计算机软件资格考试
2009-03-06 09:19
295 查看
广播分两种:255.255.255.255,称为全广播,由于会被路由器禁止传输,所以也叫本地网络广播。
另一种是所有的主机为都为1的广播,例如:192.168.1.255/24
这种广播路由器默认是可以转发的。
ip directed-broadcast 或者是no ip directed-broadcast ,就是允许或者禁止这种广播的转发。
no ip directed-broadcast的一个作用是防止恶意攻击。一个身在千里之外的攻击者,可以向该网的directed-broadcast地址发包,到了该网段的边界路由器这儿,如果这个路由器没有关闭该选项,则会向该段内所有的其它主机(或者网络设备)发送该包,造成大量的流量。
directed-broadcast现在基本上所有的路由器都是默认关闭的。
[align=left]R1(S1/0)---------(S2/0)R2(E0/0)----------(E0/0)R3
<!--[if !vml]-->[/align]
[align=left]
<!--[endif]-->[/align]
[align=left]Figure 8 IP直播[/align]
[align=left] 默认情况下,广播数据报文是没法穿过路由器传播的,有这么一些应用,向处在一个广播域的全部主机发送广播,但是发送者并不处在这个广播域内,这个时候,希望有一种能够使用单播数据报文穿过路由网络,但到达目的网络时,以广播方式发放(这种应用一般可视为有 去无回,大都是无连接的UDP应用)。IP直播在IOS里面广泛被支持。[/align]
[align=left] 以下配置,R3就是处在接收广播域内的一个成员,而R1是发送者,而R2正是一个将单播转换为广播的路由器。使用OSPF保持路由连通,环回口在这个实验并无实质应用,OSPF的数据报为组播224.0.0.5,在debug调试时,最好过滤掉输出这类信息。[/align]
[align=left]R1[/align]
[align=left]![/align]
[align=left]hostname R1[/align]
[align=left]![/align]
[align=left]interface Loopback0[/align]
[align=left]ip address 1.1.1.1 255.255.255.0[/align]
[align=left] ip ospf network point-to-point[/align]
[align=left]![/align]
[align=left]interface Serial1/0[/align]
[align=left] ip address 12.1.1.1 255.255.255.0[/align]
[align=left] clockrate 64000[/align]
[align=left]![/align]
[align=left]router ospf 10[/align]
[align=left] router-id 1.1.1.1[/align]
[align=left]network 0.0.0.0 255.255.255.255 area 0[/align]
[align=left]![/align]
[align=left]R2[/align]
[align=left]![/align]
[align=left]hostname R2[/align]
[align=left]![/align]
[align=left]interface Loopback0[/align]
[align=left] ip address 2.2.2.2 255.255.255.0[/align]
[align=left] ip ospf network point-to-point[/align]
[align=left]![/align]
[align=left]interface Ethernet0/0[/align]
[align=left] ip address 10.1.1.2 255.255.255.0[/align]
[align=left]![/align]
[align=left]interface Serial2/0[/align]
[align=left] ip address 12.1.1.2 255.255.255.0[/align]
[align=left]![/align]
[align=left]router ospf 10[/align]
[align=left] router-id 2.2.2.2[/align]
[align=left] network 0.0.0.0 255.255.255.255 area 0[/align]
[align=left]![/align]
[align=left]R3[/align]
[align=left]![/align]
[align=left]hostname R3[/align]
[align=left]![/align]
[align=left]interface Loopback0[/align]
[align=left] ip address 3.3.3.3 255.255.255.0[/align]
[align=left] ip ospf network point-to-point[/align]
[align=left]![/align]
[align=left]interface Ethernet0/0[/align]
[align=left] ip address 10.1.1.3 255.255.255.0[/align]
[align=left]![/align]
[align=left]router ospf 10[/align]
[align=left] router-id 3.3.3.3[/align]
[align=left] network 0.0.0.0 255.255.255.255 area 0[/align]
[align=left]![/align]
[align=left]监视和测试配置[/align]
[align=left]路由器可以转发主机位全为1的目的地址,对于中间路由器,转发数据报文,只检查网络位,因此这些数据报文在到达最后1跳时,转发和普通数据包无异:[/align]
[align=left]1)打开R2、R3的调试开关[/align]
[align=left]R2(config)#access-list 101 permit icmp any any[/align]
[align=left]R2#debug ip packet 101[/align]
[align=left]IP packet debugging is on for access list 101[/align]
[align=left] [/align]
[align=left]以上定义访问列表的意义是调试只输出ICMP相关数据包,这样可以避免OSPF的hello干扰。[/align]
[align=left] [/align]
[align=left]2)打开R2的Ethernet0/0接口转发直播[/align]
[align=left] [/align]
[align=left]R2(config)#int e0/0[/align]
[align=left]R2(config-if)#ip directed-broadcast[/align]
[align=left] [/align]
[align=left]3)在R1 ping 10.1.1.0/24目标网段,发起一个主机位全为1的地址。[/align]
[align=left] [/align]
[align=left]R1#ping 10.1.1.255[/align]
[align=left] [/align]
[align=left]Type escape sequence to abort.[/align]
[align=left]Sending 5, 100-byte ICMP Echos to 10.1.1.255, timeout is 2 seconds:[/align]
[align=left]!!!!![/align]
[align=left]Success rate is 100 percent (5/5), round-trip min/avg/max = 8/20/32 ms[/align]
[align=left] [/align]
[align=left]4)查看R2的调试输出,关键部分为粗体显示:[/align]
[align=left] [/align]
[align=left]*Jul 25 20:57:03.879: IP: s=12.1.1.1 (Serial2/0), d=10.1.1.255 (Ethernet0/0), g=255.255.255.255, len 100, forward directed broadcast[/align]
[align=left]*Jul 25 20:57:03.879: IP: s=12.1.1.1 (Serial2/0), d=10.1.1.255 (Ethernet0/0), len 100, rcvd 5[/align]
[align=left]*Jul 25 20:57:03.879: IP: s=12.1.1.2 (local), d=12.1.1.1 (Serial2/0), len 100, sending[/align]
[align=left]*Jul 25 20:57:03.899: IP: s=12.1.1.1 (Serial2/0), d=10.1.1.255 (Ethernet0/0), g=255.255.255.255, len 100, forward directed broadcast[/align]
[align=left](以下重复,输出省略)[/align]
[align=left] [/align]
[align=left]可见R2已经将数据报文转为广播方式,向10.1.1.0/24所在接口转发。[/align]
[align=left] [/align]
[align=left]5)查看R3调试输出,关键部分为粗体显示:[/align]
[align=left] [/align]
[align=left]*Jul 25 20:59:06.079: IP: s=12.1.1.1 (Ethernet0/0), d=255.255.255.255, len 100, rcvd 2[/align]
[align=left]*Jul 25 20:59:06.079: IP: s=10.1.1.3 (local), d=12.1.1.1 (Ethernet0/0), len 100, sending[/align]
[align=left]*Jul 25 20:59:06.099: IP: s=12.1.1.1 (Ethernet0/0), d=255.255.255.255, len 100, rcvd 2[/align]
[align=left]*Jul 25 20:59:06.099: IP: s=10.1.1.3 (local), d=12.1.1.1 (Ethernet0/0), len 100, sending[/align]
[align=left]*Jul 25 20:59:06.119: IP: s=12.1.1.1 (Ethernet0/0), d=255.255.255.255, len 100, rcvd 2[/align]
[align=left]*Jul 25 20:59:06.119: IP: s=10.1.1.3 (local), d=12.1.1.1 (Ethernet0/0), len 100, sending[/align]
[align=left]*Jul 25 20:59:06.139: IP: s=12.1.1.1 (Ethernet0/0), d=255.255.255.255, len 100, rcvd 2[/align]
[align=left]*Jul 25 20:59:06.139: IP: s=10.1.1.3 (local), d=12.1.1.1 (Ethernet0/0), len 100, sending[/align]
[align=left]*Jul 25 20:59:06.167: IP: s=12.1.1.1 (Ethernet0/0), d=255.255.255.255, len 100, rcvd 2[/align]
[align=left]*Jul 25 20:59:06.167: IP: s=10.1.1.3 (local), d=12.1.1.1 (Ethernet0/0), len 100, sending[/align]
[align=left] [/align]
[align=left] R3收到广播数据报文,并以单播方式应答ping。[/align]
[align=left] [/align]
[align=left]6)关闭R2的Ethernet0/0接口直播[/align]
[align=left] [/align]
[align=left]R2(config)#interface ethernet 0/0[/align]
[align=left]R2(config-if)#no ip directed-broadcast[/align]
[align=left] [/align]
[align=left]7)R1再次发起ping 目标网段10.1.1.0/24,主机位为全为1。[/align]
[align=left]R1#ping 10.1.1.255[/align]
[align=left] [/align]
[align=left]Type escape sequence to abort.[/align]
[align=left]Sending 5, 100-byte ICMP Echos to 10.1.1.255, timeout is 2 seconds:[/align]
[align=left]!!!!![/align]
[align=left]Success rate is 100 percent (5/5), round-trip min/avg/max = 20/20/20 ms[/align]
[align=left] [/align]
[align=left]8)查看R2调试输出:[/align]
[align=left] [/align]
[align=left]*Jul 25 21:05:22.071: IP: s=12.1.1.1 (Serial2/0), d=10.1.1.255 (Ethernet0/0), len 100, rcvd 5[/align]
[align=left]*Jul 25 21:05:22.071: IP: s=12.1.1.2 (local), d=12.1.1.1 (Serial2/0), len 100, sending[/align]
[align=left]*Jul 25 21:05:22.099: IP: s=12.1.1.1 (Serial2/0), d=10.1.1.255 (Ethernet0/0), len 100, rcvd 5[/align]
[align=left]*Jul 25 21:05:22.099: IP: s=12.1.1.2 (local), d=12.1.1.1 (Serial2/0), len 100, sending[/align]
[align=left]*Jul 25 21:05:22.131: IP: s=12.1.1.1 (Serial2/0), d=10.1.1.255 (Ethernet0/0), len 100, rcvd 5[/align]
[align=left]*Jul 25 21:05:22.131: IP: s=12.1.1.2 (local), d=12.1.1.1 (Serial2/0), len 100, sending[/align]
[align=left]*Jul 25 21:05:22.159: IP: s=12.1.1.1 (Serial2/0), d=10.1.1.255 (Ethernet0/0), len 100, rcvd 5[/align]
[align=left]*Jul 25 21:05:22.159: IP: s=12.1.1.2 (local), d=12.1.1.1 (Serial2/0), len 100, sending[/align]
[align=left]*Jul 25 21:05:22.191: IP: s=12.1.1.1 (Serial2/0), d=10.1.1.255 (Ethernet0/0), len 100, rcvd 5[/align]
[align=left]*Jul 25 21:05:22.191: IP: s=12.1.1.2 (local), d=12.1.1.1 (Serial2/0), len 100, sending[/align]
[align=left] [/align]
[align=left]只有单播的应答,R2使用接收直播的接口应答(即S2/0),R2没有再将直播数据报转换成广播方式向Ethernet0/0发送。[/align]
[align=left] [/align]
[align=left] 9)查看R3调试输出:[/align]
[align=left] [/align]
[align=left] R3没有调试输出,原因如上,R2关闭直播后,在对应接口,不再转换直播地址为广播发送。[/align]
[align=left] [/align]
[align=left]默认情况下,router不转发目的地址255.255.255.255的广播,但是转发子网内广播,比如192.168.1.255
为什么要关闭这个功能,举例说明:routerA连接一个外网,内网中有500台主机(ip为172.16.0.0/23),如果有一个Hack发出一个Ping包,目的IP为172.16.255.255,而源IP地址是另外一个主机的IP地址,如果router将这个数据包转发进内网,会发生什么?――内网的500台主机都会向那个可怜的主机返回的Ping的响应,这个是什么攻击就不用我再说下去了吧[/align]
另一种是所有的主机为都为1的广播,例如:192.168.1.255/24
这种广播路由器默认是可以转发的。
ip directed-broadcast 或者是no ip directed-broadcast ,就是允许或者禁止这种广播的转发。
no ip directed-broadcast的一个作用是防止恶意攻击。一个身在千里之外的攻击者,可以向该网的directed-broadcast地址发包,到了该网段的边界路由器这儿,如果这个路由器没有关闭该选项,则会向该段内所有的其它主机(或者网络设备)发送该包,造成大量的流量。
directed-broadcast现在基本上所有的路由器都是默认关闭的。
[align=left]R1(S1/0)---------(S2/0)R2(E0/0)----------(E0/0)R3
<!--[if !vml]-->[/align]
[align=left]
<!--[endif]-->[/align]
[align=left]Figure 8 IP直播[/align]
[align=left] 默认情况下,广播数据报文是没法穿过路由器传播的,有这么一些应用,向处在一个广播域的全部主机发送广播,但是发送者并不处在这个广播域内,这个时候,希望有一种能够使用单播数据报文穿过路由网络,但到达目的网络时,以广播方式发放(这种应用一般可视为有 去无回,大都是无连接的UDP应用)。IP直播在IOS里面广泛被支持。[/align]
[align=left] 以下配置,R3就是处在接收广播域内的一个成员,而R1是发送者,而R2正是一个将单播转换为广播的路由器。使用OSPF保持路由连通,环回口在这个实验并无实质应用,OSPF的数据报为组播224.0.0.5,在debug调试时,最好过滤掉输出这类信息。[/align]
[align=left]R1[/align]
[align=left]![/align]
[align=left]hostname R1[/align]
[align=left]![/align]
[align=left]interface Loopback0[/align]
[align=left]ip address 1.1.1.1 255.255.255.0[/align]
[align=left] ip ospf network point-to-point[/align]
[align=left]![/align]
[align=left]interface Serial1/0[/align]
[align=left] ip address 12.1.1.1 255.255.255.0[/align]
[align=left] clockrate 64000[/align]
[align=left]![/align]
[align=left]router ospf 10[/align]
[align=left] router-id 1.1.1.1[/align]
[align=left]network 0.0.0.0 255.255.255.255 area 0[/align]
[align=left]![/align]
[align=left]R2[/align]
[align=left]![/align]
[align=left]hostname R2[/align]
[align=left]![/align]
[align=left]interface Loopback0[/align]
[align=left] ip address 2.2.2.2 255.255.255.0[/align]
[align=left] ip ospf network point-to-point[/align]
[align=left]![/align]
[align=left]interface Ethernet0/0[/align]
[align=left] ip address 10.1.1.2 255.255.255.0[/align]
[align=left]![/align]
[align=left]interface Serial2/0[/align]
[align=left] ip address 12.1.1.2 255.255.255.0[/align]
[align=left]![/align]
[align=left]router ospf 10[/align]
[align=left] router-id 2.2.2.2[/align]
[align=left] network 0.0.0.0 255.255.255.255 area 0[/align]
[align=left]![/align]
[align=left]R3[/align]
[align=left]![/align]
[align=left]hostname R3[/align]
[align=left]![/align]
[align=left]interface Loopback0[/align]
[align=left] ip address 3.3.3.3 255.255.255.0[/align]
[align=left] ip ospf network point-to-point[/align]
[align=left]![/align]
[align=left]interface Ethernet0/0[/align]
[align=left] ip address 10.1.1.3 255.255.255.0[/align]
[align=left]![/align]
[align=left]router ospf 10[/align]
[align=left] router-id 3.3.3.3[/align]
[align=left] network 0.0.0.0 255.255.255.255 area 0[/align]
[align=left]![/align]
[align=left]监视和测试配置[/align]
[align=left]路由器可以转发主机位全为1的目的地址,对于中间路由器,转发数据报文,只检查网络位,因此这些数据报文在到达最后1跳时,转发和普通数据包无异:[/align]
[align=left]1)打开R2、R3的调试开关[/align]
[align=left]R2(config)#access-list 101 permit icmp any any[/align]
[align=left]R2#debug ip packet 101[/align]
[align=left]IP packet debugging is on for access list 101[/align]
[align=left] [/align]
[align=left]以上定义访问列表的意义是调试只输出ICMP相关数据包,这样可以避免OSPF的hello干扰。[/align]
[align=left] [/align]
[align=left]2)打开R2的Ethernet0/0接口转发直播[/align]
[align=left] [/align]
[align=left]R2(config)#int e0/0[/align]
[align=left]R2(config-if)#ip directed-broadcast[/align]
[align=left] [/align]
[align=left]3)在R1 ping 10.1.1.0/24目标网段,发起一个主机位全为1的地址。[/align]
[align=left] [/align]
[align=left]R1#ping 10.1.1.255[/align]
[align=left] [/align]
[align=left]Type escape sequence to abort.[/align]
[align=left]Sending 5, 100-byte ICMP Echos to 10.1.1.255, timeout is 2 seconds:[/align]
[align=left]!!!!![/align]
[align=left]Success rate is 100 percent (5/5), round-trip min/avg/max = 8/20/32 ms[/align]
[align=left] [/align]
[align=left]4)查看R2的调试输出,关键部分为粗体显示:[/align]
[align=left] [/align]
[align=left]*Jul 25 20:57:03.879: IP: s=12.1.1.1 (Serial2/0), d=10.1.1.255 (Ethernet0/0), g=255.255.255.255, len 100, forward directed broadcast[/align]
[align=left]*Jul 25 20:57:03.879: IP: s=12.1.1.1 (Serial2/0), d=10.1.1.255 (Ethernet0/0), len 100, rcvd 5[/align]
[align=left]*Jul 25 20:57:03.879: IP: s=12.1.1.2 (local), d=12.1.1.1 (Serial2/0), len 100, sending[/align]
[align=left]*Jul 25 20:57:03.899: IP: s=12.1.1.1 (Serial2/0), d=10.1.1.255 (Ethernet0/0), g=255.255.255.255, len 100, forward directed broadcast[/align]
[align=left](以下重复,输出省略)[/align]
[align=left] [/align]
[align=left]可见R2已经将数据报文转为广播方式,向10.1.1.0/24所在接口转发。[/align]
[align=left] [/align]
[align=left]5)查看R3调试输出,关键部分为粗体显示:[/align]
[align=left] [/align]
[align=left]*Jul 25 20:59:06.079: IP: s=12.1.1.1 (Ethernet0/0), d=255.255.255.255, len 100, rcvd 2[/align]
[align=left]*Jul 25 20:59:06.079: IP: s=10.1.1.3 (local), d=12.1.1.1 (Ethernet0/0), len 100, sending[/align]
[align=left]*Jul 25 20:59:06.099: IP: s=12.1.1.1 (Ethernet0/0), d=255.255.255.255, len 100, rcvd 2[/align]
[align=left]*Jul 25 20:59:06.099: IP: s=10.1.1.3 (local), d=12.1.1.1 (Ethernet0/0), len 100, sending[/align]
[align=left]*Jul 25 20:59:06.119: IP: s=12.1.1.1 (Ethernet0/0), d=255.255.255.255, len 100, rcvd 2[/align]
[align=left]*Jul 25 20:59:06.119: IP: s=10.1.1.3 (local), d=12.1.1.1 (Ethernet0/0), len 100, sending[/align]
[align=left]*Jul 25 20:59:06.139: IP: s=12.1.1.1 (Ethernet0/0), d=255.255.255.255, len 100, rcvd 2[/align]
[align=left]*Jul 25 20:59:06.139: IP: s=10.1.1.3 (local), d=12.1.1.1 (Ethernet0/0), len 100, sending[/align]
[align=left]*Jul 25 20:59:06.167: IP: s=12.1.1.1 (Ethernet0/0), d=255.255.255.255, len 100, rcvd 2[/align]
[align=left]*Jul 25 20:59:06.167: IP: s=10.1.1.3 (local), d=12.1.1.1 (Ethernet0/0), len 100, sending[/align]
[align=left] [/align]
[align=left] R3收到广播数据报文,并以单播方式应答ping。[/align]
[align=left] [/align]
[align=left]6)关闭R2的Ethernet0/0接口直播[/align]
[align=left] [/align]
[align=left]R2(config)#interface ethernet 0/0[/align]
[align=left]R2(config-if)#no ip directed-broadcast[/align]
[align=left] [/align]
[align=left]7)R1再次发起ping 目标网段10.1.1.0/24,主机位为全为1。[/align]
[align=left]R1#ping 10.1.1.255[/align]
[align=left] [/align]
[align=left]Type escape sequence to abort.[/align]
[align=left]Sending 5, 100-byte ICMP Echos to 10.1.1.255, timeout is 2 seconds:[/align]
[align=left]!!!!![/align]
[align=left]Success rate is 100 percent (5/5), round-trip min/avg/max = 20/20/20 ms[/align]
[align=left] [/align]
[align=left]8)查看R2调试输出:[/align]
[align=left] [/align]
[align=left]*Jul 25 21:05:22.071: IP: s=12.1.1.1 (Serial2/0), d=10.1.1.255 (Ethernet0/0), len 100, rcvd 5[/align]
[align=left]*Jul 25 21:05:22.071: IP: s=12.1.1.2 (local), d=12.1.1.1 (Serial2/0), len 100, sending[/align]
[align=left]*Jul 25 21:05:22.099: IP: s=12.1.1.1 (Serial2/0), d=10.1.1.255 (Ethernet0/0), len 100, rcvd 5[/align]
[align=left]*Jul 25 21:05:22.099: IP: s=12.1.1.2 (local), d=12.1.1.1 (Serial2/0), len 100, sending[/align]
[align=left]*Jul 25 21:05:22.131: IP: s=12.1.1.1 (Serial2/0), d=10.1.1.255 (Ethernet0/0), len 100, rcvd 5[/align]
[align=left]*Jul 25 21:05:22.131: IP: s=12.1.1.2 (local), d=12.1.1.1 (Serial2/0), len 100, sending[/align]
[align=left]*Jul 25 21:05:22.159: IP: s=12.1.1.1 (Serial2/0), d=10.1.1.255 (Ethernet0/0), len 100, rcvd 5[/align]
[align=left]*Jul 25 21:05:22.159: IP: s=12.1.1.2 (local), d=12.1.1.1 (Serial2/0), len 100, sending[/align]
[align=left]*Jul 25 21:05:22.191: IP: s=12.1.1.1 (Serial2/0), d=10.1.1.255 (Ethernet0/0), len 100, rcvd 5[/align]
[align=left]*Jul 25 21:05:22.191: IP: s=12.1.1.2 (local), d=12.1.1.1 (Serial2/0), len 100, sending[/align]
[align=left] [/align]
[align=left]只有单播的应答,R2使用接收直播的接口应答(即S2/0),R2没有再将直播数据报转换成广播方式向Ethernet0/0发送。[/align]
[align=left] [/align]
[align=left] 9)查看R3调试输出:[/align]
[align=left] [/align]
[align=left] R3没有调试输出,原因如上,R2关闭直播后,在对应接口,不再转换直播地址为广播发送。[/align]
[align=left] [/align]
[align=left]默认情况下,router不转发目的地址255.255.255.255的广播,但是转发子网内广播,比如192.168.1.255
为什么要关闭这个功能,举例说明:routerA连接一个外网,内网中有500台主机(ip为172.16.0.0/23),如果有一个Hack发出一个Ping包,目的IP为172.16.255.255,而源IP地址是另外一个主机的IP地址,如果router将这个数据包转发进内网,会发生什么?――内网的500台主机都会向那个可怜的主机返回的Ping的响应,这个是什么攻击就不用我再说下去了吧[/align]
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 中国计算机软件专业技术资格和水平考试各地咨询地址和报名时间
- 计算机软件专业技术资格和水平考试备考要略(下)
- 关于全国计算机技术与软件 专业技术资格考试推迟的紧急公告
- 计算机软件技术资格和水平考试各省联系地址
- 2011年计算机技术与软件水平专业技术资格考试时间安排
- 计算机软件专业技术资格和水平考试各省联系地址
- 中国计算机软件专业技术资格和水平考试暂行规定
- 国家计算机与软件资格考试因试卷丢失延考
- 中国计算机软件专业技术资格和水平考试
- 2010下半年全国计算机软件资格水平考试答案讨论
- 2001年度全国计算机软件专业技术资格和水平考试国家文件
- 全国计算机软件水平考试各科目资格介绍
- 全国计算机技术与软件专业技术考试----(高级资格/高级工程师)各资格证详细介绍
- 计算机软件资格考试网站
- 2001年度全国计算机软件专业技术资格和水平考试国家文件
- 中国计算机软件专业技术资格和水平考试问答
- 计算机软件考试各资格介绍
- 计算机软件考试各资格介绍
- 关于2004年5月全国计算机技术与软件专业技术 资格(水平)考试报名的通知