第六章 TCP/IP网络管理

概述

网络管理涵盖了很多方面的内容：一般来说包括收集网络的统计数据和状态信息，并且在需要时采取一定的措施来解决出现的故障。最原始的网络监控技术是定期"ping"重要的主机。更复杂的网络监控则需要监视网络上的各个设备的状态和统计信息，如：各种类型的数据包（datagram）统计及各种类型的错误的统计。

这一章主要是关于联网设备，网络相关配置文件、重要的网络命令和TCP/IP安全等方面的内容。

在服务器上安装多块网卡

在使用Linux作为两个以太网之间的网关的情况下，服务器至少需要配置两块网卡。为了减少启动时可能出现的问题，Linux内核不会自动检测多个网卡。若需要在服务器上安装多块网卡，对于已经将网卡的驱动编译进内核中的系统，则需要在"/etc/lilo.conf"文件中指定各个网卡的参数信息；而对于没有将网卡的驱动编译到内核而是作为模块动态载入的系统，应该在"conf.modules"文件中进行相应的配置。

若设备驱动被编译为模块（内核的模块）：对于PCI设备，模块将自动检测到所有已经安装到系统上的设备；对于ISA卡，则需要向模块提供IO地址，以使模块知道在何处寻找该卡，这些信息在"/etc/conf.modules"中提供。

例如，我们有两块ISA总线的3c509卡，一个IO地址是0x300，另一个是0x320。编辑"conf.modules"文件如下：

aliaseth03c509
aliaseth13c509
options3c509io=0x300,0x320

这是说明3c509的驱动程序应当被eth0或eth1加载（aliaseth0,eth1），并且它们应该以参数io=0x300,0x320被装载，这样驱动程序知道到哪里去寻找网卡，其中0x是不可缺少的。

对于PCI卡，仅仅需要alias命令来使ethN和适当的驱动模块名关联，PCI卡的IO地址将会被自动的检测到。对于PCI卡，编辑"conf.modules"文件如下：

aliaseth03c509
aliaseth13c509

若驱动已经被编译进了内核：系统启动时的PCI检测程序将会自动找到所有相关的网卡。ISA卡一般也能够被自动检测到，但是在某些情况下，ISA卡仍然需要做下面的配置工作：

在"/etc/lilo.conf"中增加配置信息，其方法是通过LILO程序将启动参数信息传递给内核。对于ISA卡，编辑"lilo.conf"文件，增加如下内容：

append="ether="0,0,eht1"

注意：先不要在"lilo.conf"中加入启动参数，测试一下你的ISA卡，若失败再使用启动参数。

如果用传递启动参数的方法，eth0和eth1将按照启动时被发现的顺序来设置。因为我们已经重新编译了内核，所以必须使用第二种方法（在lilo.conf中加入启动参数）在系统中安装我们的第二块网卡。这种方法只对ISA卡有必要，PCI卡会被自动查找到，所以没有什么必要。

和网络相关的一些配置文件

在Linux系统中，TCP/IP网络是通过若干个文本文件进行配置的，也许你需要编辑这些文件来完成联网工作。下面的部分介绍基本的TCP/IP配置文件：

"/etc/HOSTNAME"文件：

该文件包含了系统的主机名称，包括完全的域名，如：

deep.openarch.com

"/etc/sysconfig/network-scripts/ifcfg-ethN"文件：

在RedHat6.1中，系统网络设备的配置文件保存在"/etc/sysconfig/network-scripts"目录下，ifcfg-eth0包含第一块网卡的配置信息，ifcfg-eht1包含第二块网卡的配置信息。

下面是"/etc/sysconfig/network-scripts/ifcfg-eth0"文件的示例：

DEVICE=eth0
IPADDR=208.164.186.1
NETMASK=255.255.255.0
NETWORK=208.164.186.0
BROADCAST=208.164.186.255
ONBOOT=yes
BOOTPROTO=none
USERCTL=no

若希望手工修改网络地址或在新的接口上增加新的网络界面，可以通过修改对应的文件（ifcfg-ethN）或创建新的文件来实现。

DEVICE=namename表示物理设备的名字
IPADDR=addraddr表示赋给该卡的IP地址
NETMASK=maskmask表示网络掩码
NETWORK=addraddr表示网络地址
BROADCAST=addraddr表示广播地址
ONBOOT=yes/no启动时是否激活该卡
BOOTPROTO=protoproto取值可以是：

none：无须启动协议
bootp：使用bootp协议
dhcp：使用dhcp协议

USERCTL=yes/no是否允许非root用户控制该设备

"/etc/resolv.conf"文件：

该文件是由解析器（resolver，一个根据主机名解析IP地址的库）使用的配置文件，示例如下：

searchopenarch.com
nameserver208.164.186.1
nameserver208.164.186.2

"searchdomainname.com"表示当提供了一个不包括完全域名的主机名时，在该主机名后添加domainname.com的后缀；"nameserver"表示解析域名时使用该地址指定的主机为域名服务器。其中域名服务器是按照文件中出现的顺序来查询的。

"/etc/host.conf"文件：

该文件指定如何解析主机名。Linux通过解析器库来获得主机名对应的IP地址。下面是一个"/etc/host.conf"的示例：

orderbind,hosts
multion
ospoofon

"orderbind,hosts"指定主机名查询顺序，这里规定先使用DNS来解析域名，然后再查询"/etc/hosts"文件。

"multion"指定是否"/etc/hosts"文件中指定的主机可以有多个地址，拥有多个IP地址的主机一般称为具有多个网络界面。

"nospoofon"指不允许对该服务器进行IP地址欺骗。IP欺骗是一种攻击系统安全的手段，通过把IP地址伪装成别的计算机，来取得其它计算机的信任。

"/etc/sysconfig/network"文件

该文件用来指定服务器上的网络配置信息，下面是一个示例：

NETWORK=yes
RORWARD_IPV4=yes
HOSTNAME=deep.openarch.com
GAREWAY=0.0.0.0
GATEWAYDEV=

NETWORK=yes/no网络是否被配置；
FORWARD_IPV4=yes/no是否开启IP转发功能
HOSTNAME=hostnamehostname表示服务器的主机名
GAREWAY=gw-ipgw-ip表示网络网关的IP地址
GAREWAYDEV=gw-devgw-dw表示网关的设备名，如：etho等

注意：为了和老的软件相兼容，"/etc/HOSTNAME"文件应该用和HOSTNAME=hostname相同的主机名。

"/etc/hosts"文件

当机器启动时，在可以查询DNS以前，机器需要查询一些主机名到IP地址的匹配。这些匹配信息存放在/etc/hosts文件中。在没有域名服务器情况下，系统上的所有网络程序都通过查询该文件来解析对应于某个主机名的IP地址。

下面是一个"/etc/hosts"文件的示例：

IPAddress
Hostname
Alias

127.0.0.1
Localhost
Gate.openarch.com

208.164.186.1
gate.openarch.com
Gate

208.164.186.2
forest.openarch.com
Forest

208.164.186.3
deep.openarch.com
Deep

最左边一列是主机IP信息，中间一列是主机名。任何后面的列都是该主机的别名。一旦配置完机器的网络配置文件，应该重新启动网络以使修改生效。使用下面的命令来重新启动网络：

/etc/rc.d/init.d/networkrestart

注意：tcpd程序是负责检测如telnet、ftp等的服务请求。

一旦有服务请求到来，inetd进程将启动tcpd进程，tcpd在日志文件中记录该请求，并且完成一些其他的检测工作。如果一切正常通过，tcpd将启动相应的服务器进程，然后自己结束。tcpd要通过查询DNS服务器，先对该客户机的IP地址进行反向解析得到主机名，然后再解析得到该主机名对应的IP地址，接着，把得到IP地址和发出请求的客户的机器的IP地址进行比较，通过这些步骤来实现对发送请求的客户机的验证。若两者不匹配，则tcpd认为发出请求的机器在伪装成其它的机器，则拒绝请求，这就是为什么有时候telnet到Linux机器要等待那么长时间的原因，可以通过在"/etc/hosts"加入客户的机器的IP地址和主机名的匹配项，就可以减少登录等待时间。

tcpd可以设置成禁止源路径路由（source-routing）socket的连接请求。这个设置可以避免黑客用把自己的IP地址伪装成别的计算机的IP地址的方法，攻击服务器。请注意这个设置对UDP无效。当服务器试图把请求服务的客户机的IP地址反向解析成主机名的时候经常会出现超时（timeout）错误。其原因可能是DNS服务器没有配置好，或者DNS根本没有请求服务的客户端计算机的任何信息。

用命令行手工配置TCP/IP网络

ifconfig是用来设置和配置网卡的命令工行具，为了手工配置网络你需要熟悉这个命令。用该命令的好处是无须重新启动机器。

赋给eth0接口IP地址208.164.186.2，使用命令：

[root@deep]#ifconfigeth0208.164.186.2netmask255.255.255.0

列出所有的网络接口，你可以使用命令：

[root@deep]#ifconfig

这个命令的输出是这样的：

eth0
Linkencap:EthernetHWaddr00:E0:18:90:1B:56
inetaddr:208.164.186.2Bcast:208.164.186.255Mask:255.255.255.0
UPBROADCASTRUNNINGMULTICASTMTU:1500Metric:1
RXpackets:1295errors:0dropped:0overruns:0frame:0
TXpackets:1163errors:0dropped:0overruns:0carrier:0
collisions:0txqueuelen:100
Interrupt:11Baseaddress:0xa800

lo
Linkencap:LocalLoopback
inetaddr:127.0.0.1Mask:255.0.0.0
UPLOOPBACKRUNNINGMTU:3924Metric:1
RXpackets:139errors:0dropped:0overruns:0frame:0
TXpackets:139errors:0dropped:0overruns:0carrier:0
collisions:0txqueuelen:0

若运行不带任何参数的ifconfig命令，这个命令将显示机器所有激活的接口的信息。带有-a参数的该命令则显示所有的接口的信息，包括没有激活的接口，例如：

[root@deep]#ifconfig-a

这个命令的输出是这样的：

eth0
Linkencap:EthernetHWaddr00:E0:18:90:1B:56
inetaddr:208.164.186.2Bcast:208.164.186.255Mask:255.255.255.0
UPBROADCASTRUNNINGMULTICASTMTU:1500Metric:1
RXpackets:1295errors:0dropped:0overruns:0frame:0
TXpackets:1163errors:0dropped:0overruns:0carrier:0
collisions:0txqueuelen:100
Interrupt:11Baseaddress:0xa800

eth1
Linkencap:EthernetHWaddr00:E0:18:90:1B:56
inetaddr:192.168.1.1Bcast:192.168.1.255Mask:255.255.255.0
UPBROADCASTRUNNINGMULTICASTMTU:1500Metric:1
RXpackets:1295errors:0dropped:0overruns:0frame:0
TXpackets:1163errors:0dropped:0overruns:0carrier:0
collisions:0txqueuelen:100
Interrupt:5Baseaddress:0xa320

lo
Linkencap:LocalLoopback
inetaddr:127.0.0.1Mask:255.0.0.0
UPLOOPBACKRUNNINGMTU:3924Metric:1
RXpackets:139errors:0dropped:0overruns:0frame:0
TXpackets:139errors:0dropped:0overruns:0carrier:0
collisions:0txqueuelen:0

注意：用ifconfig命令配置的网络设备参数，在重新启动以后，这些参数设置将会丢失。

给208.164.186.1配置缺省网关，使用命令：

[root@deep]#routeadddefaultgw208.164.186.1

在这个例子中，缺省网关设置为208.164.186.1。

然后，测试一下是否可以连通本网段的机器，从网络上随便选一台主机测试一下，比如选择208.164.186.1。

用下面的命令测试一下能否连通这台计算机：

[root@deep]#ping208.164.186.1

输出会是这样的：

PING208.164.186.1(208.164.186.1)from208.164.186.2:56databytes
64bytesfrom208.164.186.2:icmp_seq=0ttl=128time=1.0ms
64bytesfrom208.164.186.2:icmp_seq=1ttl=128time=1.0ms
64bytesfrom208.164.186.2:icmp_seq=2ttl=128time=1.0ms
64bytesfrom208.164.186.2:icmp_seq=3ttl=128time=1.0ms
---208.164.186.1pingstatistics---
4packetstransmitted,4packetsreceived,0%packetloss
round-tripmin/avg/max=1.0/1.0/1.0ms

现在可以使用route命令输出路由表信息来查看。

用下面的命令显示路由信息：

[root@deep]#route-n

输出是这样的：

KernelIProutingtable
DestinationGatewayGenmaskFlagsMetricRefUseIface
208.164.186.20.0.0.0255.255.255.255UH000eth0
208.164.186.0208.164.186.2255.255.255.0UG000eth0
208.164.186.00.0.0.0255.255.255.0U000eth0
127.0.0.00.0.0.0255.0.0.0U000lo

为了快速检查接口状态信息，使用netstat-i命令：

[root@deep]#netstat-i

输出是这样的：

KernelInterfacetable
IfaceMTUMetRX-OKRX-ERRRX-DRPRX-OVRTX-OKTX-ERRTX-DRPTX-OVRFlg
eth01500042360003700000BRU
lo392401330000013300000LRU
ppp0150001410016000PRU

netstat命令的另外一个有用处的选项是-t，其将显示所有的激活的TCP连接：

[root@deep]#netstat-t

输出是这样的：

ActiveInternetconnections(w/oservers)
ProtoRecv-QSend-QLocalAddressForeignAddressState
Tcp00deep.openar:netbios-ssngate.openarch.com:1045ESTABLISHED
Tcp00localhost:1032localhost:1033ESTABLISHED
Tcp00localhost:1033localhost:1032ESTABLISHED
Tcp00localhost:1030localhost:1034ESTABLISHED
Tcp00localhost:1031localhost:1030ESTABLISHED
Tcp00localhost:1028localhost:1029ESTABLISHED
Tcp00localhost:1029localhost:1028ESTABLISHED
Tcp00localhost:1026localhost:1027ESTABLISHED
Tcp00localhost:1027localhost:1026ESTABLISHED
Tcp00localhost:1024localhost:1025ESTABLISHED
Tcp00localhost:1025localhost:1024ESTABLISHED

显示所有的活动的和被监听的TCP连接，使用命令：

[root@deep]#netstat-vat

输出是这样的：

ActiveInternetconnections(serversandestablished)
ProtoRecv-QSend-QLocalAddressForeignAddressState
tcp00deep.openarch.co:domain*:*LISTEN
tcp00localhost:domain*:*LISTEN
tcp00deep.openarch.com:sshgate.openarch.com:1682ESTABLISHED
tcp00*:webcache*:*LISTEN
tcp00deep.openar:netbios-ssn*:*LISTEN
tcp00localhost:netbios-ssn*:*LISTEN
tcp00localhost:1032localhost:1033ESTABLISHED
tcp00localhost:1033localhost:1032ESTABLISHED
tcp00localhost:1030localhost:1031ESTABLISHED
tcp00localhost:1031localhost:1030ESTABLISHED
tcp00localhost:1028localhost:1029ESTABLISHED
tcp00localhost:1029localhost:1028ESTABLISHED
tcp00localhost:1026localhost:1027ESTABLISHED
tcp00localhost:1027localhost:1026ESTABLISHED
tcp00localhost:1024localhost:1025ESTABLISHED
tcp00localhost:1025localhost:1024ESTABLISHED
tcp00deep.openarch.com:www*:*LISTEN
tcp00deep.openarch.com:https*:*LISTEN
tcp00*:389*:*LISTEN
tcp00*:ssh*:*LISTEN

使系统中所有的网络接口停止工作，用命令：

[root@deep]#/etc/rc.d/init.d/networkstop

启动系统中所有的网络接口，用命令：

[root@deep]#/etc/rc.d/init.d/networkstart

TCP/IP安全问题概述

下面的内容要求读者知道TCP/IP协议的基本原理，例如：IP和TCP头的各个字段的功能以及连接的建立过程。这里先简单地介绍一下TCP/IP协议。

IP数据包（packet）

数据包这个术语指的是IP协议消息。消息分为消息头和消息体，消息头是IP协议使用的各种参数信息，如：源、目的地址等等。消息体是上层协议—TCP协议的数据内容。

IP机制

Linux支持三种IP消息类型：ICMP、UDP和TCP。一个ICMP数据报是网络级的IP控制和状态消息。ICMP消息控制两台端主机之间的与通信相关信息。UDP类型的IP包在网络应用程序之间传送数据，但是不保证传送质量和数据包的传送顺序。UDP数据的传送类似邮局的明信片发送方式。TCP类型的IP包同样在网络应用程序之间传送数据，但是TCP数据包头包含了更多的信息，从而保证了可靠有序的数据传输。传送TCP数据类似通过电话系统交谈的过程：数据可靠而且保证传送顺序。大多数Internet应用程序都使用TCP协议，用UDP的比较少。也就是说绝大多数的Internet服务都倾向于在客户程序和服务器程序之间建立双向的数据传送通道（用TCP），而不是单向的数据传送通道（用UDP）。

IP数据包头

所有的IP数据包（ICMP、UDP或TCP）都要包含源、目的的IP地址和IP包的上层协议的类型，如：ICMP,UDP或TCP。根据不同的协议类型，IP数据包头还包含其它不同的字段。ICMP类型的IP数据包包含一个标识是控制或状态消息的类型字段，以及一个进一步指示是何种类型的控制或状态消息类型的字段。对于UDP和TCP类型还包含两个分别标识源和目的端口号的字段。TCP数据报头还包含区分每个数据报的标识符及保证连接状态的信息的字段。

TCP/IP安全问题

TCP/IP协议本身有不少的缺陷，允许攻击者利用隐藏通道的方式在看上去正常的数据包中秘密地传输数据。下面我们就通过理论结合例子来对这些缺陷进行进一步说明：

一个隐藏通道指：任何被进程用来进行可能对系统安全策略造成威胁的数据传输的通道。TCP/IP的设计本身并不想有什么隐藏通道，但是设计上的缺陷导致了用来非法传输信息的隐藏通道的存在。

在TCP/IP环境下，有若干可以用来建立隐藏通道，在主机之间实现非法通信的方法，例如：

旁路包过滤器，网络探测器（sniffer）和"不洁词"（dirtyword）搜索引擎。
以在正常的信息包中封装经过加密的或没有经过加密的信息的方式，通过网络秘密传输信息。
通过将封装有非法信息的伪装包在Internet上的某一个站点上"中转"一次来隐藏被传输的数据的源发送位置。

众所周知，TCP是面向连接的可靠的协议。简单的说，TCP协议采取一定的措施保证到达远端机器的数据没有被篡改。实现这个特性依赖于TCP的三次握手建链机制：

第一步：发送一个带有ISN（InitialSequenceNumber，序列号）的同步数据包-SYN。

主机A希望同主机B建立连接。主机A发送一个数据包，该数据包的SYN位被置位，表示希望建立一个新的连接，并且该数据包带有一个ISN号，来识别主机之间发送的不同的数据包。

HostA------SYN(ISN)------>HostB

第二步：远程机器响应一个确认包ACK。

主机B通过发送一个SYN位和ACK位被置位的数据包来响应该主机A的连接请求。这个响应包中不但包含了主机B的ISN，而且包含了主机A的ISN+1表示刚才的连接请求数据包被正确的接收，等待接收SN为ISN+1的数据包。

HostA<------SYN(ISN+1)/ACK------HostB

第三步：主机A通过再发送一个确认包ACK给主机B来完成连接的建立。

HostA------ACK------>HostB

整个连接过程在几个毫秒内完成。握手协议确保在主机之间建立一个可靠的链接。这就是为什么TCP被看作是面向连接的协议。而UDP协议并没有这样的建立连接的协商过程，所以UDP被看作是不可靠的协议。

IP包头：

0
4
8
12
1619
20
24
2831
32

VERS
HLEN
ServiceType
TotalLength

Identification
Flags
FragmentOffset

SourceIPAddress

DestinationIPAddress

IPOptions
Padding

Data

TCP包头：

0
4
8
12
16
20
24
2831

SourcePort
DestinationPort

SequenceNumber

AcknowledgementNumber

HLEN
Reserved
CodeBits
Window

Checksum
UrgentPointer

Options
Padding

Data

在两种数据包头内，都有多个字段不是进行正常数据传输所必须的，这些选项字段是由发送者根据需要来决定是否使用的。通过对这些选项字段的分析可以发现有很多种可能来存储和传输数据。利用这些字段的基础是对取值0-255的ASCII字符进行编码。使用这个方法，可以通过在主机之间传送看似正常的数据包如：建立连接请求、正常的数据传输等，来秘密的传输数据。这些数据报包可以在上层协议数据字段中不包含任何数据或者包含一些无用的数据信息。这些数据包甚至可以包含伪装的目的、源地址和端口号,来实现穿越包过滤防火墙。另外，伪装的数据报还可以估计经过网络上一个无关站点的中转（bounce）来逃避追踪。

安全问题的解决方案

下面的协议和系统通常被用来在计算机网络中解决和提供不同程度的安全服务。

包过滤
网络地址转换（NAT）
IP安全体系结构（IPSec）
SOCKS
安全套接字层（SSL）
应用级代理
防火墙
Kerberos和其它认证系统
安全电子传输（SET）

下面这个图解释了这些安全解决方案的在TCP/IP层中的实现：

总结

通过学习和阅读本章，应该掌握如下内容：

应该学会编辑如下的文件来配置Linux系统的网络："/etc/hosts"、"/etc/host.conf"、"/etc/resolv.conf"、"/etc/HOSTNAME"、"/etc/sysconfig/network"和在"/etc/sysconfig/network-scripts"目录下面的脚本文件。