名詞延伸
通俗的說,域名就相當于一個家庭的門牌號碼,別人通過這個號碼可以很容易的找到你。如果把IP地址比作一間房子 ,端口就是出入這間房子的門。 真正的房子只有幾個門,但是一個IP地址的端口可以有65536(即:2^16)個之多!端口是通過端口號來標記的,端口號只有整數,范圍是從0 到65535(2^16-1)。 我們知道,一臺擁有IP地址的主機可以提供許多服務,比如Web服務、FTP服務、SMTP服務等,這些服務完全可以通過1個IP地址來實現。那么,主機是怎樣區分不同的網絡服務呢?顯然不能只靠IP地址,因為IP 地址與網絡服務的關系是一對多的關系。實際上是通過“IP地址+端口號”來區分不同的服務的。 需要注意的是,端口并不是一一對應的。比如你的電腦作為客戶機訪 問一臺WWW服務器時,WWW服務器使用“80”端口與你的電腦通信,但你的電腦則可能使用“3457”這樣的端口。
面向連接服務和無連接服務
可以先了解面向連接和無連接協議(Connection-Oriented and ConnectionlessProtocols)面向連接服務的主要特點有:面向連接服務要經過三個階段:數據傳輸前,先建立連接,連接建立后再傳輸數據,數據傳送完后,釋放連接。面向連接服務,可確保數據傳送的次序和傳輸的可靠性。無連接服務的特點是:無連接服務只有傳輸數據階段。消除了除數據通信外的其它開銷。只要發送實體是活躍的,無須接收實體也是活躍的。它的優點是靈活方便、迅速,特別適合于傳送少量零星的報文,但無連接服務不能防止報文的丟失、重復或失序。
區分"面向連接服務"和"無連接服務"的概念
區分特別簡單、形象的例子是:打電話和寫信。兩個人如果要通電話,必須先建立連接--撥號,等待應答后才能相互傳遞信息,最后還要釋放連接--掛電話。寫信就沒有那么復雜了,地址姓名填好以后直接往郵筒一扔,收信人就能收到。TCP/IP協議在網絡層是無連接的(數據包只管往網上發,如何傳輸和到達以及是否到達由網絡設備來管理)。而"端口",是傳輸層的內容,是面向連接的。協議里面低于1024的端口都有確切的定義,它們對應著因特網上常見的一些服務。
PS:
- 面向連接服務使用TCP端口(打電話)是短連接?
- 無連接服務使用UDP端口(寫信)是長連接?
- IP>端口>域名
1.域名
域名(Domain Name),是由一串用點分隔的名字組成的Internet上某一臺計算機或計算機組的名稱,用于在數據傳輸時標識計算機的電子方位(有時也指地理位置,地理上的域名,指代有行政自主權的一個地方區域)。域名是一個IP地址上有“面具” 。一個域名的目的是便于記憶和溝通的一組服務器的地址(網站,電子郵件,FTP等)。域名作為力所能及難忘的互聯網參與者的名稱
DNS即為域名解析服務。
域名解析器,是把域名轉換成主機所在IP地址的中介。通常上網的時候,敲入一個域名地址,電腦會首先向DNS服務器搜索相對應的IP地址,服務器找到對應值之后,會把IP地址返回給你的瀏覽器,這時瀏覽器根據這個IP地址發出瀏覽請求,這樣才完成了域名尋址的過程。操作系統會把你常用的域名IP地址對應值保存起來,當你瀏覽經常光顧的網站時,就可以直接從系統的DNS緩存里提取對應的IP地址,加快連線網站的速度
構成
以一個常見的域名為例說明,baidu網址是由二部分組成,標號“baidu”是這個域名的主域名
體,而最后的標號“com”則是該域名的后綴,代表的這是一個com國際域名,是頂級域名。而前面的www.是網絡名, 為www的域名。
DNS規定,域名中的標號都由英文字母和數字組成,每一個標號不超過63個字符,也不區分大小寫字母。標號中除連字符(-)外不能使用其他的標點符號。級別最低的域名寫在最左邊,而級別最高的域名寫在最右邊。由多個標號組成的完整域名總共不超過255個字符。
一些國家也紛紛開發使用采用本民族語言構成的域名,如德語,法語等。中國也開始使用中文域名,但可以預計的是,在中國國內今后相當長的時期內,以英語為基礎的域名(即英文域名)仍然是主流。
域名系統是分層的,允許定義的子域。域組成的至少一個字,標簽。如果有多個標簽,標簽必須用點分開。在一個域名中,最右邊的標簽,必須選擇從列表中的名稱的頂級域名,也被稱為頂級域(中英文頂級域名或TLD)。前極右翼組成的標簽,標簽上有一些限制。
域名結構
域名由兩個或兩個以上的詞構成,中間由點號分隔開。最右邊的那個詞稱為頂級域名。下面是幾個常見的頂級域名及其用法:
.COM--用于商業機構。它是最常見的頂級域名。任何人都可以注冊.COM 形式的域名。
.TOP--用于所有公司組織個人,頂級高端,事業突破。任何人都可以注冊.TOP形式的域名。
.NET--最初是用于網絡組織,例如因特網服務商和維修商。任何人都可以注冊以.NET結尾的域名。
.ORG--是為各種組織包括非盈利組織而定的,任何人都可以注冊以.ORG 結尾的域名。
國家代碼由兩個字母組成的頂級域名如.cn,.uk,.de和.jp稱為國家代碼頂級域名(ccTLDs),其中.cn是中國專用的頂級域名,其注冊歸CNNIC管理,以.cn結尾的二級域名我們簡稱為國內域名。注冊國家代碼頂級域名下的二級域名的規則和政策與不同的國家的政策有關。您在注冊時應咨詢域名注冊機構,問清相關的注冊條件及與注冊相關的條款。某些域名注冊商除了提供以.com,.net和.org結尾的域名的注冊服務之外,還提供國家代碼頂級域名的注冊。ICANN并沒有特別授權注冊商提供國家代碼頂級域名的注冊服務。
2.端口
端口詳解
端口是指接口電路中的一些寄存器,這些寄存器分別用來存放數據信息、控制信息和狀態信息,相應的端口分別稱為數據端口、控制端口和狀態端口。
電腦運行的系統程序,其實就像一個閉合的圓圈,但是電腦是為人服務的,他需要接受一些指令,并且要按照指令調整系統功能來工作,于是系統程序設計者,就把這個圓圈截成好多段,這些線段接口就叫端口(通俗講是斷口,就是中斷),系統運行到這些端口時,一看端口是否打開或關閉,如果關閉,就是繩子接通了,系統往下運行,如果端口是打開的,系統就得到命令,有外部數據輸入,接受外部數據并執行.
"端口"是英文port的意譯,可以認為是設備與外界通訊交流的出口。端口可分為虛擬端口和物理端口,其中虛擬端口指計算機內部或交換機路由器內的端口,不可見。例如計算機中的80端口、21端口、23端口等。物理端口又稱為接口,是可見端口,計算機背板的RJ45網口,交換機路由器集線器等RJ45端口。電話使用RJ11插口也屬于物理端口的范疇。
硬件端口
CPU通過接口寄存器或特定電路與外設進行數據傳送,這些寄存器或特定電路稱之為端口。
其中硬件領域的端口又稱接口,如:并行端口、串行端口等。
網絡端口
在網絡技術中,端口(Port)有好幾種意思。集線器、交換機、路由器的端口指的是連接其他網絡設備的接口,如RJ-45端口、Serial端口等。我們 這里所指的端口不是指物理意義上的端口,而是特指TCP/IP協議中的端口,是邏輯意義上的端口。
軟件端口
緩沖區。
TCP端口
TCP[1] :Transmission Control Protocol傳輸控制協議,TCP是一種面向連接(連接導向)的、可靠的、基于字節流的傳輸層(Transport layer)通信協議,由IETF的RFC 793說明(specified)。在簡化的計算機網絡OSI模型中,它完成第四層傳輸層所指定的功能,UDP是同一層內另一個重要的傳輸協議。
UDP端口
UDP[1] :User Datagram Protocol用戶數據報協議,UDP是OSI參考模型中一種無連接的傳輸層協議,提供面向事務的簡單不可靠信息傳送服務。UDP 協議基本上是IP協議與上層協議的接口。UDP協議適用端口分別運行在同一臺設備上的多個應用程序。
協議端口
如果把IP地址比作一間房子 ,端口就是出入這間房子的門。真正的房子只有幾個門,但是一個IP地址的端口可以有65536(即:2^16)個之多!端口是通過端口號來標記的,端口號只有整數,范圍是從0 到65535(2^16-1)。
在Internet上,各主機間通過TCP/IP協議發送和接收數據包,各個數據包根據其目的主機的ip地址來進行互聯網絡中的路由選擇,把數據包順利的傳送到目的主機。大多數操作系統都支持多程序(進程)同時運行,那么目的主機應該把接收到的數據包傳送給眾多同時運行的進程中的哪一個呢?顯然這個問題有待解決,端口機制便由此被引入進來。
本地操作系統會給那些有需求的進程分配協議端口(protocol port,即我們常說的端口),每個協議端口由一個正整數標識,如:80,139,445,等等。當目的主機接收到數據包后,將根據報文首部的目的端口號,把數據發送到相應端口,而與此端口相對應的那個進程將會領取數據并等待下一組數據的到來。說到這里,端口的概念似乎仍然抽象,那么繼續跟我來,別走開。
端口其實就是隊,操作系統為各個進程分配了不同的隊,數據包按照目的端口被推入相應的隊中,等待被進程取用,在極特殊的情況下,這個隊也是有可能溢出的,不過操作系統允許各進程指定和調整自己的隊的大小。
不光接受數據包的進程需要開啟它自己的端口,發送數據包的進程也需要開啟端口,這樣,數據包中將會標識有源端口,以便接受方能順利地回傳數據包到這個端口。
端口詳解
每種網絡的服務功能都不相同,因此有必要將不同的封包送給不同的服務來處理,當你的主機同時開啟了FTP與WWW服務時,別人送來的資料封包,就會依照 TCP 上面的 port 號碼來給 FTP 這個服務或者是 WWW 這個服務來處理。
· 每一個 TCP 連接都必須由一端(通常為 client )發起請求,這個 port 通常是隨機選擇大于 1024 以上(因為0-1023一般被用作知名服務器的端口,被預定,如FTP、HTTP、SMTP等)的 port 號來進行!其 TCP封包會將(且只將) SYN旗標設定起來!這是整個聯機的第一個封包;
· 如果另一端(通常為 Server ) 接受這個請求的話(特殊的服務需要以特殊的 port 來進行,例如 FTP 的 port 21 ),則會向請求端送回整個聯機的第二個封包!其上除了 SYN旗標之外同時還將 ACK 旗標也設定起來,并同時在本機端建立資源以待聯機之需;
· 然后,請求端獲得服務端第一個響應封包之后,必須再響應對方一個確認封包,此時封包只帶 ACK旗標(事實上,后繼聯機中的所有封包都必須帶有 ACK 旗標);
· 只有當服務端收到請求端的確認( ACK )封包(也就是整個聯機的第三個封包)之后,兩端的聯機才能正式建立。這就是所謂的 TCP 聯機的'三次握手( Three-Way Handshake )'的原理。
經過三向交握之后,你的 client 端的 port 通常是高于 1024 的隨機取得的 port,至于主機端則視當時的服務是開啟哪一個 port 而定,例如 WWW 選擇 80 而 FTP 則以 21 為正常的聯機信道!
總而言之,我們這里所說的端口,不是計算機硬件的I/O端口,而是軟件形式上的概念。根據提供服務類型的不同,端口分為兩種,一種是TCP端口,一種是UDP端口。計算機之間相互通信的時候,分為兩種方式:一種是發送信息以后,可以確認信息是否到達,也就是有應答的方式,這種方式大多采用TCP協議;一種是發送以后就不管了,不去確認信息是否到達,這種方式大多采用UDP協議。對應這兩種協議的服務提供的端口,也就分為TCP端口和UDP端口。
那么,如果攻擊者使用軟件掃描目標計算機,得到目標計算機打開的端口,也就了解了目標計算機提供了哪些服務。我們都知道,提供服務就一定有服務軟件的漏洞,根據這些,攻擊者可以達到對目標計算機的初步了解。如果計算機的端口打開太多,而管理者不知道,那么,有兩種情況:一種是提供了服務而管理者沒有注意,比如安裝IIS的時候,軟件就會自動增加很多服務,而管理員可能沒有注意到;一種是服務器被攻擊者安裝木馬,通過特殊的端口進行通信。這兩種情況都是很危險的,說到底,就是管理員不了解服務器提供的服務,減小了系統安全系數。
端口類型
TCP端口和UDP端口。由于TCP和UDP 兩個協議是獨立的,因此各自的端口號也相互獨立,比如TCP有235端口,UDP也 可以有235端口,兩者并不沖突。
1.周知端口(Well Known Ports)
周知端口是眾所周知的端口號,范圍從0到1023,其中80端口分配給WWW服務,21端口分配給FTP服務等。我們在IE的地址欄里輸入一個網址的時候是不必指定端口號的,因為在默認情況下WWW服務的端口是“80”。
網絡服務是可以使用其他端口號的,如果不是默認的端口號則應該在 地址欄上指定端口號,方法是在地址后面加上冒號“:”(半角),再加上端口號。比如使用“8080”作為WWW服務的端口,則需要在地址欄里輸入“網址:8080”。
但是有些系統協議使用固定的端口號,它是不能被改變的,比如139 端口專門用于NetBIOS與TCP/IP之間的通信,不能手動改變。
2.動態端口(Dynamic Ports)
動態端口的范圍是從49152到65535。之所以稱為動態端口,是因為它 一般不固定分配某種服務,而是動態分配。
3.注冊端口
端口1024到49151,分配給用戶進程或應用程序。這些進程主要是用戶選擇安裝的一些應用程序,而不是已經分配好了公認端口的常用程序。這些端口在沒有被服務器資源占用的時候,可以用用戶端動態選用為源端口。
端口作用
我們知道,一臺擁有IP地址的主機可以提供許多服務,比如Web服務、FTP服務、SMTP服務等,這些服務完全可以通過1個IP地址來實現。那么,主機是怎樣區分不同的網絡服務呢?顯然不能只靠IP地址,因為IP 地址與網絡服務的關系是一對多的關系。實際上是通過“IP地址+端口號”來區分不同的服務的。
需要注意的是,端口并不是一一對應的。比如你的電腦作為客戶機訪 問一臺WWW服務器時,WWW服務器使用“80”端口與你的電腦通信,但你的電腦則可能使用“3457”這樣的端口。
動態端口(Dynamic Ports)
端口號。
端口在入侵中的作用
有人曾經把服務器比作房子,而把端口比作通向不同房間(服務)的門,如果不考慮細節的話,這是一個不錯的比喻。入侵者要占領這間房子,勢必要破門而入(物理入侵另說),那么對于入侵者來說,了解房子開了幾扇門,都是什么樣的門,門后面有什么東西就顯得至關重要。
入侵者通常會用掃描器對目標主機的端口進行掃描,以確定哪些端口是開放的,從開放的端口,入侵者可以知道目標主機大致提供了哪些服務,進而猜測可能存在的漏洞,因此對端口的掃描可以幫助我們更好的了解目標主機,而對于管理員,掃描本機的開放端口也是做好安全防范的第一步。
分類
面向連接服務和無連接服務
可以先了解面向連接和無連接協議(Connection-Oriented and ConnectionlessProtocols)面向連接服務的主要特點有:面向連接服務要經過三個階段:數據傳輸前,先建立連接,連接建立后再傳輸數據,數據傳送完后,釋放連接。面向連接服務,可確保數據傳送的次序和傳輸的可靠性。無連接服務的特點是:無連接服務只有傳輸數據階段。消除了除數據通信外的其它開銷。只要發送實體是活躍的,無須接收實體也是活躍的。它的優點是靈活方便、迅速,特別適合于傳送少量零星的報文,但無連接服務不能防止報文的丟失、重復或失序。
區分"面向連接服務"和"無連接服務"的概念
區分特別簡單、形象的例子是:打電話和寫信。兩個人如果要通電話,必須先建立連接--撥號,等待應答后才能相互傳遞信息,最后還要釋放連接--掛電話。寫信就沒有那么復雜了,地址姓名填好以后直接往郵筒一扔,收信人就能收到。TCP/IP協議在網絡層是無連接的(數據包只管往網上發,如何傳輸和到達以及是否到達由網絡設備來管理)。而"端口",是傳輸層的內容,是面向連接的。協議里面低于1024的端口都有確切的定義,它們對應著因特網上常見的一些服務。
常見服務劃分
劃分為使用TCP端口(面向連接如打電話)和使用UDP端口(無連接如寫信)兩種。
網絡中可以被命名和尋址的通信端口是操作系統的一種可分配資源。由網絡OSI(開放系統互聯參考模型,Open System Interconnection Reference Model)七層協議可知,傳輸層與網絡層最大的區別是傳輸層提供進程通信能力,網絡通信的最終地址不僅包括主機地址,還包括可描述進程的某種標識。所以TCP/IP協議提出的協議端口,可以認為是網絡通信進程的一種標識符。
應用程序(調入內存運行后一般稱為:進程)通過系統調用與某端口建立連接(binding,綁定)后,傳輸層傳給該端口的數據都被相應的進程所接收,相應進程發給傳輸層的數據都從該端口輸出。在TCP/IP協議的實現中,端口操作類似于一般的I/O操作,進程獲取一個端口,相當于獲取本地唯一的I/O文件,可以用一般的讀寫方式訪問類似于文件描述符,每個端口都擁有一個叫端口號的整數描述符,用來區別不同的端口。由于TCP/IP傳輸層的TCP和UDP兩個協議是兩個完全獨立的軟件模塊,因此各自的端口號也相互獨立。如TCP有一個255號端口,UDP也可以有一個255號端口,兩者并不沖突。端口號有兩種基本分配方式:第一種叫全局分配這是一種集中分配方式,由一個公認權威的中央機構根據用戶需要進行統一分配,并將結果公布于眾,第二種是本地分配,又稱動態連接,即進程需要訪問傳輸層服務時,向本地操作系統提出申請,操作系統返回本地唯一的端口號,進程再通過合適的系統調用,將自己和該端口連接起來(binding,綁定)。TCP/IP端口號的分配綜合了以上兩種方式,將端口號分為兩部分,少量的作為保留端口,以全局方式分配給服務進程。每一個標準服務器都擁有一個全局公認的端口叫周知端口,即使在不同的機器上,其端口號也相同。剩余的為自由端口,以本地方式進行分配。TCP和UDP規定,小于256的端口才能作為保留端口。
按端口號可分為3大類
按照端口號的大小分類,可分為如下幾類[1] :
(1)公認端口(WellKnownPorts):從0到1023,它們緊密綁定(binding)于一些服務。通常這些端口的通訊明確表明了某種服務的協議。例如:80端口實際上總是HTTP通訊。
(2)注冊端口(RegisteredPorts):從1024到49151。它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口,這些端口同樣用于許多其它目的。例如:許多系統處理動態端口從1024左右開始。
(3)動態和/或私有端口(Dynamicand/orPrivatePorts):從49152到65535。理論上,不應為服務分配這些端口。實際上,機器通常從1024起分配動態端口。但也有例外:SUN的RPC端口從32768開始。
系統管理員可以"重定向"端口
一種常見的技術是把一個端口重定向到另一個地址。例如默認的HTTP端口是80,不少人將它重定向到另一個端口,如8080。如果是這樣改了。實現重定向是為了隱藏公認的默認端口,降低受破壞率。這樣如果有人要對一個公認的默認端口進行攻擊則必須先進行端口掃描。大多數端口重定向與原端口有相似之處,例如多數HTTP端口由80變化而來:81,88,8000,8080,8888。同樣POP的端口原來在110,也常被重定向到1100。也有不少情況是選取統計上有特別意義的數,象1234,23456,34567等。許多人有其它原因選擇奇怪的數,42,69,666,31337。越來越多的遠程控制木馬(RemoteAccessTrojans,RATs)采用相同的默認端口。如NetBus的默認端口是12345。BlakeR.Swopes指出使用重定向端口還有一個原因,在UNIX系統上,如果你想偵聽1024以下的端口需要有root權限。如果你沒有root權限而又想開web服務,你就需要將其安裝在較高的端口。此外,一些ISP的防火墻將阻擋低端口的通訊,這樣的話即使你擁有整個機器你還是得重定向端口。
保護端口
剛接觸網絡的朋友一般都對自己的端口很敏感,總怕自己的電腦開放了過多端口,更怕其中就有后門程序的端口,但由于對端口不是很熟悉,所以也沒有解決辦法,上起網來提心吊膽。其實保護自己的端口并不是那么難,只要做好下面幾點就行了:
- 查看:經常用命令或軟件查看本地所開放的端口,看是否有可疑端口;
- 判斷:如果開放端口中有你不熟悉的,應該馬上查找端口大全或木馬常見端口等資料(網上多的很),看看里面對你那個可疑端口的作用描述,或者通過軟件查看開啟此端口的進程來進行判斷;
- 關閉:如果真是木馬端口或者資料中沒有這個端口的描述,那么應該關閉此端口,你可以用防火墻來屏蔽此端口,也可以用本地連接-TCP/IP-高級-選項-TCP/IP篩選,啟用篩選機制來篩選端口;
注意:判斷時候要慎重,因為一些動態分配的端口也容易引起你多余的懷疑,這類端口一般比較低,且連續。還有,一些狡猾的后門軟件,他們會借用80等一些常見端口來進行通信(穿透了防火墻),令人防不勝防,因此不輕易運行陌生程序才是關鍵。
怎樣查看端口
一臺服務器有大量的端口在使用,怎么來查看端口呢?有兩種方式:一種是利用系統內置的命令,一種是利用第三方端口掃描軟件。
1.用“netstat /an”查看端口狀態
在Windows 2000/XP中,可以在命令提示符下使用“netstat /an”查 看系統端口狀態,可以列出系統正在開放的端口號及其狀態.
2.用第三方端口掃描軟件
第三方端口掃描軟件有許多,界面雖然千差萬別,但是功能卻是類似 的。這里以“Fport” 為例講解。“Fport”在命令提示符下使用,運行結果與“netstat -an”相似,但是它不僅能夠列出正在使用的端口號及類型,還可以列出端口被哪個應用程序使用。
黑客利用
一些端口常常會被黑客利用,還會被一些木馬病毒利用,對計算機系統進行攻擊,以下是計算機端口的介紹以及防止被黑客攻擊的簡要辦法。
8080端口
端口說明:8080端口同80端口,是被用于WWW代理服務的,可以實現網頁瀏覽,經常在訪問某個網站或使用代理服務器的時候,會加上“:8080”端口號。
端口漏洞:8080端口可以被各種病毒程序所利用,比如Brown Orifice(BrO)特洛伊木馬病毒可以利用8080端口完全遙控被感染的計算機。另外,RemoConChubo,RingZero木馬也可以利用該端口進行攻擊。
操作建議:一般我們是使用80端口進行網頁瀏覽的,為了避免病毒的攻擊,我們可以關閉該端口。
端口:21
服務:FTP
說明:FTP服務器所開放的端口,用于上傳、下載。最常見的攻擊者用于尋找打開anonymous的FTP服務器的方法。這些服務器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的端口。
端口:22
服務:Ssh
說明:PcAnywhere建立的TCP和這一端口的連接可能是為了尋找ssh。這一服務有許多弱點,如果配置成特定的模式,許多使用RSAREF庫的版本就會有不少的漏洞存在。
端口:23
服務:Telnet
說明:遠程登錄,入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一端口是為了找到機器運行的操作系統。還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個端口。
端口:25
服務:SMTP
說明:SMTP服務器所開放的端口,用于發送郵件。入侵者尋找SMTP服務器是為了傳遞他們的SPAM。入侵者的帳戶被關閉,他們需要連接到高帶寬的E-MAIL服務器上,將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口。
端口:80
服務:HTTP
說明:用于網頁瀏覽。木馬Executor開放此端口。
端口:102
服務:Message transfer agent(MTA)-X.400 over TCP/IP
說明:消息傳輸代理。
端口:110
服務:Post Office Protocol -Version3
說明:POP3服務器開放此端口,用于接收郵件,客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關于用戶名和密碼交 換緩沖區溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統。成功登陸后還有其他緩沖區溢出錯誤。
端口:111
服務:SUN公司的RPC服務所有端口
說明:常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:119
服務:Network News Transfer Protocol
說明:NEWS新聞組傳輸協議,承載USENET通信。這個端口的連接通常是人們在尋找USENET服務器。多數ISP限制,只有他們的客戶才能訪問他們的新聞組服務器。打開新聞組服務器將允許發/讀任何人的帖子,訪問被限制的新聞組服務器,匿名發帖或發送SPAM。
端口:135
服務:Location Service
說明:Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個端口是為了找到這個計算機上運行Exchange Server嗎?什么版本?還有些DOS攻擊直接針對這個端口。
端口:137、138、139
服務:NETBIOS Name Service
說明:其中137、138是UDP端口,當通過網上鄰居傳輸文件時用這個端口。而139端口:通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用于windows文件和打印機共享和SAMBA。還有WINS Regisrtation也用它。
端口:161
服務:SNMP
說明:SNMP允許遠程管理設備。所有配置和運行信息的儲存在數據庫中,通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網絡
端口:177
服務:X Display Manager Control Protocol
說明:許多入侵者通過它訪問X-windows操作臺,它同時需要打開6000端口。
端口:389
服務:LDAP、ILS
說明:輕型目錄訪問協議和NetMeeting Internet Locator Server共用這一端口。
限制端口防非法入侵[分享]
一般來說,我們采用一些功能強大的反黑軟件和防火墻來保證我們的系統安全,本文擬用一種簡易的辦法——通過限制端口來幫助大家防止非法入侵。
非法入侵
簡單說來,非法入侵的方式可粗略分為4種:
1、掃描端口,通過已知的系統Bug攻入主機。
2、種植木馬,利用木馬開辟的后門進入主機。
3、采用數據溢出的手段,迫使主機提供后門進入主機。
4、利用某些軟件設計的漏洞,直接或間接控制主機。
非法入侵的主要方式是前兩種,尤其是利用一些流行的黑客工具,通過第一種方式攻擊主機的情況最多、也最普遍;而對后兩種方式來說,只有一些手段高超的黑客才利用,波及面并不廣泛,而且只要這兩種問題一出現,軟件服務商很快就會提供補丁,及時修復系統。
對于個人用戶來說,您可以限制所有的端口,因為您根本不必讓您的機器對外提供任何服務;而對于對外提供網絡服務的服務器,我們需把必須利用的端口(比如WWW端口80、FTP端口21、郵件服務端口25、110等)開放,其他的端口則全部關閉。
這里,對于采用Windows 2000或者Windows XP的用戶來說,不需要安裝任何其他軟件,可以利用“TCP/IP篩選”功能限制服務器的端口。具體設置如下:
1、右鍵點擊“網上鄰居”,選擇“屬性”,然后雙擊“本地連接”(如果是撥號上網用戶,選擇“我的連接”圖標),彈出“本地連接狀態”對話框。
2、點擊[屬性]按鈕,彈出“本地連接屬性”,選擇“此連接使用下列項目”中的“Internet協議(TCP/IP)”,然后點擊[屬性]按鈕。
3、在彈出的“Internet協議(TCP/IP)”對話框中點擊[高級]按鈕。在彈出的“高級TCP/IP 設置”中,選擇“選項”標簽,選中“TCP/IP篩選”,然后點擊[屬性]按鈕。
4、在彈出的“TCP/IP篩選”對話框里選擇“啟用TCP/IP篩選”的復選框,然后把左邊“TCP端口”上的“只允許”選上。
這樣,您就可以來自己添加或刪除您的TCP或UDP或IP的各種端口了。
添加或者刪除完畢,重新啟動機器以后,您的服務器就被保護起來了。
最后,提醒個人用戶,如果您只上網瀏覽的話,可以不添加任何端口。但是要利用一些網絡聯絡工具,比如OICQ的話,就要把“4000”這個端口打開,同理,如果發現某個常用的網絡工具不能起作用的時候,請搞清它在您主機所開的端口,然后在“TCP /IP“里把此端口打開。
重要的服務器端口:Active Directory
協議要求
Active Directory端口和協議要求
位于公共或外部林中的應用程序服務器、客戶端計算機和域控制器都具有服務依賴性,以使用戶和計算機啟動的操作(如域加入、登錄身份驗證、遠程管理和 Active Directory 復制)可以正常工作。此類服務和操作要求通過特定端口和網絡協議建立網絡連接。
成員計算機和域控制器進行互操作或應用程序服務器訪問 Active Directory 所需的服務、端口和協議的概括列表包括但不限于以下內容:
引Active Directory 依賴的服務
Active Directory / LSA
計算機瀏覽器
分布式文件系統
文件復制服務
Kerberos 密鑰發行中心
網絡登錄
遠程過程調用(RPC)
服務器
簡單郵件傳輸協議(SMTP)(如果配置)
WINS(在用于備份Active Directory 復制操作的 Windows Server 2003 SP1 和更高版本中,如果 DNS 不起作用)
Windows 時間
萬維網發布服務
需要 Active Directory 服務的服務
證書服務(特定配置所必需的)
DHCP 服務器(如果配置)
分布式文件系統
分布式鏈接跟蹤服務器(可選項,但在 Windows 2000 計算機中將默認選擇此項)
分布式事務處理協調器
DNS 服務器
傳真服務(如果配置)
文件復制服務。
Macintosh文件服務器(如果配置)。
Internet 驗證服務(如果配置)。
許可證記錄(默認情況下使用)。
網絡登錄
后臺打印程序。
遠程安裝(如果配置)。
遠程過程調用 (RPC) 定位器。
遠程存儲通知。
遠程存儲服務器。
路由和遠程訪問
服務器。
簡單郵件傳輸協議 (SMTP)(如果配置)
終端服務
終端服務授權。
終端服務會話目錄。
開啟端口的方法:
控制面板-windows防火墻-例外-打開想打開的端口或再添加一個想要添加的端口。
3.IP地址
IP地址是指互聯網協議地址(英語:Internet Protocol Address,又譯為網際協議地址),是IP Address的縮寫。IP地址是IP協議提供的一種統一的地址格式,它為互聯網上的每一個網絡和每一臺主機分配一個邏輯地址,以此來屏蔽物理地址的差異。目前還有些ip代理軟件,但大部分都收費。
詳細介紹
IP是英文Internet Protocol的縮寫,意思是“網絡之間互連的協議”,也就是為計算機網絡相互連接進行通信而設計的協議。在因特網中,它是能使連接到網上的所有計算機網絡實現相互通信的一套規則,規定了計算機在因特網上進行通信時應當遵守的規則。任何廠家生產的計算機系統,只要遵守IP協議就可以與因特網互連互通。正是因為有了IP協議,因特網才得以迅速發展成為世界上最大的、開放的計算機通信網絡。因此,IP協議也可以叫做“因特網協議”。
IP地址被用來給Internet上的電腦一個編號。大家日常見到的情況是每臺聯網的PC上都需要有IP地址,才能正常通信。我們可以把“個人電腦”比作“一臺電話”,那么“IP地址”就相當于“電話號碼”,而Internet中的路由器,就相當于電信局的“程控式交換機”。
IP地址是一個32位的二進制數,通常被分割為4個“8位二進制數”(也就是4個字節)。IP地址通常用“點分十進制”表示成(a.b.c.d)的形式,其中,a,b,c,d都是0~255之間的十進制整數。例:點分十進IP地址(100.4.5.6),實際上是32位二進制數(01100100.00000100.00000101.00000110)。
IP地址(英語:Internet Protocol Address)是一種在Internet上的給主機編址的方式,也稱為網絡協議地址。常見的IP地址,分為IPv4與IPv6兩大類。
IP地址編址方案:IP地址編址方案將IP地址空間劃分為A、B、C、D、E五類,其中A、B、C是基本類,D、E類作為多播和保留使用。
IPV4就是有4段數字,每一段最大不超過255。由于互聯網的蓬勃發展,IP位址的需求量愈來愈大,使得IP位址的發放愈趨嚴格,各項資料顯示全球IPv4位址可能在2005至2010年間全部發完(實際情況是在2011年2月3日IPv4位地址分配完畢)。
地址空間的不足必將妨礙互聯網的進一步發展。為了擴大地址空間,擬通過IPv6重新定義地址空間。IPv6采用128位地址長度。在IPv6的設計過程中除了一勞永逸地解決了地址短缺問題以外,還考慮了在IPv4中解決不好的其它問題。
——IP是當前熱門的技術。與此相關聯的一批新名詞,如IP網絡、IP交換、IP電話、IP傳真等等,也相繼出現。
——IP是怎樣實現網絡互連的?各個廠家生產的網絡系統和設備,如以太網、分組交換網等,它們相互之間不能互通,不能互通的主要原因是因為它們所傳送數據的基本單元(技術上稱之為“幀”)的格式不同。IP協議實際上是一套由軟件程序組成的協議軟件,它把各種不同“幀”統一轉換成“IP數據報”格式,這種轉換是因特網的一個最重要的特點,使所有各種計算機都能在因特網上實現互通,即具有“開放性”的特點。
——那么,“數據報”是什么?它又有什么特點呢?數據報也是分組交換的一種形式,就是把所傳送的數據分段打成“包”,再傳送出去。但是,與傳統的“連接型”分組交換不同,它屬于“無連接型”,是把打成的每個“包”(分組)都作為一個“獨立的報文”傳送出去,所以叫做“數據報”。這樣,在開始通信之前就不需要先連接好一條電路,各個數據報不一定都通過同一條路徑傳輸,所以叫做“無連接型”。這一特點非常重要,它大大提高了網絡的堅固性和安全性。
——每個數據報都有報頭和報文這兩個部分,報頭中有目的地址等必要內容,使每個數據報不經過同樣的路徑都能準確地到達目的地。在目的地重新組合還原成原來發送的數據。這就要IP具有分組打包和集合組裝的功能。
——在實際傳送過程中,數據報還要能根據所經過網絡規定的分組大小來改變數據報的長度,IP數據報的最大長度可達65535個字節。
——IP協議中還有一個非常重要的內容,那就是給因特網上的每臺計算機和其它設備都規定了一個唯一的地址,叫做“IP地址”。由于有這種唯一的地址,才保證了用戶在連網的計算機上操作時,能夠高效而且方便地從千千萬萬臺計算機中選出自己所需的對象來。
——電信網正在與IP網走向融合,以IP為基礎的新技術是熱門的技術,如用IP網絡傳送話音的技術(即VoIP)就很熱門,其它如IP over ATM、IP over SDH、IP over WDM等等,都是IP技術的研究重點。
IP地址轉換
Internet上的每臺主機(Host)都有一個唯一的IP地址。IP協議就是使用這個地址在主機之間傳遞信息,這是Internet 能夠運行的基礎。IP地址的長度為32位(共有2^32個IP地址),分為4段,每段8位,用十進制數字表示,每段數字范圍為0~255,段與段之間用句點隔開。例如159.226.1.1。IP地址可以視為網絡標識號碼與主機標識號碼兩部分,因此IP地址可分兩部分組成,一部分為網絡地址,另一部分為主機地址。IP地址分為A、B、C、D、E5類,它們適用的類型分別為:大型網絡;中型網絡;小型網絡;多目地址;備用。常用的是B和C兩類。
IP地址就像是我們的家庭住址一樣,如果你要寫信給一個人,你就要知道他(她)的地址,這樣郵遞員才能把信送到。計算機發送信息就好比是郵遞員,它必須知道唯一的“家庭地址”才能不至于把信送錯人家。只不過我們的地址使用文字來表示的,計算機的地址用二進制數字表示。
眾所周知,在電話通訊中,電話用戶是靠電話號碼來識別的。同樣,在網絡中為了區別不同的計算機,也需要給計算機指定一個連網專用號碼,這個號碼就是“IP地址”。
將IP地址分成了網絡號和主機號兩部分,設計者就必須決定每部分包含多少位。網絡號的位數直接決定了可以分配的網絡數(計算方法2網絡號位數-2);主機號的位數則決定了網絡中最大的主機數(計算方法2主機號位數-2)。然而,由于整個互聯網所包含的網絡規模可能比較大,也可能比較小,設計者最后聰明的選擇了一種靈活的方案:將IP地址空間劃分成不同的類別,每一類具有不同的網絡號位數和主機號位數。
IP地址的分配
TCP/IP協議需要針對不同的網絡進行不同的設置,且每個節點一般需要一個“IP地址”、一個“子網掩碼”、一個“默認網關”。不過,可以通過動態主機配置協議(DHCP),給客戶端自動分配一個IP地址,避免了出錯,也簡化了TCP/IP協議的設置。
那么,互域網怎么分配IP地址呢?互聯網上的IP地址統一由一個叫“ICANN”(Internet Corporation for Assigned Names and Numbers,互聯網賦名和編號公司)的組織來管理。
IP地址現由因特網名字與號碼指派公司ICANN(Internet Corporation for Assigned Names and Numbers)分配。
InterNIC:負責美國及其他地區;
ENIC:負責歐洲地區;
APNIC(Asia Pacific Network Information Center): 我國用戶可向APNIC申請(要繳費)
PS:1998年,APNIC的總部從東京搬遷到澳大利亞布里斯班。
負責A類IP地址分配的機構是ENIC
負責北美B類IP地址分配的機構是InterNIC
負責亞太B類IP地址分配的機構是APNIC
IP地址類型
公有地址
公有地址(Public address)由Inter NIC(Internet Network Information Center因特網信息中心)負責。這些IP地址分配給注冊并向Inter NIC提出申請的組織機構。通過它直接訪問因特網。
私有地址
私有地址(Private address)屬于非注冊地址,專門為組織機構內部使用。
以下列出留用的內部私有地址
A類 10.0.0.0--10.255.255.255
B類 172.16.0.0--172.31.255.255
C類 192.168.0.0--192.168.255.255
IP地址分類
最初設計互聯網絡時,為了便于尋址以及層次化構造網絡,每個IP地址包括兩個標識碼(ID),即網絡ID和主機ID。同一個物理網絡上的所有主機都使用同一個網絡ID,網絡上的一個主機(包括網絡上工作站,服務器和路由器等)有一個主機ID與其對應。Internet委員會定義了5種IP地址類型以適合不同容量的網絡,即A類~E類。
其中A、B、C3類(如下表格)由InternetNIC在全球范圍內統一分配,D、E類為特殊地址。
類別
最大網絡數
IP地址范圍
最大主機數
私有IP地址范圍
A
126(2^7-2)
0.0.0.0-127.255.255.255
16777214
10.0.0.0-10.255.255.255
B
16384(2^14)
128.0.0.0-191.255.255.255
65534
172.16.0.0-172.31.255.255
C
2097152(2^21)
192.0.0.0-223.255.255.255
254
192.168.0.0-192.168.255.255
A類IP地址
一個A類IP地址是指, 在IP地址的四段號碼中,第一段號碼為網絡號碼,剩下的三段號碼為本地計算機的號碼。如果用二進制表示IP地址的話,A類IP地址就由1字節的網絡地址和3字節主機地址組成,網絡地址的最高位必須是“0”。A類IP地址中網絡的標識長度為8位,主機標識的長度為24位,A類網絡地址數量較少,有126個網絡,每個網絡可以容納主機數達1600多萬臺。
A類IP地址 地址范圍1.0.0.0到127.255.255.255[1] (二進制表示為:00000001 00000000 00000000 00000000 - 01111110 11111111 11111111 11111111)。最后一個是廣播地址。
A類IP地址的子網掩碼為255.0.0.0,每個網絡支持的最大主機數為256的3次方-2=16777214臺。
[2]
B類IP地址
一個B類IP地址是指,在IP地址的四段號碼中,前兩段號碼為網絡號碼。如果用二進制表示IP地址的話,B類IP地址就由2字節的網絡地址和2字節主機地址組成,網絡地址的最高位必須是“10”。B類IP地址中網絡的標識長度為16位,主機標識的長度為16位,B類網絡地址適用于中等規模的網絡,有16384個網絡,每個網絡所能容納的計算機數為6萬多臺。
B類IP地址地址范圍128.0.0.0-191.255.255.255[3] (二進制表示為:10000000 00000000 00000000 00000000----10111111 11111111 11111111 11111111)。 最后一個是廣播地址。
B類IP地址的子網掩碼為255.255.0.0,每個網絡支持的最大主機數為256的2次方-2=65534臺。
C類IP地址
一個C類IP地址是指,在IP地址的四段號碼中,前三段號碼為網絡號碼,剩下的一段號碼為本地計算機的號碼。如果用二進制表示IP地址的話,C類IP地址就由3字節的網絡地址和1字節主機地址組成,網絡地址的最高位必須是“110”。C類IP地址中網絡的標識長度為24位,主機標識的長度為8位,C類網絡地址數量較多,有209萬余個網絡。適用于小規模的局域網絡,每個網絡最多只能包含254臺計算機。
C類IP地址范圍192.0.0.0-223.255.255.255[3] (二進制表示為: 11000000 00000000 00000000 00000000 - 11011111 11111111 11111111 11111111)。
C類IP地址的子網掩碼為255.255.255.0,每個網絡支持的最大主機數為256-2=254臺
D類IP地址
D類IP地址在歷史上被叫做多播地址(multicast address),即組播地址。在以太網中,多播地址命名了一組應該在這個網絡中應用接收到一個分組的站點。多播地址的最高位必須是“1110”,范圍從224.0.0.0到239.255.255.255。
特殊的網址
每一個字節都為0的地址(“0.0.0.0”)對應于當前主機;
IP地址中的每一個字節都為1的IP地址(“255.255.255.255”)是當前子網的廣播地址;
IP地址中凡是以“11110”開頭的E類IP地址都保留用于將來和實驗使用。
IP地址中不能以十進制“127”作為開頭,該類地址中數字127.0.0.1到127.255.255.255用于回路測試,如:127.0.0.1可以代表本機IP地址,用“http://127.0.0.1”就可以測試本機中配置的Web服務器。
網絡ID的第一個8位組也不能全置為“0”,全“0”表示本地網絡。
IP網絡段
IP地址根據網絡ID的不同分為5種類型,A類地址、B類地址、C類地址、D類地址和E類地址。
查找ip有個cmd命令:tracert 后面加ip地址,可以查所經過的路由!
局域網的IP
在一個局域網中,有兩個IP地址比較特殊,一個是網絡號,一個是廣播地址。網絡號是用于三層尋址的地址,它代表了整個網絡本身;另一個是廣播地址,它代表了網絡全部的主機。網絡號是網段中的第一個地址,廣播地址是網段中的最后一個地址,這兩個地址是不能配置在計算機主機上的。
例如在192.168.0.0,255.255.255.0這樣的網段中,網絡號是192.168.0.0,廣播地址是192.168.0.255。因此,在一個局域網中,能配置在計算機中的地址比網段內的地址要少兩個(網絡號、廣播地址),這些地址稱之為主機地址。在上面的例子中,主機地址就只有192.168.0.1至192.168.0.254可以配置在計算機上了。
IPV4和IPV6
現有的互聯網是在IPv4協議的基礎上運行的。IPv6是下一版本的互聯網協議,也可以說是下一代互聯網的協議,它的提出最初是因為隨著互聯網的迅速發展,IPv4定義的有限地址空間將被耗盡,而地址空間的不足必將妨礙互聯網的進一步發展。為了擴大地址空間,擬通過IPv6以重新定義地址空間。IPv4采用32位地址長度,只有大約43億個地址,估計在2005~2010年間將被分配完畢,而IPv6采用128位地址長度,幾乎可以不受限制地提供地址。按保守方法估算IPv6實際可分配的地址,整個地球的每平方米面積上仍可分配1000多個地址。在IPv6的設計過程中除解決了地址短缺問題以外,還考慮了在IPv4中解決不好的其它一些問題,主要有端到端IP連接、服務質量(QoS)、安全性、多播、移動性、即插即用等。
與IPv4相比,IPv6主要有如下一些優勢。第一,明顯地擴大了地址空間。IPv6采用128位地址長度,幾乎可以不受限制地提供IP地址,從而確保了端到端連接的可能性。第二,提高了網絡的整體吞吐量。由于IPv6的數據包可以遠遠超過64k字節,應用程序可以利用最大傳輸單元(MTU),獲得更快、更可靠的數據傳輸,同時在設計上改進了選路結構,采用簡化的報頭定長結構和更合理的分段方法,使路由器加快數據包處理速度,提高了轉發效率,從而提高網絡的整體吞吐量。第三,使得整個服務質量得到很大改善。報頭中的業務級別和流標記通過路由器的配置可以實現優先級控制和QoS保障,從而極大改善了IPv6的服務質量。第四,安全性有了更好的保證。采用IPSec可以為上層協議和應用提供有效的端到端安全保證,能提高在路由器水平上的安全性。第五,支持即插即用和移動性。設備接入網絡時通過自動配置可自動獲取IP地址和必要的參數,實現即插即用,簡化了網絡管理,易于支持移動節點。而且IPv6不僅從IPv4中借鑒了許多概念和術語,它還定義了許多移動IPv6所需的新功能。第六,更好地實現了多播功能。在IPv6的多播功能中增加了“范圍”和“標志”,限定了路由范圍和可以區分永久性與臨時性地址,更有利于多播功能的實現。
隨著互聯網的飛速發展和互聯網用戶對服務水平要求的不斷提高,IPv6在全球將會越來越受到重視。實際上,并不急于推廣IPv6,只需在現有的IPv4基礎上將32位擴展8位到40位,即可解決IPv4地址不夠的問題。這樣一來可用地址數就擴大了256倍。
查任意人IP
主動查對方的IP
這種查任意一個人IP地址的基本思路是:若想知道對方的地址,只需設法讓對方訪問自己的IP地址就可以了,一旦對方來訪問,也就建立了一個SOCKET連接,我們就可以輕松地捕獲他(她)的IP地址。當然前提他得在線。
第一步:申請一個轉向域名,如126com等,并在網上做一個主頁(主頁無論怎么簡單都可以,目的是為了查IP地址嘛);
第二步:在你想查別人IP的時候,到你申請域名的地方,將鏈接轉到你的IP;
第三步:打開查IP地址的軟件
第四步:告訴那個你想查其IP地址的人,想辦法(是用甜言蜜語還是美…計,就看你的了)讓他去你的網站看看,給他這個轉向域名;
第五步:當他輸入此網址以后,域名會自動指向你的IP,因此你就能知道他的IP了;
第六步:當你查到他的IP地址后,再將轉向的地址改為你網站的地址,達到隱藏的目的。
2.被動查對方IP
如今的網上真的不大安靜,總有些人拿著掃描器掃來掃去。如果你想查那個掃你電腦的人的IP,可用下面的方法。
一種做法是用天網,用軟件默認的規則即可。如果有人掃描你的電腦,那么在“日志”中就可以看到那個掃你的人的IP了,他掃描你電腦的哪個端口也可從中看出。由于我們在前面已經講了用天網查QQ用戶IP的方法,因此在這里就不多說了。
另外一種做法是用黑客陷阱軟件,這些軟件可以欺騙對方你的某些端口已經打開,讓他誤以為你已經中了木馬,當他與你的電腦產生連接時,他的IP就記錄在這些軟件中了。以“小豬快跑”為例,在該軟件中有個非常不錯的功能:“自定義密碼欺騙端口設置”,你可以用它來自定義開啟10個端口用來監聽,不大明白?
設置本機IP
開始 -> 運行 -> cmd -> ipconfig /all 可以查詢本機的 ip 地址,以及子網掩碼、網關、物理地址(Mac 地址)、DNS 等詳細情況。
設置本機的IP地址可以通過:網上鄰居 -> 本地連接 -> 屬性 -> TCP/IP 就可以開始設置了。
子網的計算
首先,我們看一個CCNA考試中常見的題型:一個主機的IP地址是202.112.14.137,掩碼是255.255.255.224,要求計算這個主機所在網絡的網絡地址和廣播地址。
常規辦法是把這個主機地址和子網掩碼都換算成二進制數,兩者進行邏輯與運算后即可得到網絡地址。其實大家只要仔細想想,可以得到另一個方法:255.255.255.224的掩碼所容納的IP地址有256-224=32個(包括網絡地址和廣播地址),那么具有這種掩碼的網絡地址一定是32的倍數。而網絡地址是子網IP地址的開始,廣播地址是結束,可使用的主機地址在這個范圍內,因此略小于137而又是32的倍數的只有128,所以得出網絡地址是202.112.14.128。而廣播地址就是下一個網絡的網絡地址減1。而下一個32的倍數是160,因此可以得到廣播地址為202.112.14.159。
還有一種題型,要你根據每個網絡的主機數量進行子網地址的規劃和計算子網掩碼。這也可按上述原則進行計算。比如一個子網有10臺主機,那么對于這個子網就需要10+1+1+1=13個IP地址。(注意加的第一個1是指這個網絡連接時所需的網關地址,接著的兩個1分別是指網絡地址和廣播地址。)13小于16(16等于2的4次方),所以主機位為4位。而256-16=240,所以該子網掩碼為255.255.255.240。
如果一個子網有14臺主機,不少同學常犯的錯誤是:依然分配具有16個地址空間的子網,而忘記了給網關分配地址。這樣就錯誤了,因為14+1+1+1=17 ,大于16,所以我們只能分配具有32個地址(32等于2的5次方)空間的子網。這時子網掩碼為:255.255.255.224。
子網、超網和無類域間路由
需要注意的是,不要以為同一網絡的計算機分配不同的IP地址,就可以提高網絡傳輸效率。事實上,同一網絡內的計算機仍然處于同一廣播域,廣播包的數量不會由于IP地址的不同而減少,所以,僅僅是為計算機指定不同網段,并不能實現劃分廣播域的目的。若欲減少廣播域,最根本的解決辦法就是劃分VLAN,然后為每個VLAN分別指定不同的IP網段。
傳統IP地址分類的缺點是不能在網絡內部使用路由,這樣一來,對于比較大的網絡,例如一個A類網絡,會由于網絡中主機數量太多而變得難以管理。為此,引入子網掩碼(NetMask),從邏輯上把一個大網絡劃分成一些小網絡。子網掩碼是由一系列的1和0構成,通過將其同IP地址做“與”運算來指出一個IP地址的網絡號是什么。對于傳統IP地址分類來說,A類地址的子網掩碼是255.0.0.0;B類地址的子網掩碼是255.255.0.0;C類地址的子網掩碼是255.255.255.0。例如,如果要將一個B類網絡166.111.0.0劃分為多個C類子網來用的話,只要將其子網掩碼設置為255.255.255.0即可,這樣166.111.1.1和166.111.2.1就分屬于不同的網絡了。像這樣,通過較長的子網掩碼將一個網絡劃分為多個網絡的方法就叫做劃分子網(Subnetting)。
在選擇專用(私有)IP地址時,應當注意以下幾點:
1、為每個網段都分配一個C類IP地址段,建議使用192.168.2.0--192.168.254.0段IP地址。由于某些網絡設備(如寬帶路由器或無線路由器)或應用程序(如ICS)擁有自動分配IP地址功能,而且默認的IP地址池往往位于192.168.0.0和192.168.1.0段,因此,在采用該IP地址段時,往往容易導致IP地址沖突或其他故障。所以,除非必要,應當盡量避免使用上述兩個C類地址段。
2、可采用C類地址的子網掩碼,如果有必要,可以采用變長子網掩碼。通常情況下,不要采用過大的子網掩碼,每個網段的計算機數量都不要超過250臺計算機。同一網段的計算機數量越多,廣播包的數量越大,有效帶寬就損失得越多,網絡傳輸效率也越低。
3、即使選用10.0.0.1--10.255.255.254或172.16.0.1--172.31.255.254段IP地址,也建議采用255.255.255.0作為子網掩碼,以獲取更多的IP網段,并使每個子網中所容納的計算機數量都較少。當然,如果必要,可以采用變長子網掩碼,適當增加可容納的計算機數量。
4、為網絡設備的管理WLAN分配一個獨立的IP地址段,以避免發生與網絡設備管理IP的地址沖突,從而影響遠程管理的實現。基于同樣的原因,也要將所有的服務器劃分至一個獨立的網段。
超網(Supernetting)是同子網類似的概念,它通過較短的子網掩碼將多個小網絡合成一個大網絡。例如,一個單位分到了8個C類地址:202.120.224.0 ~ 202.120.231.0,只要將其子網掩碼設置為255.255.248.0,就能使這些C類網絡相通。
由于因特網上主機數量的爆炸性增長,傳統IP地址分類的缺陷使得大量空置IP地址浪費,造成IP地址資源出現了匱乏,同時網絡數量的增長使路由表太大而難以管理。對于不少擁有數百臺主機的公司而言,分配一個B類地址太浪費,而分配一個C類地址又不夠,因此只能分配多個C類地址,但這又加劇了路由表的膨脹。在這樣的背景下,出現了無類域間路由(CIDR,Classless Inter-Domain Routing),以解決這一問題。在CIDR中,地址根據網絡拓撲來分配,可以將連續的一組網絡地址分配給一家公司,并使整組地址作為一個網絡地址(比如使用超網技術),在外部路由表上只有一個路由表項。這樣既解決了地址匱乏問題,又解決了路由表膨脹的問題。另外,CIDR還將整個世界分為四個地區,給每個地區分配了一段連續的C類地址,分別是:歐洲(194.0.0.0~195.255.255.255)、北美(198.0.0.0~199.255.255.255)、中南美(200.0.0.0~201.255.255.255)和亞太(202.0.0.0~203.255.255.255)。這樣,當一個亞太地區以外的路由器收到前8位為202或203的數據報時,它只需要將其放到通向亞太地區的路由即可,而對后24位的路由則可以在數據報到達亞太地區后再進行處理,這樣就大大緩解了路由表膨脹的問題。
