基于SPI的数据包过滤转发的设计与实现

文中介绍了Windows环境下根据Winsock 2服务提供者接口（Service Provider Interface，SPl）开发数据包过滤程序的技术，并提出一种将此技术与socks 5协议相结合，在客户端实现TCP，UDP数据包代理转发的方案。重点阐述了SPI技术实现自定义基础服务提供者或分层服务提供者的原理，以及以分层服务提供者的方式对SPI截获的TCP，UDP数据包分别进行代理转发的实现。此技术可广泛适用于单机透明代理客户端、基于代理服务器的计费系统等方面。     

SPI的包过滤实现技术

本文讨论了windows平台可利用的各种数据包过滤的技术，着重分析了SPI技术的实现。阐明以SPI技术实现自定义基础服务提供者或分层服务提供者的原理，并以分层应用程序设计的方式对SPI截获的数据包进行处理的实现。此技术可广泛应用于单机小规模的网络环境进行数据截获分析方面的应用，     

基于ARM+交换芯片的协议转换器的设计

针对目前同步串行协议通信速率低和可靠性差的现状,设计了一个基于ARM加交换芯片的协议转换器来完成同步串行协议到网络通信协议的转换;设计采用S3C2440为核心处理器,并通过服务器和客户端建立连接,以套接字的形式将SPI协议转换成TCP协议接入到以太网,采用网络调试助手和串口调试助手对客户端和服务器的协议转换通信进行测试和分析;实验结果表明服务器通过SPI总线发出的数据经过封包后构造成可以在网络上转发的报文,经过交换芯片的端口转发到达客户端完成SPI到TCP协议的转换。     

基于ACE的TCP穿透NAT技术原理及实现

在P2P应用中,由于建立TCP连接需要经过复杂的三次握手,受各种因素影响,TCP穿透NAT的成功率常难保证,使得目前大部份P2P应用均采用UDP协议进行数据传输,这要求网络防火墙必须允许UDP数据包通过,与目前大部份网络安全配置相冲突.文中分析了TCP穿透NAT的技术原理,以此为基础,通过使用辅助服务器与欺骗报文相结合、自动区分网内与网外连接等方法,进一步提高实际P2P应用中TCP穿透NAT、建立连接的成功率,同时结合ACE框架,实现了采用该技术的服务器和客户端代码,为大批量数据传输的P2P应用如何使用TCP协议提供参考.     

网络安全与计费系统

1、用Linux防火墙控制外部防问 Linux操作系统支持多种通信接口、网络层协议和路由技术。它具有内置的IP防火墙,支持IP包过滤、数据包计帐、日志文件和透明代理技术。它能够对IP包的输入、输出和转发分别设置防火墙,可以对单个主机或子网分别设置过滤规则,也可以对指定的协议（TCP、UDP和ICMP）和端口（Telnet、WWW、FTP等）设置规则。     

uIP中UDP协议实现的改进

uIP作为一种广泛使用的轻量级嵌入式TCP/IP协议栈,其UDP协议的实现还不够完善,目前最新的1.0版本中仅实现了UDP客户端,尚没有实现UDP服务端.为此,对其进行了以下三方面的改进:UDP服务端口的初始化;接收到UDP客户端数据包后的端口号判断及匹配;UDP服务端发送报文后目的端口的释放.经过以上改进后,实验证明,uIP 1.0中的UDP实现了服务端的功能.     

基于Winsock技术的数据包解析研究

数据包解析技术是数据包过滤的基础。对数据包进行解析，是基于数据包过滤的防火墙要解决的核心问题，构造数据包的协议有很多种，要根据构造数据包的协议对该包进行处理，要正确理解在网络中传榆的单元，进而才能很好地控制网络单元的传输，实现数据包的过滤。Winsock的服务提供者编程接口的编程技术，打破了底层网络服务提供者的透明性，提供了修改系统SPI接口服务的可能性，利用这项技术能比较容易地完成数据包过滤功能，具体地说就是能增加一些自定义的功能函数，来实现数据包通信的控制，比如截获、转发、丢弃数据包等功能，也就是所说的防火墙实现的功能。当然也可以在这个基础上延伸下去，从而可以完成诸如传输质量控制、扩展TCP／IP协议栈、URL过滤及网络安全控制等功能。     

视频会议系统中利用UDP实现P2P网络穿越NAT技术

;针对目前在客户端/服务器模式下,通过服务器转发数据浪费带宽,效率低的缺点,本文提出了利用UDP实现P2P网络穿越NAT的即时通讯技术,介绍了视频会议系统中基于intemet的P2P网络技术和NAT基本原理,给出一个用局域网模拟公网的P2P聊天实例.验证利用UDP实现P2P实现网络穿越NAT通讯技术的可行性.     

Internet防火墙透明代理技术的研究与实现

1 防火墙代理技术概述代理型防火墙的基本思想仍是源于代理服务器,其目的主要是对外界屏蔽/保护内部网络的信息和结构,“切断”被保护网络与公共网络的直接联系。代理技术按照不同的标准可有多种分类方法,如按其实现机制在网络分层中所处的位置可分为链路级代理、网关级代理和应用级代理,按照用户使用的方式又可被分为应用代理和透明代理。包过滤防火墙的安全性是基于对包的IP地址的校验,它将所有通过的信息包中发送方IP地址、接收方IP地址、TCP/UDP端口、TCP链路状态等信息读出,并按照预先设定的过滤原则过滤信息包,以保证网络系统的安全。代理型防火墙则是将内部系统与外界隔离开来,从外面只能看到代理服务器而看不到任何内部资源,代理服务器接收客户请求后会检查验证其合法性,并像一台客户机一样取回所需的信息再转发给客户。     

基于UDP协议的心电图波形传输研究与实现

由于心电图波形数据在计算机网络中传输对实时性和可靠性的要求都比较高,而目前网络传输层中常用的TCP协议和UDP协议均不能满足此要求。针对这种情况,提出一种对UDP协议进行改进的方法。通过对UDP协议的通信特点的分析,设计了一种实现简单、效率高的分包和拼接方法,添加了失序、包丢失和超时处理机制。实验结果表明,心电图波形数据利用改进后的UDP协议进行传输,可以满足其数据传输的要求。     

一种新的轻量级安全代理协议

随着网络技术的发展和广泛应用,在互联网环境下建立安全信道愈发显得重要。我们设计了一种采用TLSv1.3的握手协议框架的轻量级安全代理协议,在安全性的基础上提供了更好的隐蔽性和性能。代理程序的用户接口基于Socks5协议,保障了通用性。握手过程模拟TLS,将实际参数填充在TLSv1.3握手包内的随机区域和加密区域中来完成基于ECDHE密钥交换和挑战响应机制的握手。后续的代理转发过程中通过额外判断避免了加密数据的重复处理,大大提高了通信效率。针对主动检测,设计了基于TCP转发的主动对抗措施。健壮性方面,可作为服务器的反向代理,亦可作为基于TCP转发的反向代理服务器的后端,可灵活构建冗余信道。依据实现原理,命名为FTLSocks,意为Fake TLS Socks。使用了协程池、空间重用、最少拷贝和无锁的设计,实测高并发下资源消耗、吞吐量、响应时间等均优于现有流行工具。     

Windows下一个代理服务器系统的实现

该文介绍了笔者实现的一个代理服务器系统,该系统可代理HTTP,Tunnel,Socks5TCP这三个最常用的协议,此外系统还有用户管理和Web服务、Web代理等功能。     

基于FreeBSD内核的虚拟服务器研究与实现

服务器集群是实现高性能网络服务的有效结构,而报文转发技术是发挥服务器集群性能的关键。高效的报文转发技术使得集群的调度负载很轻,具有很高的可扩展性。IP隧道技术/直接路由是两种新颖而且高效的报文转发技术。FreeBSD是理想的网络服务器操作系统,但目前基于FreeBSD的集群调度系统均采用网络地址转换技术,系统可扩展性有限。本文讨论了基于FreeBSD操作系统内核,采用IP隧道/直接路由报文转发技术的虚拟服务器(FVS)系统的设计动机及实现,重点探讨了系统的体系结构及实现关键技术。我们基于FreeBSD-5.3内核实现了FVS系统,性能测试结果表明,该系统的调度负载很轻,有很好的可扩展性。     

代理服务器的网络应用程序的编写方法

介绍了使用Socks4和Socks5两种代理协议编写代理服务器的网络应用程序的方法。     

在VB中实现客户端自动查找并连接服务器端

TCP是一种面向连接的服务,它在两个主机之间建立连接,提供双向、有序且无重复的数据流服务,而UDP则是一种双向的无连接数据服务。通过使用三个SinSock控件,巧妙地将TC P与UDP结合起来,利用UDP进行查找, TCP进行连接,实现了客户端自动查找并连接服务器端。     

一种提高TCP与UDP数据流公平性的拥塞控制机制

在UDP业务流逐步占据大部分网络带宽的情况下,如何在网络层对UDP包进行拥塞控制显得尤为重要。在网络拥塞时,由于UDP包本身缺乏反馈机制,将会产生严重的丢包或者UDP抢占TCP带宽的现象。文中提出了基于网络层的发送端缓冲队列管理的拥塞控制机制,可以均衡TCP和UDP的带宽使用,同时通过对路由器ICMP网络拥塞报文的处理,建立了高效的流量调节策略,并进行了网络仿真实验。实验结果表明,基于该机制的拥塞控制可以有效改善网络不同业务流带宽使用的不公平性。     

Embedded fuzzy expert system for Adaptive Weighted Fair Queueing

This paper introduces an embedded fuzzy expert system for Adaptive Weighted Fair Queueing (AWFQ) located in the network traffic router to update weights for output queues. WFQ algorithm allows differentiated service for traffic classes according to Quality of Service (QoS) requirements. Link sharing and packet scheduling methods are the most critical factors when guaranteeing QoS. There are many different scheduling mechanisms but adequate and adaptive QoS aware scheduling solutions are still in a phase of development due to the rapid growth of multimedia in the Internet. The proposed AWFQ model in this work simplifies the link sharing to two service classes: one for UDP and another for TCP. The implementation of the model is based on adaptive change of weight coefficients that determine the amount of allowed bandwidth for the service class. New weight coefficients are calculated periodically on routers according to developed embedded fuzzy expert system. It is shown through simulations that the AWFQ model is more stable and reacts faster to different traffic states than the traditional WFQ scheduler. The embedded expert system adjusts the weights of AWFQ with two parameters that are based on the share of the UDP and TCP input traffic data rate and the change of the share of the UDP and TCP input data rate.     

实时透明的状态检测防火墙的设计

防火墙是保障网络安全的核心设备。随着防火墙技术的发展,以包过滤和代理方式工作的防火墙已经不能满足网络安全的需要。本文设计了一个工作在双网卡PC机上的实时透明的状态检测防火墙,该防火墙基于透明网桥模式,建立在Linux的Netfilter的框架上,通过对TCP和UDP的各个状态进行实时记录和分析,维护一个在内存中的连接状态表,以实现实时的状态检测功能。     

区分服务中聚集流行为及其标记算法研究

区分服务是目前在IP网络服务质量控制方面被广泛采用的一种体系结构,它在网络边界对用户数据流聚集进行分类、测量、标记和整型,在网络核心转发,实现PHB,从而达到对不同类型的业务进行区别对待的目的.本文通过对UDP和TCP混合聚集流的行为特性分析,指出将UDP和TCP业务进行分离的必要性.通过对TCP聚集流的仿真实验和分析,阐述了TCP聚集流和单个TCP的行为差异、聚集流中具有不同RTT的TCP流的速率差别,以及聚集流中的流的数目和链路带宽对链路利用率的影响.最后通过对TSW2cm标记算法的仿真实验,分析了该算法在公平性方面的弱点,提出了一种基于TCP流状态信息的聚集流标记算法f-TSW2cm,并对算法进行了对比实验和结果分析.     

基于限速的Ad hoc网络混合流拥塞控制研究

主动队列管理(AQM)的基础是TCP反馈机制,所以AQM在处理UDP与TCP混合流时无法控制UDP流量,导致非视频流影响视频UDP的传输质量。根据TCP拥塞窗口特性和混合流排队机制,推导了Ad hoc网络TCP/UDP的AQM模型,据此提出了一种基于UDP限速的PI主动队列管理算法。限速算法根据实际流速与设定流速之差,标记非视频UDP分组优先级并按从低到高的顺序丢弃分组。NS仿真表明,与PI控制相比,新算法实现了非视频UDP的流量控制,提高了视频传输质量0.98dB的峰值信噪比。