網絡森林@資訊空間's Archiver

lilichen3729 發表於 2013-2-4 07:57

局域網的共用與安全設置法則(一)

1. 局域網實現原理

在瞭解共用之前,我們需要對局域網的概念有個瞭解,局域網並不同於外界通訊使用的TCP/IP協議體系,它是一種建立在傳統以太網(Ethernet)結構上的網路分佈,除了使用TCP/IP協議,它還涉及許多協議。
在局域網裏,電腦要查找彼此並不是通過IP進行的,而是通過網卡MAC地址,它是一組在生產時就固化的唯一標識號,根據協議規範,當一臺電腦要查找另一臺電腦時,它必須把目標電腦的IP通過ARP協議(地址解析協議)在物理網路中廣播出去,“廣播”是一種讓任意一臺電腦都能收到數據的數據發送方式,電腦收到數據後就會判斷這條資訊是不是發給自己的,如果是,就會返回應答,在這裏,它會返回自身地址。當源電腦收到有效的回應時,它就得知了目標電腦的MAC地址並把結果保存在系統的地址緩衝池裏,下次傳輸數據時就不需要再次發送廣播了,這個地址緩衝池會定時刷新重建,以免造成數據冗餘現象。實際上,共用協議規定局域網內的每臺啟用了檔及印表機共用服務的電腦在啟動的時候必須主動向所處網段廣播自己的IP和對應的MAC地址,然後由某臺電腦(通常是局域網內某個工作組裏第一臺啟動的電腦)承擔接收並保存這些數據的角色,這臺電腦就被稱為“流覽主控伺服器”,它是工作組裏極為重要的電腦,負責維護本工作組中的流覽列表及指定其他工作組的主控伺服器列表,為本工作組的其他電腦和其他來訪本工作組的電腦提供流覽服務,它的標識是含有\_MSBROWSE_名字段。這就是我們能在網路鄰居看到其他電腦的來由,它實際上是一個流覽列表,用戶可以使用“nbtstat -r”來查看在流覽主控伺服器上聲明瞭自己的NetBIOS名稱列表。
流覽列表記錄了整個局域網內開啟的電腦的資源描述,當我們要訪問另一臺電腦的共用資源時,系統實際上是通過發送廣播查詢流覽主控伺服器,然後由流覽主控伺服器提供的流覽列表來“發現”目標電腦的共用資源的。
但是僅知道彼此的地址還不夠,電腦之間必須建立一條連接的資料鏈路才能正常工作,這就需要另一個基本協議來進行了。NetBIOS(網路基本輸入輸出系統)協議是IBM開發的用於給局域網提供網路以及其他特殊功能的命令集,幾乎每個局域網都必須在這種協議上面進行工作,NetBIOS相當於Intranet上的TCP/IP協議。而後推出的NetBEUI協議(NetBIOS用戶擴展介面協議)則是對前者進行了功能擴充,這幾個協議都是組成局域網的基本必備,最後,為了建立連接,局域網還需要TCP/IP協議。

2. Windows下的局域網共用

Windows系統對於局域網內機算機的身份和許可權驗證是在一個被稱為“IPC”(命名管道)的組件技術上實現的,它實質上是Windows為了方便管理員從遠方登錄管理電腦而設置的,在局域網裏它也負責檔的共用和傳輸,所以它是Windows局域網不可缺的基礎組件。
默認情況下,局域網之間的共用服務通過來賓帳戶“Guest”的身份進行,這個帳戶在Windows系統裏許可權最少,為方便阻止來訪者越權訪問提供了基礎,同時它也是資源共用能正常進行的最小要求,任何一臺要提供局域網共用服務的電腦都必須開放來賓帳戶,命令是“net user guest /active:yes”。
除了使用IPC作為身份驗證,系統還使用SMB(Server Message Block)協議用來做檔共用,這個協議與共享存在很大聯繫,稍後我們將會講到。

二. 局域網共用的實現

雖然我們可以把局域網定義為“一定數量的電腦通過互連設備連接構成的網路”,但是僅僅使用網卡讓電腦構成一個物理連接的網路還不能實現真正意義的局域網,它還需要進行一定的協議設置,才能實現資源共用。
首先,同一個局域網內的電腦IP地址應該是分佈在相同網段裏的,雖然以太網最終的地址形式為網卡MAC地址,但是提供給用戶層次的始終是相對好記憶的IP地址形式,而且系統交互介面和網路工具都通過IP來尋找電腦,因此為電腦配置一個符合要求的IP是必須的,這是電腦查找彼此的基礎,除非你是在DHCP環境裏,因為這個環境的IP地址是通過伺服器自動分配的。
其次,要為局域網內的機器添加“交流語言”——局域網協議,包括最基本的NetBIOS協議和NetBEUI協議,然後還要確認“Microsoft 網路的檔和印表機共用”已經安裝並為選中狀態,然後,還要確保系統安裝了“Microsoft 網路客戶端”,而且僅僅有這個客戶端,否則很容易導致各種奇怪的網路故障發生。
然後,用戶必須為電腦指定至少一個共用資源,如某個目錄、磁片或印表機等,完成了這些工作,電腦才能正常實現局域網資源共用的功能。
最後,電腦必須開啟139、445這兩個端口的其中一個,它們被用作NetBIOS會話連接,而且是SMB協議依賴的端口,如果這兩個端口被阻止,對方電腦訪問共用的請求就無法回應。
但是並非所有用戶都能很順利的享受到局域網資源共用帶來的便利,由於操作系統環境配置、協議檔受損、某些軟體修改等因素,時常會令局域網共用出現各種各樣的問題,如果你是網路管理員,就必須學習如何分析排除大部分常見的局域網共用故障了。

三. 局域網共用故障的分析與排除

IPC、Server服務與共享故障

臨近畢業了,學生小王找了一家平面設計公司作為實習單位,這天辦公室有同事急匆匆找網路部索要殺毒軟體,但不湊巧管理員外出未歸,小王為人比較熱心,雖然自己不是學網路專業的,可是想想也略懂皮毛,就自告奮勇去幫忙了,幸好只是個小病毒,他輕易就解決了,在同事的誇獎下,小王心血來潮順便給她做了系統優化。
可是才過十幾分鐘,那個同事又出來找網路部了,她說自己的機器被小王擺弄後無法打開別人電腦的共用了,這下,小王第一次明白了什麼叫好心的後果……

我在前面說起Windows的局域網共用時,提到了IPC(Internet Process Connection),IPC是NT以上的系統為了讓進程間通信而開放的命名管道,可以通過驗證用戶名和密碼獲得相應的許可權,在遠程管理電腦和查看電腦的共用資源時使用,微軟把它用於局域網功能的實現,如果它被關閉,電腦就會出現“無法訪問網路鄰居”的故障。
在Windows NT以後的系統裏,IPC是依賴於Server服務運行的,一些習慣了單機環境的用戶可能會關閉這個服務,這樣的後果就是系統將無法提供與局域網有關的操作,用戶無法查看別人的電腦,也無法為自己發佈任何共用。
要確認IPC和Server服務是否正常,可以在命令提示符裏輸入命令net share,如果Server服務未開啟,系統會提示“沒有啟動 Server 服務。是否可以啟動? (Y/N) [Y]:”,回車即可以啟動Server服務。如果Server服務已開啟,系統會列出當前的所有共用資源列表,其中至少要有名為“IPC$”的共用,否則用戶依然無法正常使用共用資源。
除了Server服務以外,還有兩個服務會對共用造成影響,分別是“Computer Browser”和“TCP/IP NetBIOS Helper Service”,前者用於保存和交換局域網內電腦的NetBIOS名稱和共用資源列表,當一個程式需要訪問另一臺電腦的共用資源時,它會從這個列表裏查詢目標電腦,一旦該服務被禁止,IPC就認定當前沒有可供訪問的共用資源

頁: [1]

Powered by Discuz! Archiver 7.0.0  © 2001-2009 Comsenz Inc.