0

2）自定义子网掩码：

将一个网络划分为几个子网，需要每一段使用不同的网络号或子网号，实际上我们可以认为是将主机号分为两个部分：子网号、子网主机号。 形式如下：

未做子网划分的ip地址：网络号＋主机号

做子网划分后的ip地址：网络号＋子网号＋子网主机号

也就是说ip地址在化分子网后，以前的主机号位置的一部分给了子网号，余下的是子网主机号。

六、子网编址技术

前面几点介绍了子网掩码的一些知识，下面我们来看看子网划分，不要认为子网划分与子网掩码没有关系哟，子网划分也是靠子网掩码来实现的。

子网是指一个ip地址上生成的逻辑网络，它可以让一个网络地址跨越多个物理网络，即一个网络地址代表多个网络（很明显这样做可以节省ip地址）。呵呵，听起来是不是很蹊跷？一个网络就这样被莫名其妙的划分成了许多子网？那么这样做有什么用呢？

我举个例子来跟你说吧：比如你是某个学校的网管，你的学校有四个处于不同物理位置的网络教室，每个网络教室25台机器，你的任务是给这些机器配置ip地址和子网掩码。你可能会觉得这再简单不过了，申请4个C类地址，每个教室一个，然后在一一配置不就搞定了。嗯，这样做理论上没错，但你有没有想到这样做很浪费，你一共浪费了(254-25)*4=916个ip地址，如果所有的网管都像你这样做，那么internet上的ip地址将会在极短的时间内枯竭，显然，你是不能这样做，你应该做子网划分。

子网划分说白了是这样一个事情：因为在划分了子网后，ip地址的网络号是不变的，因此在局域网外部看来，这里仍然只存在一个网络，即网络号所代表的那个网络；但在网络内部却是另外一个景象，因为我们每个子网的子网号是不同的，当用化分子网后的ip地址与子网掩码（注意，这里指的子网掩码已经不是缺省子网掩码了，而是自定义子网掩码，是管理员在经过计算后得出的）做’与’运算时，每个子网将得到不同的子网地址，从而实现了对网络的划分（得到了不同的地址，当然就能区别出各个子网了，有趣吧）。

子网编址技术，即子网划分将会有助于以下问题的解决：

1）巨大的网络地址管理耗费：如果你是一个A类网络的管理员，你一定会为管理数量庞大的主机而头痛的；

2）路由器中的选路表的急剧膨胀：当路由器与其他路由器交换选路表时，互联网的负载是很高的，所需的计算量也很高；

3）IP地址空间有限并终将枯竭：这是一个至关重要的问题，高速发展的internet,使原来的编址方法不能适应，而一些ip地址却不能被充分的利用，造成了浪费。

因此，在配置局域网或其他网络时，根据需要划分子网是很重要的，有时也是必要的。现在，子网编址技术已经被绝大多数局域网所使用。

七、如何划分子网及确定子网掩码

在动手划分之前，一定要考虑网络目前的需求和将来的需求计划。

划分子网主要从以下方面考虑:

1.网络中物理段的数量（即要划分的子网数量）

2.每个物理段的主机的数量

确定子网掩码的步骤：

第一步：确定物理网段的数量，并将其转换为二进制数，并确定位数n。如：你需要6个子网，6的二进制值为110，共3位,即n=3；

第二步：按照你ip地址的类型写出其缺省子网掩码。如C类，则缺省子网掩码为11111111.11111111.11111111.00000000；

第三步：将子网掩码中与主机号的前n位对应的位置置1，其余位置置0。若n=3且为

C类地址：则得到子网掩码为11111111.11111111.11111111.11100000化为十进制得到255.255.255.224

B类地址：则得到子网掩码为11111111.11111111.11100000.00000000化为十进制得到255.255.224.0

A类地址：则得到子网掩码为11111111.11100000.00000000.00000000化为十进制得到255.224.0.0

另：由于网络被划分为6个子网，占用了主机号的前3位，若是C类地址，则主机号只能用5位来表示主机号，因此每个子网内的主机数量＝（2的5次方）－2＝30，6个子网总共所能标识的主机数将小于254，这点请大家注意！

解惑：

1.你可能有这样的疑问，比如在上面的例子里，6的二进制值为110，那么为什么要将子网掩码中与主机号的前n位对应的位置都置1，而不是用6的二进制110去替代前n位呢？

呵呵，这个问题提的很好，答案是这样的：我们计算子网掩码的目的是什么？就是希望它在做’与’的时候能够解析出网络号，也就是说它与网络号所对应的位置都应该是1（当然包括与子网号所对应的位置），那么很显然，你写上110是不对的，如果你这么写，那么它的意义是主机号的前两位作为子网号，那么这样将最多划分2个子网（不明白没关系，下面有计算子网数量的方法），与我们当初所要划分的6个子网显然是不一致的。这样解释你能明白马？

2.细心的人可能会发现，划分4个子网，5个子网和6个子网的子网掩码是一样的，同为255.255.255.224，是不是错了呢？三个子网掩码应该不同呀？呵呵，是这样的，因为4，5，6的二进制值都是3为，因此在子网掩码中这三位都置1，划分是没有问题的，只是你的理解上有一点小小的问题，划分为4个子网，其实可以理解为划分为6个子网，但你只使用了其中的4个。比如你想划分8个子网，与划分14个子网所得到的子网掩码是一样的，都占用了4位作为子网号。

八、相关判断方法

1）如何判断是否做了子网划分？

这个问题很简单，如果它使用了缺省子网掩码，那么表示没有作子网划分；反之，则一定作了子网划分。

2）如何计算子网地址？

还是老办法，将ip地址与子网掩码的二进制形式做’与’，得到的结果即为子网地址。

3）如何计算主机地址？

这个也不用说了吧，先将子网掩码的二进制取’反’，再与ip地址做’与’。

4）如何计算子网数量？

这个问题大家会常常提到，还是从子网掩码入手，主要有两个步骤：

1.观察子网掩码的二进制形式，确定作为子网号的位数n；

2.子网数量为2的n次方－2。（为什么减2，呵呵，往下看）

举个例子来说，比如有这样一个子网掩码：255.255.255.224其二进制为：

11111111.11111111.11111111.11100000可见n=3,2的3次方为8，说明子网地址可能有

如下8种情况：

000

001

010

011

100

101

110

111

但其中代表网络自身的000；代表广播地址的111是被保留的，所以要减2，明白了吗？

5）如何计算总主机数量，子网内主机数量？

总主机数量＝子网数量×子网内主机数量

再用一个例子给大家说明，比如子网掩码为255.255.255.224

上面的讨论知道它最多可以划分6个子网，那么每个子网内最多有多少个主机呢？其实上面我已经给大家算过了，由于网络被划分为6个子网，占用了主机号的前3位，且是C类地址，则主机号只能用5位来表示主机号，因此子网内的主机数量＝（2的5次方）－2＝30.

因此通过这个子网掩码我们可以算出这个网络最多可以标识6*30=180个主机（可见，在化分子网后，整个网络所能标识的主机数量将减少）。

6）计算ip地址范围

通过一个自定义子网掩码，我们可以得到这个网络所有可能的ip地址范围。

具体步骤：

1.写出二进制子网地址；

2.将子网地址化为十进制；

3.计算子网所能容纳主机数；

4.得出ip范围（起始地址：子网地址＋1；终止地址：子网地址＋主机数）

假设一个子网掩码为：255.255.255.224，可知其最多可以划分6个子网，子网内主机数为30，那么所有可能的ip地址及计算流程如下：

子网－－子网地址（二进制）－－－－－－－－子网地址－－－－－实际ip范围

1号－11001010.01110000.00001010.00100000－202.112.10.32－202.112.10.33-202.112.10.62

2号－11001010.01110000.00001010.01000000－202.112.10.64－202.112.10.65-202.112.10.94

3号－11001010.01110000.00001010.01100000－202.112.10.96－202.112.10.97-202.112.10.126

4号－11001010.01110000.00001010.10000000－202.112.10.128－202.112.10.129-202.112.10.158

5号－11001010.01110000.00001010.10100000－202.112.10.160－202.112.10.161-202.112.10.190

6号－11001010.01110000.00001010.11000000－202.112.10.192－202.112.10.193-202.112.10.222