基于ARP协议的网络访问控制方法浅议

在网络应用中,网络管理系统需要对接入网络的主机的访问策略进行控制,因而需要了解网络内接入主机的活动情况,并对非法主机的网络访问进行有效阻断。本文探讨了基于ARP协议的网络访问控制方法,从而实现了及时发现网络内的活动主机以及有效阻断非法主机访问的目的。     

一次性可变概率分片标记及其压缩标记

提出了一次性可变概率分片标记方法,即对每一数据包从接入到受害主机的传输路径上的所有路由器至多对其进行一次标记,由此能够避免对任一数据包的重复标记;路由器根据数据包在网络上传输的距离d以概率1/(33-d)对其进行可变概率标记,使受害主机可等概率地收集到攻击路径中各个路由器标记的数据包.在此基础上,根据传输路径上IP信息的相似性冗余,提出了压缩一次性可变概率分片标记方法.实验结果表明,提出的方法能够消除可变概率标记方法对数据包的重复标记问题,并显著减少反向追踪攻击源所需数据包的数目,提高了对攻击源定位的准确性和实时性.     

一种基于数据包综合信任度的防火墙包过滤模型

针对分布式拒绝服务攻击的特点和目前防火墙采用的包过滤技术在攻击响应时的不足,提出了一种基于数据包综合信任度的防火墙包过滤模型.该模型中,对发往受保护主机的TCP和UDP数据包进行过滤时,不仅要考虑该数据包的特性以及记录的状态,还要考虑计算的综合信任度和由此得到的信任级别,从而通过为不同级别的数据包提供不同的服务质量来减轻拒绝服务攻击.     

Idle扫描算法的改进

本文分析了Idle扫描算法的原理和不足,提出了一种改进的Idle扫描算法,该算法把第三方主机与扫描主机在同一局域网内的情况分离出来,且扫描过程设置为随机端口扫描.研究结果表明该算法可以大大提高扫描速度,而且在扫描过程中可以更为有效地避免目标主机发现被扫描而屏蔽数据包的情况.     

基于ARP欺骗的校园网安全访问设计方案

提出了一种校园网安全访问的设计方案,采用ARP Request包域合法性鉴别,对校园网非法主机实施ARP欺骗,阻断校园网内非法主机通信,从而达到校园网安全访问的目的．     

DRM中流媒体加密方案设计

针对流媒体的非法复制和传播问题,分析了流媒体的特点,对CA的加密思想进行改进。方法是使用三级密钥加密,并在加扰器之前添加了数据包选择器,使其只选择一部分数据包进行加扰,从而形成了一种应用在流媒体DRM中的选择性三级密钥加密方案。     

一次网络故障的分析

本文以实际工作中的网络结构为分析对象,首先,阐述了网络的基本配置情况和网络设备中的相关的概念。其次,描述了在上述网络中两台主机通信过程以及所产生的问题,分析了数据在数据链路层和网络层的数据帧和数据包的形成过程和传输的原理。最后,指出了问题出现的原因以及定位问题主机的方法,并最终给出了解决方案。     

基于StackSF的DDoS攻击和IP欺骗新型防御机制

针对互联网上的主机正面临着IP欺骗和大规模分布式拒绝服务(DDoS)攻击威胁,提出一种新的防御机制——StackSF.该机制不同于以往的方法,它是通过数据包标记和临界过滤器分析每个数据包的信息内容,过滤掉攻击数据包并检测出遭受欺骗的源IP地址.同时,还可以防御各种方式的IP欺骗的攻击.     

TCP/IP协议分析教学软件的设计开发

为适应计算机网络教学的需要,帮助学生更加直观地理解网络协议的实现原理,笔者用VB并利用VxD技术开发设计了TCP/IP协议分析教学软件.该软件实现了直接从网卡截获进出主机的数据包,并对TCP/IP协议族中各种数据包的包头信息、数据进行分析,还原得到协议的各项内容.     

WEB内容过滤防火墙研究

本文对传统防火墙技术在内容安全方面的局限性进行了分析,介绍了字符串匹配算法,提出了一种新型灵活高效的防火墙的体系结构和设计方法,它能在网络层截获数据包获得包头信息,如果判断是非法的IP分组,则防火墙直接丢弃该数据包,加快了防火墙内容过滤的效率。并展望了新的模式匹配算法和防火墙技术。     

基于NetFPGA的网络数据包重现机制的研究与实现

网络数据包分析软件在网络本身及其节点的测试和网络信息安全分析中扮演十分重要角色。在NetFPGA硬件平台上采用模块化的设计理念,硬件实现一个可靠的、高速线速的网络数据包重现机制,解决纯软件实现该机制对主机CPU的依赖以及无法线速运行的瓶颈。通过与具有代表性的TCPreplay进行比对实验,验证在基于硬件加速的重现机制所体现的高速、精确及节约资源性方面,能够为网络安全分析提供可靠的参考数据。     

改进的移动IPv6快速切换性能分析

移动IPv6快速切换协议保证了最小的切换时延和尽可能小的切换开销,但对快速移动的主机,切换代价仍然很大.这是因为在新旧接入路由器间的隧道建立之前到达旧路由器的数据包将会丢失.针对这种情况,提出了一种改进的快速切换协议.为了降低数据包传输开销,改进的快速切换协议在前路由器端引入了一个缓存,存储转发到其他路由器的数据包.参照切换过程的时间表,对快速切换和改进的快速切换在数据包传送代价和缓存占用方面进行比较,最后得出结论,在前路由器端加入缓存可以大大优化切换性能.     

Linux中Netfilter／iptables的研究与应用

Netfilter/iptables是Linux 2．6内核中的通用性功能框架,能够对数据包进行处理。分析了基于Linux内核的Netfilter/iptables框架以及iptables表、链的关系与作用;应用Netfilter/iptables中的包过滤特性建立了内外网间的防火墙,通过手动配置iptables规则的方式对数据包进行有目标性的过滤,防止非法数据攻击,实现了阻隔Ping洪水攻击、拦截特定网段数据包、数据包入队等待后续处理等功能,达到了保证内网安全的效果。     

基于行为分布的DDoS攻击检测方法

分布式拒绝服务(distributed denial of service,DDoS)攻击能够在短时间内产生巨量的数据包耗尽目标主机或网络的资源,经过研究发现这些伪造的数据包在一个特定的时间内有着合法数据包所不具备的函数特点。因此,本文提出了行为分布的模型,一旦有可疑流流入服务器,则开始计算这些可疑流的行为分布差异,如果该差异小于一个设定的阈值,则判断有DDoS攻击发生;反之则为合法的数据访问。根据NS-3的模拟实验,证明该模型能够有效的从合法访问中区分出DDoS攻击流,对提前控制DDoS攻击的发生具有重要的意义。     

基于数据包缓存的伪IP地址实时追踪技术的研究

当前,非法攻击者在实施网络攻击时,通常会采用伪IP地址来转发数据包.对于这一类信源终端,目前还没有有效、实时的追踪和定位方法.本文分析了几种典型的IP地址追踪方法,指出其存在实时性、依赖性等缺点,提出了一种对IP地址转换之前的“跳板机”的原始数据包缓存进行分析,从而获取真实IP地址的方法,具有较好的实时性与自主性.     

Snort对非法DHCP服务器的防范

文章提出了Snort技术对非法动态主机配置协议DHCP的防范,使得DHCP服务器运行的安全性获得一定程度的提高。     

基于WinPcap的实时网络监测系统

实现了一个基于WinPcap的实时网络流量监测系统,完成了数据包级和流级的流量指标,包括2~7层协议分布,不同协议的流量速率,包大小分布,不同聚集程度的流分布,前N名的IP主机和主机对分布等;并提供网络运行状态的告警指标.实验结果表明,对于100 M以太网,基于WinPcap的软件捕获流量监测程序的处理上限为60 000 packet/s,完全可以胜任100 M以太网监测需求.     

基于NDIS的网络诱骗技术的原理及实现

网络诱骗技术是对传统网络防御手段的有效补充,通过将网络攻击者引向伪造的、虚假的信息资源,达到保护网络中真正有价值信息资源的目的.本文介绍了网络诱骗技术的原理,并利用NDIS底层驱动来实现网络数据包的截获,防范外部对本地主机的入侵,为发现攻击和阻断攻击也提供了相应的工具和技术.     

基于Aglet的入侵检测系统设计

基于Aglet的入侵检测系统模型(MAIDS)采用树形分层和网络混合的逻辑结构,功能组件由图形用户界面、控制器、管理器和数据采集模块四部分组成,具体配置由运行移动代理环境的三级平台控制中心、分区中心、网络主机组成。设计了七类功能代理,并实现了采集网络数据包代理。     

IPsec加密数据流与防火墙过滤模式兼容问题

对适用于IPv6网络的包过滤防火墙的分组过滤模式与IPsec加密数据流之间的兼容性问题进行了分析 .针对网关防火墙不能对抗大量已取得了目标主机部分信任的“伪信任”主机所发出的具有攻击性的加密数据包 ,为IPv6逐跳选项扩展报头定义了一种新的选项———端口通告 ,有效地使网关防火墙能够对加密数据流进行分组过滤 ,并分析了亟待解决的问题