close
這兩套軟體是一種可以在只開放http上網狀況下,分想網路出來的軟體,有好也有壞,記錄下來以後繼續參考。
VNN是中國大陸發展出來的軟體,用的協定是UDP
網站:http://www.vnn.cn/
SOFTETHER是日本一大學生與IPA贊助研發出來的產物,用的協定是TCP
網站:http://www.softether.com/jp/
兩者的比較(是大陸方面的比較)
http://www.vnn.cn/cn/home/vnn_softether.html
pczone討論區
http://www.pczone.com.tw/vbb3/showthread.php?t=117255
以下是節錄的文章
文章一
這是一個大學一年級學生編的軟體,名叫SoftEther。
此軟體簡而言之,就是類比乙太網卡的工作順序,甚至可以類比HUB功能使用tunnel特性,實現VPN的功能。
使得系統把此軟體完全無礙的識別成一塊網卡,有了這個東西,可以不再買VPN 路由器,而實現從Internet訪問自家LAN的目標
主要實現思路是:
1)在OSI Level2(資料連結層)上軟體類比網路通訊,把物理層的通訊內容封包到TCP Package裏去(軟體類比Ethernet)
2)把自己的通訊包變成SSL Session,用HTTPS協議穿越Internet,甚至混過Firewall(128bit RC4)
然而,此後沒兩天,日本資訊處理事業協會(IPA,負責日本Internet運營管理/安全的機構)就要求這個築波大學學生停止公開此程式,理由自然也很簡單:有了這個東西,可以毫不誇張地說,所有的Firewall保護下的LAN都要面臨重大的安全性挑戰了,因為只要內網中有一台機器通過此軟體虛擬成LAN網卡,就可以通過Internet毫無障礙地訪問內網........恐怖
上述實現思路中,第一條並不能成為合法的罪名
只有第二條,成為勉強的藉口。
但禁令維持了僅有三四天,IPA就不得不同意此人再次公開下載的主頁。
經歷了這麼一場風波,SoftEther名氣更大。
有興趣的朋友不妨下載一個玩玩
安裝這個,需要你有LAN的管理權。
比如自己家的LAN,就可以安上一個,來實現從Internet訪問自家Server的功能;
而單位的LAN,就那個那個啥了.
是不是還有人沒明白這東西的劃時代意義啊?呵呵
再來通俗的介紹一下吧!
這東西說白了,就是用來打破一般用的那些防火牆限制的東西。使內網和Internet可以相互自由訪問
具體舉幾個例子來說吧!
比如你的公司有防火牆,只能http/https出去,外面的人無論是FTP也好,TELNET也好,都別想進到你們公司的內網裏面來,更別指望能找到你的機器接續了。
所以,回了家想要從家裏的寬頻上操作辦公室的電腦,就是不可能的,對吧?
但有了這個東西,我們來看看如何把這種“mission impossible”變為可能!
1)在自己的機器上安裝這個軟體,然後再定義一個虛擬HUB,定義上用戶/密碼,並把家裏這台機器掛上Internet位址
2)在辦公室的機器上安裝這個軟體,然後接續家裏的虛擬HUB,這個軟體就成了一枚動態的(Runtime)虛擬網卡。
3)從自己家裏就可以訪問這台辦公室的機器拉(走的是HTTPS協議,看到的是LAN)
如果你還不甘心,還要貪婪地想要從家裏連接辦公室別的網路資源,也好說,在辦公室那台你自己的機器上,把辦公室的物理LAN和step 3)接好的那個虛擬網卡所在LAN之間架設網橋(bridge),就可以從家裏一直訪問到辦公室所有資源啦!
這bridge,在WinXP/Win2K3都是有內置功能的。可惜Win2K稍微麻煩一些......
補充一件重要的事情!
這個軟體裝好後,在HUB管理畫面裏,可以看到一個默認的“通用HUB”,這個虛擬HUB,就是設在築波大學的
有了這個,你就可以確認自己的安裝是否成功;
但我奉勸大家試驗連接這個之前,千萬千萬要慎重:
因為世界所有人裝上這個軟體,都會有接續這個虛擬HUB的傾向;如果你也接上去,就已經和成百上千的人同在一個LAN下了!!(據俺看,那個虛擬LAN裏,一直保持著至少有三五十台機器.....)小心遭到駭客攻擊哦!
不過,有了這麼一台虛擬HUB,這個軟體的另一個功能也就發揮出來了:你所受限制的任何internet協議,經由這個虛擬HUB,都不再受限制......
1)比如你所在的公司,不許使用QQ,只要接上這個虛擬HUB,就立即能用了,呵呵呵
2)又比如你所在的國家地區,有啥不能訪問的網站,都不用擔心訪問不了了,呵呵呵
1)和2),都是通過HTTPS封包走出去/走進來的,所以你那裏的網路只要能通過HTTPS協定,就可以搞定!
文章二
一篇新文章 : "功過難評 SoftEther"
原文來自:
http://www.yesky.com/ServerIndex/77...1773423_5.shtml
2003年12月底,日本一名19歲的大學生在自己的主頁上公布了一款免費網路軟體 - SoftEther。
該軟體是由兩部分所組成:一為虛擬HUB,一為虛擬網卡。
采訪實錄
SoftEther軟體作者是日本筑波大學一年級新生登大遊。雖說他是獨立构思、設計、開發、維護此軟體,可另一方面也受到了日本經濟產業部下轄部門——情報處理振興事業協會(以下簡稱IPA)的贊助。該軟體巧妙利用了“EtherNet over TCP的隧道+HTTPS實現物理傳輸”技術,算是開創了VPN軟體應用的先河。最近,本報記者通過E-mail聯系到了該款軟體的作者,並就中國用戶所關心的一些問題對他進行了采訪。
本報記者問:SoftEther是一款VPN軟體,你在主頁上說你開發這款軟體的目的是為了“讓普通用戶更自由地使用網路,而不受過多的限制”。現在我們看到,完成後的SoftEther和傳統的VPN軟體相比而言,其特點是“EtherNet over TCP的隧道技術 + HTTPS實現物理傳輸”。這樣巧妙的想法,你是如何构思出來的?
登大遊答:傳統的隧道技術(PPTP, L2TP, IPSec)之類的協議,是使用GRE/IPsec這樣特殊的IP封包來實現通訊。但這樣的封包,很難通過NAT、防火牆或路由器。而當前的現實是,從公司內部訪問Internet時,在大多場合下必須通過代理服務器。這樣一來,傳統的VPN系統就完全無法發揮其效力了。由此,我覺得有必要設計一種在這種受限制的網路環境中,也能构筑虛擬網路的軟體。
本報記者問:SoftEther這類思路的軟體,今後應該會有很大的應用前途。登先生能否為我們描述一下你所期待的前景?
登大遊答:SoftEther是一個誰都可以輕鬆上手的軟體,用途用法也很廣泛,比如個人用戶可以用它在家庭之間构筑VPN,這樣就可以彼此安全地共享文件;也可以玩那些從前只有在局域網上才能跑的網路游戲……
而且,因為SoftEther可以支持SSL,所有通訊內容都被很好地加密。從而企業用戶也可以安心地用它在各地分支机构之間构筑VPN,甚至完全取代公司現有的內部局域網。据我了解,日本已經有一些公司開始在實踐了!
本報記者問:SoftEther的源代碼,以及虛擬HUB和虛擬網卡之間所使用的通訊協議,是否有公開的打算?現在除了公開的Windows版之外,是否有Linux版的開發計划?
登大遊答:由于現在在與IPA間的合同上有些限制,所以暫時還不能公開源代碼。但我還是考慮在未來適當時候把代碼放出來的;至于虛擬網卡和虛擬HUB之間使用的通訊協議,我打算最晚今年3月就完全公開出來!至于Linux/FreeBSD版的問題,現在我可以告訴大家,筑波大學的一些朋友正在開發。
本報記者問:這個軟體大大增加了網路用戶的自由度,但同時也給網路管理帶來了新的難度。請問,網路管理員如何才能防止局域網內未經許可地亂用SoftEther呢?
登大遊答:防火牆可以從連接的目標主机那裏檢測到標示SoftEther的“SoftEther Protocol”字符串,用它就可以發現誰正在使用SoftEther。我也是一名網管,今後我還會開發一個可以檢測局域網中是否有人使用SoftEther的軟體。
本報記者問:我們了解到,SoftEther的開發,得到了IPA的贊助。請問具體是怎樣形式的贊助呢?現在回顧起來,這樣的官方援助對于個人開發軟體是否有益處?
登大遊答:IPA會對其“創造前人未曾嘗試軟體”項目進行贊助(譯注:SoftEther也是2003年度受贊助對象),每個項目一年可以得到最多300萬日元的預算。但就算在日本,“創造前人未曾嘗試軟體”這類官方贊助也不過獨此一家,真希望今後這類的贊助項目能夠多起來。
技術原理
為何說它特別?先讓我們來看看它的工作方式和原理:用戶下載安裝軟體後,可以根据自己的需要,選擇安裝虛擬網卡或虛擬HUB,當然,也可以兩者一起安裝。虛擬網卡是這個軟體的客戶端,負責把要傳輸的通訊內容,轉換成只有本軟體才能識別的格式,然後發送給虛擬HUB;而虛擬HUB則是這個軟體的服務器端,負責接收虛擬網卡傳來的特別格式的數據,然後還原為原始的通訊內容,並送回到物理的網路世界中。如果再說具體一些,其技術實現就是用軟體模擬OSI網路模型第二層(數據鏈路層)以上的工作机制,把物理通訊內容封包到TCP封包中發送。
優勢所在
由于該軟體使用了隧道(Tunnel)技術,可以把本地的網路操作封包,通過TCP協議(HTTPS)傳輸到遠方,並在那裏復原成原來的網路操作。這樣,就可以把在物理上相隔遙遠的局域網通過軟體虛擬地連接在一起。其次,由于虛擬網卡和虛擬HUB之間的物理通訊使用了HTTPS協議,因此在網路傳輸過程中,可以有效地避開防火牆、NAT、路由器的攔截;同時,SSL加密也在很大程度上為通訊本身提供了安全保障。軟體的作者在談及他開發SoftEther的過程時,也介紹了為何要使用Ethernet over TCP這種特別的隧道Tunnel技術。開發之初,他最先嘗試的是TCP over TCP技術,但實踐結果表明,由于TCP over TCP協議的缺陷,使得傳輸效率很低。在百兆網路裏,用虛擬網路測試速度,居然只有500Kbps。最後作者下決心改用Ethernet over TCP,並利用運行在Windows內核模式的虛擬網卡程序把數據鏈路層的通訊內容封包到TCP,傳給遠方的虛擬HUB,這種方式使得通訊效率大為提高。据軟體作者測試,通過現在的SoftEther所構築的虛擬網路進行傳輸測試,其效率大概能相當于物理網路傳輸速度的80%~90%。
下面讓我們用几個實例來了解其威力!
實際案例 - 透過Internet的連接構築虛擬的 LAN 環境
很多類似CS這樣的游戲對LAN環境的要求遠遠低于Internet環境。這時候,如果我們利用這個軟體,在Internet玩家之間虛擬出一個LAN來,豈不是可以隨心所欲了麼?具體操作很簡單,只要各個玩家都裝上SoftEther,並配置成為虛擬網卡;然後在一台大家都訪問得到的机器上,安裝SoftEther並配置成虛擬HUB,就大功告成了。接通後大家仿佛都在一個LAN之內,而實際上,也許其中有人是撥號上網,有人是寬帶連接,甚至有人還可能是從公司防火牆後面連接過來的……
在圖1中,PC2/PC3/PC4就可以通過虛擬出來的網卡連接PC1上虛擬出來的HUB,並分別設定相應的IP地址,從而能實現在虛擬LAN下互相溝通的目的。
圖1
這樣一來,PC1上運行CS服務器,PC2/PC3/PC4無論原來的物理連接類型如何,都可以仿佛在一個LAN中一樣,通過虛擬網卡直接連接到PC1了!
打破防火牆(對內)的限制自由地訪問外面的世界。有時候,我們想要在公司的LAN中使用ICQ類的程序聯絡客戶,卻發現由于公司的網路沒有開放相應的端口,使得ICQ無法正常工作。沒關系,此時不用勞網管大駕,只要你們那裏可以用HTTPS訪問外面,就可以讓SoftEther來滿足你的需要。此時,大家僅僅需要安裝SoftEther,並配置成一塊虛擬網卡,然後連接Internet上有訪問ICQ自由的任何一台虛擬HUB;連接通了,你那台在防火牆限制下的机器,也就可以立即使用從前受限制的各種功能了! 如圖2所示,公司LAN內受到各種限制。但只要能夠使用HTTP/HTTPS協議訪問Internet,就可以連接到一台能夠進行ICQ操作的虛擬HUB上去。一旦你的虛擬網卡與遠方的虛擬HUB建立起連接(此時自己的PC上就有了兩張網卡一塊物理網卡、一塊虛擬網卡,都處于連通狀態),無論是ICQ/QQ/MSN,還是FTP/Telnet/IRC……由于模擬出來的是虛擬LAN環境,因此就算是要求再苛刻的局域網游戲軟體,通過這種方法就可以暢通無阻訪問外面。
圖2
打破防火牆(對外)的限制從家中訪問辦公室裏受防火牆保護的机器
如今,SOHO一族越來越多,對于IT界的朋友來說,“辦公室”和“家”僅憑字面意思,已經越來越難以區分其功能界限了。如果說在辦公室想要訪問自家的計算机資源,還算是有點辦法的話;在家裏訪問被各類防火牆防護得森嚴之至的辦公室的計算机資源,恐怕就是接近于痴心妄想了。可是有了SoftEther,不僅從家裏訪問辦公室自己電腦成為了可能,就連訪問辦公室的整個LAN,也不再是什麼難事了!你只要在辦公室的机器和家中的机器上分別安裝SoftEther,並配置成為虛擬網卡;然後在一台從辦公室和從家裏都能訪問到的机器上,安裝SoftEther並配置成虛擬HUB,就大功告成了。接下來,從辦公室和家中分別用自己裝好的虛擬網卡,去連接那台配置好的公共虛擬HUB;接通後兩台机器上都可以看到虛擬網卡“活了”,和普通的物理網卡一般無二的運作。如圖3所示,你試圖從家裏訪問辦公室整個LAN的話,只要在辦公室那台机器上,待與虛擬HUB接通後,把虛擬出來的網卡與物理網卡橋接,即可!
圖3
網卡的橋接,在WinXP上簡直就是舉手之勞。但如此一來,原本被防火牆設備嚴密保護起來的公司局域網,就會被神不知鬼不覺地打開了一個缺口。經由SoftEther的虛擬網路進入公司局域網的通訊內容,由于得到SSL加密的強力保護,根本無法由防火牆檢測到通訊內容是否有害。就算是病毒由此侵入,木馬軟體從此渠道流入,防火牆都無法發現!因此,不當的使用這一功能,會對現有公司網路安全构成重大隱患。
一把雙刃劍
作者在公開該軟體7天後,就受到了IPA的強烈“呼籲”,要求暫停止此軟體的下載。理由很有趣:IPA本身正是負責日本網路安全的政府机构,而某些公司/地方政府向IPA抱怨說:“SoftEther的公布,會使現有的網路安全產生嚴重的漏洞。”面臨壓力,IPA也只得向軟體作者要求暫停……
但作者認為當初參加IPA舉辦的活動評選時,早就把創作思路說得清清楚楚。那時候IPA不表示反對,並簽了贊助合同,現在眼看合約要履行完畢了,IPA卻來反悔,豈不太過分?公說公有理,婆說婆有理,于是雙方找來了若干懂行的專家分析,也得出結論:SoftEther原理上和VPN軟體沒有本質的區別,沒有理由禁止其開發和公開下載,只是在使用上需要加以引導……
實際上也的确如此,它就像一把刀一樣,你可以用刀做坏事,也可以用刀做好事;做坏事的時候,受譴責的不應該是刀,而是背後使刀的人。SoftEther軟體不也正和這個例子裏的刀一樣麼?于是,該軟體下載中止了3天後,又重新對外開放了!經曆這麼一波三折的變故,SoftEther及其作者反而變得更加有名。日本IT界知名媒體几乎都曾大篇幅地報道了這個軟體掀起的風波。
編後
通過對SoftEther這款軟體作者登大遊先生的采訪,我們深刻感受到這款另類軟體對現有網路的沖擊是何等的強烈。SoftEther裏所使用的技術,並不是什麼獨創;甚至軟體的實現,也許同樣不是領先。但它的公布,對現有VPN軟體市場將形成很大的沖擊,一些實現類似功能卻向客戶收取高額服務費用的廠商,將無可避免地面臨沉重的打擊。與此同時,生產防火牆軟硬件的廠商,也會遇上一個老大難的問題。SoftEther這樣堂而皇之把通訊內容隱藏到HTTPS協議裏面,為現有防火牆產品所無法識別。雖然作者本人好意地在通訊時故意留下了“SoftEther Protocol”這樣的破綻,可以讓防火牆廠商暫時利用一下,但隨著SoftEther的進一步公開源代碼,這樣的破綻將很容易被取消,屆時又將如何?SoftEther帶來的另一個巨大影響,自然就是對網路管理員們而言了。有了SoftEther,網路用戶可以說是如魚得水;而管理員們如何制定相應的管理策略,如何有效地執行管理,這也是今後網管們需要仔細思考的課題。
VNN是中國大陸發展出來的軟體,用的協定是UDP
網站:http://www.vnn.cn/
SOFTETHER是日本一大學生與IPA贊助研發出來的產物,用的協定是TCP
網站:http://www.softether.com/jp/
兩者的比較(是大陸方面的比較)
http://www.vnn.cn/cn/home/vnn_softether.html
pczone討論區
http://www.pczone.com.tw/vbb3/showthread.php?t=117255
以下是節錄的文章
文章一
這是一個大學一年級學生編的軟體,名叫SoftEther。
此軟體簡而言之,就是類比乙太網卡的工作順序,甚至可以類比HUB功能使用tunnel特性,實現VPN的功能。
使得系統把此軟體完全無礙的識別成一塊網卡,有了這個東西,可以不再買VPN 路由器,而實現從Internet訪問自家LAN的目標
主要實現思路是:
1)在OSI Level2(資料連結層)上軟體類比網路通訊,把物理層的通訊內容封包到TCP Package裏去(軟體類比Ethernet)
2)把自己的通訊包變成SSL Session,用HTTPS協議穿越Internet,甚至混過Firewall(128bit RC4)
然而,此後沒兩天,日本資訊處理事業協會(IPA,負責日本Internet運營管理/安全的機構)就要求這個築波大學學生停止公開此程式,理由自然也很簡單:有了這個東西,可以毫不誇張地說,所有的Firewall保護下的LAN都要面臨重大的安全性挑戰了,因為只要內網中有一台機器通過此軟體虛擬成LAN網卡,就可以通過Internet毫無障礙地訪問內網........恐怖
上述實現思路中,第一條並不能成為合法的罪名
只有第二條,成為勉強的藉口。
但禁令維持了僅有三四天,IPA就不得不同意此人再次公開下載的主頁。
經歷了這麼一場風波,SoftEther名氣更大。
有興趣的朋友不妨下載一個玩玩
安裝這個,需要你有LAN的管理權。
比如自己家的LAN,就可以安上一個,來實現從Internet訪問自家Server的功能;
而單位的LAN,就那個那個啥了.
是不是還有人沒明白這東西的劃時代意義啊?呵呵
再來通俗的介紹一下吧!
這東西說白了,就是用來打破一般用的那些防火牆限制的東西。使內網和Internet可以相互自由訪問
具體舉幾個例子來說吧!
比如你的公司有防火牆,只能http/https出去,外面的人無論是FTP也好,TELNET也好,都別想進到你們公司的內網裏面來,更別指望能找到你的機器接續了。
所以,回了家想要從家裏的寬頻上操作辦公室的電腦,就是不可能的,對吧?
但有了這個東西,我們來看看如何把這種“mission impossible”變為可能!
1)在自己的機器上安裝這個軟體,然後再定義一個虛擬HUB,定義上用戶/密碼,並把家裏這台機器掛上Internet位址
2)在辦公室的機器上安裝這個軟體,然後接續家裏的虛擬HUB,這個軟體就成了一枚動態的(Runtime)虛擬網卡。
3)從自己家裏就可以訪問這台辦公室的機器拉(走的是HTTPS協議,看到的是LAN)
如果你還不甘心,還要貪婪地想要從家裏連接辦公室別的網路資源,也好說,在辦公室那台你自己的機器上,把辦公室的物理LAN和step 3)接好的那個虛擬網卡所在LAN之間架設網橋(bridge),就可以從家裏一直訪問到辦公室所有資源啦!
這bridge,在WinXP/Win2K3都是有內置功能的。可惜Win2K稍微麻煩一些......
補充一件重要的事情!
這個軟體裝好後,在HUB管理畫面裏,可以看到一個默認的“通用HUB”,這個虛擬HUB,就是設在築波大學的
有了這個,你就可以確認自己的安裝是否成功;
但我奉勸大家試驗連接這個之前,千萬千萬要慎重:
因為世界所有人裝上這個軟體,都會有接續這個虛擬HUB的傾向;如果你也接上去,就已經和成百上千的人同在一個LAN下了!!(據俺看,那個虛擬LAN裏,一直保持著至少有三五十台機器.....)小心遭到駭客攻擊哦!
不過,有了這麼一台虛擬HUB,這個軟體的另一個功能也就發揮出來了:你所受限制的任何internet協議,經由這個虛擬HUB,都不再受限制......
1)比如你所在的公司,不許使用QQ,只要接上這個虛擬HUB,就立即能用了,呵呵呵
2)又比如你所在的國家地區,有啥不能訪問的網站,都不用擔心訪問不了了,呵呵呵
1)和2),都是通過HTTPS封包走出去/走進來的,所以你那裏的網路只要能通過HTTPS協定,就可以搞定!
文章二
一篇新文章 : "功過難評 SoftEther"
原文來自:
http://www.yesky.com/ServerIndex/77...1773423_5.shtml
2003年12月底,日本一名19歲的大學生在自己的主頁上公布了一款免費網路軟體 - SoftEther。
該軟體是由兩部分所組成:一為虛擬HUB,一為虛擬網卡。
采訪實錄
SoftEther軟體作者是日本筑波大學一年級新生登大遊。雖說他是獨立构思、設計、開發、維護此軟體,可另一方面也受到了日本經濟產業部下轄部門——情報處理振興事業協會(以下簡稱IPA)的贊助。該軟體巧妙利用了“EtherNet over TCP的隧道+HTTPS實現物理傳輸”技術,算是開創了VPN軟體應用的先河。最近,本報記者通過E-mail聯系到了該款軟體的作者,並就中國用戶所關心的一些問題對他進行了采訪。
本報記者問:SoftEther是一款VPN軟體,你在主頁上說你開發這款軟體的目的是為了“讓普通用戶更自由地使用網路,而不受過多的限制”。現在我們看到,完成後的SoftEther和傳統的VPN軟體相比而言,其特點是“EtherNet over TCP的隧道技術 + HTTPS實現物理傳輸”。這樣巧妙的想法,你是如何构思出來的?
登大遊答:傳統的隧道技術(PPTP, L2TP, IPSec)之類的協議,是使用GRE/IPsec這樣特殊的IP封包來實現通訊。但這樣的封包,很難通過NAT、防火牆或路由器。而當前的現實是,從公司內部訪問Internet時,在大多場合下必須通過代理服務器。這樣一來,傳統的VPN系統就完全無法發揮其效力了。由此,我覺得有必要設計一種在這種受限制的網路環境中,也能构筑虛擬網路的軟體。
本報記者問:SoftEther這類思路的軟體,今後應該會有很大的應用前途。登先生能否為我們描述一下你所期待的前景?
登大遊答:SoftEther是一個誰都可以輕鬆上手的軟體,用途用法也很廣泛,比如個人用戶可以用它在家庭之間构筑VPN,這樣就可以彼此安全地共享文件;也可以玩那些從前只有在局域網上才能跑的網路游戲……
而且,因為SoftEther可以支持SSL,所有通訊內容都被很好地加密。從而企業用戶也可以安心地用它在各地分支机构之間构筑VPN,甚至完全取代公司現有的內部局域網。据我了解,日本已經有一些公司開始在實踐了!
本報記者問:SoftEther的源代碼,以及虛擬HUB和虛擬網卡之間所使用的通訊協議,是否有公開的打算?現在除了公開的Windows版之外,是否有Linux版的開發計划?
登大遊答:由于現在在與IPA間的合同上有些限制,所以暫時還不能公開源代碼。但我還是考慮在未來適當時候把代碼放出來的;至于虛擬網卡和虛擬HUB之間使用的通訊協議,我打算最晚今年3月就完全公開出來!至于Linux/FreeBSD版的問題,現在我可以告訴大家,筑波大學的一些朋友正在開發。
本報記者問:這個軟體大大增加了網路用戶的自由度,但同時也給網路管理帶來了新的難度。請問,網路管理員如何才能防止局域網內未經許可地亂用SoftEther呢?
登大遊答:防火牆可以從連接的目標主机那裏檢測到標示SoftEther的“SoftEther Protocol”字符串,用它就可以發現誰正在使用SoftEther。我也是一名網管,今後我還會開發一個可以檢測局域網中是否有人使用SoftEther的軟體。
本報記者問:我們了解到,SoftEther的開發,得到了IPA的贊助。請問具體是怎樣形式的贊助呢?現在回顧起來,這樣的官方援助對于個人開發軟體是否有益處?
登大遊答:IPA會對其“創造前人未曾嘗試軟體”項目進行贊助(譯注:SoftEther也是2003年度受贊助對象),每個項目一年可以得到最多300萬日元的預算。但就算在日本,“創造前人未曾嘗試軟體”這類官方贊助也不過獨此一家,真希望今後這類的贊助項目能夠多起來。
技術原理
為何說它特別?先讓我們來看看它的工作方式和原理:用戶下載安裝軟體後,可以根据自己的需要,選擇安裝虛擬網卡或虛擬HUB,當然,也可以兩者一起安裝。虛擬網卡是這個軟體的客戶端,負責把要傳輸的通訊內容,轉換成只有本軟體才能識別的格式,然後發送給虛擬HUB;而虛擬HUB則是這個軟體的服務器端,負責接收虛擬網卡傳來的特別格式的數據,然後還原為原始的通訊內容,並送回到物理的網路世界中。如果再說具體一些,其技術實現就是用軟體模擬OSI網路模型第二層(數據鏈路層)以上的工作机制,把物理通訊內容封包到TCP封包中發送。
優勢所在
由于該軟體使用了隧道(Tunnel)技術,可以把本地的網路操作封包,通過TCP協議(HTTPS)傳輸到遠方,並在那裏復原成原來的網路操作。這樣,就可以把在物理上相隔遙遠的局域網通過軟體虛擬地連接在一起。其次,由于虛擬網卡和虛擬HUB之間的物理通訊使用了HTTPS協議,因此在網路傳輸過程中,可以有效地避開防火牆、NAT、路由器的攔截;同時,SSL加密也在很大程度上為通訊本身提供了安全保障。軟體的作者在談及他開發SoftEther的過程時,也介紹了為何要使用Ethernet over TCP這種特別的隧道Tunnel技術。開發之初,他最先嘗試的是TCP over TCP技術,但實踐結果表明,由于TCP over TCP協議的缺陷,使得傳輸效率很低。在百兆網路裏,用虛擬網路測試速度,居然只有500Kbps。最後作者下決心改用Ethernet over TCP,並利用運行在Windows內核模式的虛擬網卡程序把數據鏈路層的通訊內容封包到TCP,傳給遠方的虛擬HUB,這種方式使得通訊效率大為提高。据軟體作者測試,通過現在的SoftEther所構築的虛擬網路進行傳輸測試,其效率大概能相當于物理網路傳輸速度的80%~90%。
下面讓我們用几個實例來了解其威力!
實際案例 - 透過Internet的連接構築虛擬的 LAN 環境
很多類似CS這樣的游戲對LAN環境的要求遠遠低于Internet環境。這時候,如果我們利用這個軟體,在Internet玩家之間虛擬出一個LAN來,豈不是可以隨心所欲了麼?具體操作很簡單,只要各個玩家都裝上SoftEther,並配置成為虛擬網卡;然後在一台大家都訪問得到的机器上,安裝SoftEther並配置成虛擬HUB,就大功告成了。接通後大家仿佛都在一個LAN之內,而實際上,也許其中有人是撥號上網,有人是寬帶連接,甚至有人還可能是從公司防火牆後面連接過來的……
在圖1中,PC2/PC3/PC4就可以通過虛擬出來的網卡連接PC1上虛擬出來的HUB,並分別設定相應的IP地址,從而能實現在虛擬LAN下互相溝通的目的。
圖1
這樣一來,PC1上運行CS服務器,PC2/PC3/PC4無論原來的物理連接類型如何,都可以仿佛在一個LAN中一樣,通過虛擬網卡直接連接到PC1了!
打破防火牆(對內)的限制自由地訪問外面的世界。有時候,我們想要在公司的LAN中使用ICQ類的程序聯絡客戶,卻發現由于公司的網路沒有開放相應的端口,使得ICQ無法正常工作。沒關系,此時不用勞網管大駕,只要你們那裏可以用HTTPS訪問外面,就可以讓SoftEther來滿足你的需要。此時,大家僅僅需要安裝SoftEther,並配置成一塊虛擬網卡,然後連接Internet上有訪問ICQ自由的任何一台虛擬HUB;連接通了,你那台在防火牆限制下的机器,也就可以立即使用從前受限制的各種功能了! 如圖2所示,公司LAN內受到各種限制。但只要能夠使用HTTP/HTTPS協議訪問Internet,就可以連接到一台能夠進行ICQ操作的虛擬HUB上去。一旦你的虛擬網卡與遠方的虛擬HUB建立起連接(此時自己的PC上就有了兩張網卡一塊物理網卡、一塊虛擬網卡,都處于連通狀態),無論是ICQ/QQ/MSN,還是FTP/Telnet/IRC……由于模擬出來的是虛擬LAN環境,因此就算是要求再苛刻的局域網游戲軟體,通過這種方法就可以暢通無阻訪問外面。
圖2
打破防火牆(對外)的限制從家中訪問辦公室裏受防火牆保護的机器
如今,SOHO一族越來越多,對于IT界的朋友來說,“辦公室”和“家”僅憑字面意思,已經越來越難以區分其功能界限了。如果說在辦公室想要訪問自家的計算机資源,還算是有點辦法的話;在家裏訪問被各類防火牆防護得森嚴之至的辦公室的計算机資源,恐怕就是接近于痴心妄想了。可是有了SoftEther,不僅從家裏訪問辦公室自己電腦成為了可能,就連訪問辦公室的整個LAN,也不再是什麼難事了!你只要在辦公室的机器和家中的机器上分別安裝SoftEther,並配置成為虛擬網卡;然後在一台從辦公室和從家裏都能訪問到的机器上,安裝SoftEther並配置成虛擬HUB,就大功告成了。接下來,從辦公室和家中分別用自己裝好的虛擬網卡,去連接那台配置好的公共虛擬HUB;接通後兩台机器上都可以看到虛擬網卡“活了”,和普通的物理網卡一般無二的運作。如圖3所示,你試圖從家裏訪問辦公室整個LAN的話,只要在辦公室那台机器上,待與虛擬HUB接通後,把虛擬出來的網卡與物理網卡橋接,即可!
圖3
網卡的橋接,在WinXP上簡直就是舉手之勞。但如此一來,原本被防火牆設備嚴密保護起來的公司局域網,就會被神不知鬼不覺地打開了一個缺口。經由SoftEther的虛擬網路進入公司局域網的通訊內容,由于得到SSL加密的強力保護,根本無法由防火牆檢測到通訊內容是否有害。就算是病毒由此侵入,木馬軟體從此渠道流入,防火牆都無法發現!因此,不當的使用這一功能,會對現有公司網路安全构成重大隱患。
一把雙刃劍
作者在公開該軟體7天後,就受到了IPA的強烈“呼籲”,要求暫停止此軟體的下載。理由很有趣:IPA本身正是負責日本網路安全的政府机构,而某些公司/地方政府向IPA抱怨說:“SoftEther的公布,會使現有的網路安全產生嚴重的漏洞。”面臨壓力,IPA也只得向軟體作者要求暫停……
但作者認為當初參加IPA舉辦的活動評選時,早就把創作思路說得清清楚楚。那時候IPA不表示反對,並簽了贊助合同,現在眼看合約要履行完畢了,IPA卻來反悔,豈不太過分?公說公有理,婆說婆有理,于是雙方找來了若干懂行的專家分析,也得出結論:SoftEther原理上和VPN軟體沒有本質的區別,沒有理由禁止其開發和公開下載,只是在使用上需要加以引導……
實際上也的确如此,它就像一把刀一樣,你可以用刀做坏事,也可以用刀做好事;做坏事的時候,受譴責的不應該是刀,而是背後使刀的人。SoftEther軟體不也正和這個例子裏的刀一樣麼?于是,該軟體下載中止了3天後,又重新對外開放了!經曆這麼一波三折的變故,SoftEther及其作者反而變得更加有名。日本IT界知名媒體几乎都曾大篇幅地報道了這個軟體掀起的風波。
編後
通過對SoftEther這款軟體作者登大遊先生的采訪,我們深刻感受到這款另類軟體對現有網路的沖擊是何等的強烈。SoftEther裏所使用的技術,並不是什麼獨創;甚至軟體的實現,也許同樣不是領先。但它的公布,對現有VPN軟體市場將形成很大的沖擊,一些實現類似功能卻向客戶收取高額服務費用的廠商,將無可避免地面臨沉重的打擊。與此同時,生產防火牆軟硬件的廠商,也會遇上一個老大難的問題。SoftEther這樣堂而皇之把通訊內容隱藏到HTTPS協議裏面,為現有防火牆產品所無法識別。雖然作者本人好意地在通訊時故意留下了“SoftEther Protocol”這樣的破綻,可以讓防火牆廠商暫時利用一下,但隨著SoftEther的進一步公開源代碼,這樣的破綻將很容易被取消,屆時又將如何?SoftEther帶來的另一個巨大影響,自然就是對網路管理員們而言了。有了SoftEther,網路用戶可以說是如魚得水;而管理員們如何制定相應的管理策略,如何有效地執行管理,這也是今後網管們需要仔細思考的課題。
全站熱搜
留言列表
Apple (1)