现在，我们假设具有组标志位的所有分组都是广播分组。IP网络对应的以太网多投点分组的目的地址是01-00-5e-xx-xx-xx，而且，通过校验组标志位本来就不能对多投点分组进行分类。这个假设并不错误，因为01-00-5e-xx-xx-xx是一个基于IP的多投点地址，但是网卡硬件地址还用于其它高层协议。

下面，我们看一下ARP模块的代码。

if (in_dev == NULL ||
arp->ar_hln != dev->addr_len ' '
dev->flags & IFF_NOARP ||
skb->pkt_type == PACKET_OTHERHOST ||
skb->pkt_type == PACKET_LOOPBACK ||
arp->ar_pln != 4)
goto out;

Linux内核的ARP模块拒绝所有OTHERHOST类型的分组。接着，ARP模块将处理广播、多投点和TO_US类型的分组。表1综合了硬件过滤器和软件过滤器对各种ARP分组的过滤处理，1说明：hw(hardware)、sw(software)、res.(response)、gr(group)。

下面，后我们将对这六硬件地址的分组进行详细描述：

TO_US
　网卡在正常模式下，所有地址为TO_US的分组都能够通过精简过滤器和软件过滤器。因此，不管网卡是否处于混杂模式(promiscuous mode)下，ARP模块都会对其进行响应。

OTHERHOST
　当网卡处于正常模式下，会拒绝所有地址为OTHERHOST的分组。即使网卡处于混杂模式(promiscuous mode)，这种分组也无法通过软件过滤器，因此这种ARP请求不会收到响应。

BROARDCAST
　在正常模式下，BROARDCAST分组能够也能够通过硬件和软件过滤器，因此不能用于网络节点混杂模式的检测。

MULTICAST
　在正常模式下，如果分组的硬件地址没有在多投点地址列表中注册，网卡将拒绝接收；但是，如果网卡处于混杂模式，这种分组将畅通无阻地穿过硬件过滤器和软件过滤器。因此，可以使用这种类型的分组来检测处于混杂模式的网络节点。

group bit
　这种类型的分组既不属于BRODCAST类型也不属于MULTICAST类型，但是其硬件地址的组位(以太网地址的首字节低序第一位)置位即：01-00-00-00-00-00。在正常模式下，网卡会拒绝接收此类分组；但是在混杂模式下，这种类型的分组能够通过硬件过滤器。而在Linux内核中，这种类型的分组被归类为多投点分组进行处理，能够穿过软件过滤器。因此，这种类型的分组也能够用于混杂模式检测。

2).Micro$oft Windows

Windows系统不是开放源码系统，因此不能从源代码分析其软件过滤行为。只好由实验来测试。在实验中，我们使用了以下的硬件地址：

FF-FF-FF-FF-FF-FF 广播地址
　所有的网络节点都会接收这种分组。通常的ARP查询包使用这个地址。

FF-FF-FF-FF-FF-FE 伪广播地址
　FF-FF-FF-FF-FF-FE是一种伪广播地址，它的最后一位丢失。这个地址被用来检查软件过滤器是否检查所有的地址位，是否应答。

FF-FF-00-00-00-00-00 16位伪广播地址
　FF-FF-00-00-00-00-00只有前16位和真正的广播地址相同。如果过滤器函数只测试广播地址的第一个字，这个地址就可以归入广播地址。

FF-00-00-00-00-00 8位伪广播地址
　这个地址只有前8位和广播地址相同，如果过滤器函数只检查广播地址的首字节，它也可以归入广播地址类。

01-00-00-00-00-00 多投点标记置位地址
　这个地址只有多投点标记位(以太网地址的首字节低序位)被置位，用来检查过滤器函数是否也象Linux一样把它作为多投点地址处理。

01-00-5E-00-00-00 多投点地址0
　多投点地址0并不常用，因此我们使用这个地址作为没有在网卡多投点地址列表中注册的多投点地址。正常情况下，硬件过滤器应该拒绝接收这种分组。但是，如果软件过滤器不能检查所有的地址位，这类分组就可能被归类到多投点地址。因此，如果网卡处于混杂模式(promiscuous mode)，内核就会进行应答。

01-00-5E-00-00-01 多投点地址1
　局域网上的所有网络节点都应该接收多投点地址1类型的分组。换句话说，默认情况下硬件过滤器允许这类分组通过。但是可以由于网卡不支持多投点模式而不应答。因此，这类分组可以用于检查主机是否支持多投点地址。

即使结果：

对于这7种类型地址的测试结果如表2所示。测试是针对Windows85/98/ME/2000和Linux。不出所料，网卡处于正常模式下，内核会对所有地址为广播地址和多投点地址1的分组进行回应。

然而，当网卡处于混杂模式下时，每种操作系统的测试结果不尽相同。Windows95/98/ME会响应31、16、8位伪广播地址的分组。因此，我们可以认为Window9x系列操作系统的软件过滤器只通过检测一位来判断分组地址是否是广播地址。

Windows2000对地址为31、16位伪广播地址的分组进行响应。因此，我们可以认为WindowsY2K检查地址的8位来判断分组地址是否为广播地址。

上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] 下一页

上一篇:教你当邮件病毒入侵后的五个清除步骤

下一篇:“混客绝情炸弹”源代码（1）及手工清除

Sniffer的一些资料相关文章：

·教你把四十个QQ个人资料小图标全点亮

Sniffer的一些资料相关软件：

·余世维＋金正昆＋陈安之＋曾仕强＋张锦贵等资料集

·国外一些死亡金属音乐（很狂躁哟）

·工程硕士数学资料模拟试题下载GCT

·土木工程师（水利水电工程）所用法律法规资料01

·中级审计复习资料-宏观经济学基础第一部分

·最新《财务管理》串讲音频资料wma1

·新东方成考复习资料FLASH 25

·注册资产评估师资料电子版

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.viphot.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:viphot