IP欺骗攻击技术原理、方法、工具及对策

IP欺骗技术（IP Spoofing）起源较早，应用十分广泛。但黑客可以利用IP欺骗技术截断正常的TCP通信，或被目标主机所信任的机器向其发起TCP连接。中介绍了IP欺骗技术的原理、方法以及常用工具，分析了在现有条件下解决这一问题的策略，并提出了建立高级模式匹配策略来进行入侵检测的方法，该方法可以有效地防御和检测IP欺骗攻击。     

DDoS攻击报文过滤器在Linux防火墙中的应用

分布式拒绝服务攻击（DDoS）是一种攻击强度大、危害严重的拒绝服务攻击。因此，对它进行检测和防御就显得非常困难。文章主要介绍了常用的儿种DDoS方式，提出了一套针对IP报文TTL值分布进行检测以及对TCP报文进行验证过滤的方案，并在此基础上对传统的Linux防火墙进行了改进。实验表明经过改进之后的防火墙能够在一定程度上防御DDoS攻击，比传统的简单报文过滤方法在实时性、准确性上有很大提高。     

针对校园网ARP攻击的防御模式研究设计

ARP协议存在安全漏洞,利用ARP协议缺陷可以进行ARP溢出、ARP欺骗等方式的网络攻击。本文首先介绍了ARP工作原理,其次分析校园网ARP攻击方式,最后提出一种ARP攻击防御模式和算法。该算法通过对客户端主机发送和接收的ARP报文检测,对信息不一致的ARP报文进行丢弃;依据先请求后应答的策略检测ARP应答报文,拒绝无请求的ARP应答。该防御算法能有效预防ARP攻击,适用于网络安全性要求较高的校园网。     

面向P2P网络的DDoS攻击抑制方法

提出了一种分布式的基于对P2P网络中各节点进行分级的DDoS攻击抑制方法,采集了多个能分别反映当前节点本身或周围节点网络状况的评级因子,并通过不确定性推理确定当前节点分级值.分级值决定转发率.使用线性分类作为丢包策略对需发送数据包进行分组、丢弃,以降低误报率.仿真实验表明该方法能够有效抑制P2P网络上的DDoS攻击,提...     

IP欺骗技术原理及方法研究

IP欺骗作为网络攻击的一种手段,近年来被人们越来越重视。针对IP欺骗攻击的原理和实现过程展开研究,并根据技术原理给出了具体的实现方法。     

网络攻击路径重构中的报文标记方案研究

对目前攻击源追踪中的基于概率的分段报文标记方案进行了分析,指出了这类方法的一些缺陷．给出了利用IP报文中的选项字段,以概率将流经路由器的地址标注报文．使得受害主机能够根据被标注报文内的地址信息重构出攻击路径的代数方法．重点讨论了路由器在报文中记录流经的地址以及利用报文中记录的信息重构路径的代数方法,并对代数方法的性能作了分析和比较．方案具有很低的网络和路由器开销,也容易扩充到IPv6和未来的主干网．     

一种扩展的ARP协议设计

ARP（Address Resolution Protocol）协议是实现IP地址到MAC地址映射的协议。由于传统的ARP协议缺乏完整性检查与认证,导致ARP欺骗攻击相当盛行。文章分析了传统的ARP协议存在的缺陷和安全隐患,提出了新的ARP协议的设计方法,即S-ARP协议。S-ARP是对传统的ARP协议的一种扩展。S-ARP协议通过过滤、分析发送和接收数据包,能有效地防御ARP欺骗攻击。     

移动IP隧道技术在Linux内核中的设计与实现

移动IP技术是实现TCP/IP网络中主机和局域网络漫游通信的一种网络技术,其主要解决局域网络无法延伸的问题,可实现IP设备随时随地上网.本文给出无缝移动性在IP层的一个实现方案,能保证移动节点无论应用层、传输层采用何种上层协议都感觉不到移动的影响.在Linux操作系统下,利用开放的内核环境,给出了实现移动IP隧道技术的一种切实可行的方案,在IP层对数据包进行额外处理,使得数据包通过隧道进行传输,保证了数据包在移动节点和其他节点之间自由通信.直接将封装机制和解封装机制嵌入内核执行,提高了速度和安全性.     

模式匹配与校验和相结合的IP协议识别方法

为了减少入侵检测系统中误报和漏报的发生概率,提高对应用层协议进行详细分析的准确率,针对以太网数据包提出了一种将模式匹配算法和IP校验和计算相结合的IP协议识别方法.该方法首先根据IP报头的静态特征对以太数据包进行模式匹配,再结合报头校验和计算来识别该数据包所属类型是否为IP协议.通过在Visual C++软件环境下运行基于给定数据样本的仿真程序,验证了该方法的正确性和可靠性,从而为上层协议的识别提供了理论基础和识别算法.     

移动IP隧道技术在Linux内核中的设计与实现

移动IP技术是实现TCP/IP网络中主机和局域网络漫游通信的一种网络技术,其主要解决局域网络无法延伸的问题,可实现IP设备随时随地上网.本文给出无缝移动性在IP层的一个实现方案,能保证移动节点无论应用层、传输层采用何种上层协议都感觉不到移动的影响.在Linux操作系统下,利用开放的内核环境,给出了实现移动IP隧道技术的一种切实可行的方案,在IP层对数据包进行额外处理,使得数据包通过隧道进行传输,保证了数据包在移动节点和其他节点之间自由通信.直接将封装机制和解封装机制嵌入内核执行,提高了速度和安全性.     

基于神经网络的伪造IP拒绝服务攻击检测与过滤

通过对互联网行为的研究,提出了一种基于神经网络的伪造IP拒绝服务攻击检测与过滤技术.该技术在对互联网IP数据包路由路径的合理假设下,充分利用了神经网络的学习和表达能力,使用未发现攻击时的数据进行学习与检测,在发现攻击时利用神经网络进行过滤.通过分析过滤方法在一定程度上达到保护本地网络不受DDoS攻击侵害的目的.经分析和验证,该方法在攻击检测与过滤中具有一定效果.     

具有主动防御能力安全路由器的研究与设计

本文通过对现有路由器的攻击手段和防御方法进行研究分析,指出了现有路由器被动防御方式的缺陷.文中将路由器收到的IP包分为两大类:中转IP包和终点IP包.通过对两种IP包的威胁进行分析比较,指出终点IP包是潜在威胁最大的包,并采用主动防御的思路解决终点IP包对路由器的威胁.文中最后通过引入一个具有智能学习、分析和防御能力的协处理机,协助路由器对终点IP包进行专门处理,使路由器免受终点IP包的攻击,具备主动防御的能力和攻击容忍性,且不影响路由器的路由性能.     

基于主机的Smurf攻击防御系统设计

Smurf攻击为DoS攻击中较为常见的一种.它利用TCP/IP协议自身的缺陷,结合使用IP欺骗和ICMP回复方法,导致网络严重的拥塞或资源消耗,引起目标系统拒绝提供合法服务,从而对网络安全构成重大威胁.该文在分析Smurf的原理和特征的基础上,提出了这种攻击的监测方法和防范技术,建立了一套较完善的Smurf攻击防范系统,并给出了系统的整体实现以及测试数据.     

采用数据挖掘的拒绝服务攻击防御模型

针对拒绝服务攻击的特点,提出了一种采用数据挖掘技术的防御模型。该模型以实时抽样流量作为数据来源,采用关联分析法提取可信IP列表用于数据包的过滤,并利用贝叶斯分类算法对数据包的危险等级进行评估。该模型弥补了传统的基于可信IP列表过滤的不足,并在防御攻击时能有效区分正常流量与异常流量。实验证明该模型能够对拒绝服务攻击进行有效、实时的防御。     

协议分析技术在ICMP中的应用

介绍ICMP报文的封装情况以及以太网帧、IP数据报、ICMP报文和UDP数据报的格式规定.然后在此基础上,从协议分析的角度出发,对一个ICMP诱骗端口扫描攻击案例进行了详细描述,得出了攻击特征,并提出了相应的解决办法.     

利用入侵检测技术防范DDoS

分布式拒绝服务攻击(DDoS)由多宿主机发动,是目前常见的网络攻击中比较严重的一种,难于检测和跟踪。为此,阐述了DDoS的攻击方式的体系结构,并较为详细地分析了DDoS的机理并给出了攻击实例,概述了入侵检测技术的概念,提出了利用入侵检测技术防范DDoS攻击的一种尝试。设计一个针对DDoS的入侵检测方案,该方案检测通过路由器的数据包的流量判断是否异常。如果发现数据包的异常发送,则发出受攻击信号。本方案由3部分组成:包分类,获取原始的网络流量统计;流量离散函数,计算网络数据包的发送特性;基于变异的检测,在当前流量远远偏离历史上的正常变化范围时做出反应。     

网络流单边连接密度的时间序列分析

检测分布式拒绝服务（DDoS）攻击的困难性在于攻击数据包与正常数据包并无本质上的区别,为了正确识别DDoS,需要找到它与正常流的根本区别。使用虚假源IP地址的攻击包能够耗尽目标主机的网络带宽和系统资源,却无法与目标机建立完整的双向通信。因此,用于直观反映网络流异常的单边连接密度(OWCD)概念被提出并用于识别DDoS攻击,同时对OWCD的时间序列的进行了分析,揭示了OWCD序列的性质,为利用这个指标来进行DDoS检测提供依据。实验表明,OWCD能直观地区分正常流和攻击流,其序列为白噪声序列,能够作为DDoS检测的独立指标。OWCD序列不仅能够检测DDoS攻击,还能反映攻击强度。     

局域网内IP地址盗用防范技术研究

目前，IP地址的盗用现象越来越严重。作者结合局域网环境，对IP地址盗用的原理和方法，以及如何防范IP地址的盗用进行了有针对性的分析，进而提出了基于ICMP模块、ARP模块和SNMP模块的IP地址管理器，以达到防止非法盗用IP地址的目的。     

DDoS攻击快速在线检测器设计与实现

基于网络自相识似模型的DDoS攻击检测是一种新型的攻击检测手段。本文在研究数据包捕获机制和小波分析的基础上，设计并实现了一种基于小波变换的快速在线检测器，并通过实验证明该方法的有效性。