TCP连接迁移在Linux环境中的实现

本文提出了TCP连接迁移的思想,介绍了Linux中TCP／IP协议栈的实现,重点讨论了在Linux操作系统环境中实现TCP连接迁移的技术,并探讨了它在基于请求内容调度的负载平衡技术中的应用前号。     

一种基于无状态连接请求验证的SYN湮没攻击防御方法

已有SYN湮没攻击检测防御技术存在一个共性缺陷，就是在验证连接请求有效前分配一定的系统资源保存连接状态，基于无状态连接请求验证的方法可以有效地解决这一问题，但已有的方法存在验证有效后无法完整建立TCP连接、通讯双方状态不一致等问题．本文提出一种新的基于无状态连接请求验证的网关级SYN湮没攻击防御方法，该方法在解决已有问题并兼容现有TCP／IP协议栈实现的基础上，可实现对不同操作系统SYN湮没攻击的有效防御．     

μ COS-Ⅱ下的嵌入式系统远程监控的实现

本文介绍了基于ARM微处理器的一种嵌入式远程监控系统,用于通过以太网实现对网络家电的远程控制。具体描述了TCP／IP协议栈和监控终端的软件设计方案;实现了远程监控终端对家电实时状态的监视并远程控制家电的运行。     

基于TCP/IP的操作系统的探测及防御技术研究

基于TCP/IP协议栈指纹的操作系统探测技术在网络安全中日益突显出重要作用。黑客利用它实施攻击而网络管理人员则可以发现网络漏洞,维护网络的安全。该文主要讨论了基于显式拥塞通告(ECN)检测、ICMP响应检测和基于UDP探测包检测的3种较新的,利用TCP/IP协议栈指纹进行操作系统识别的技术,这3种技术利用了TCP/IP协议族在实现上的差异完成操作系统的识别。最后编写对应的snort规则对这3种远程识别技术进行了检测,结果显示利用入侵检测系统检测这种探测包效果良好。     

网络视频监控系统中数据传输的实现

网络视频监控系统采用计算机网络技术、通讯技术、数字视频技术，需实现远程实时动态的图像传输。图像数据在网络上传输遵循TCP／IP协议，而Winsock提供了访问TCP／IP网络的捷径。在介绍Winsock网络编程接口原理的基础上，详细说明了如何利用Winsock编程解决网络视频监控系统中的数据传输问题。     

轻量级链式验证的网络传输层安全性增强方法

传输层是网络协议栈的关键组成部分, 负责为不同主机间的应用程序提供端到端的服务. 已有的传输层协议如TCP等为用户提供了基本的差错控制和确认应答等安全保护机制, 在一定程度上保证了不同主机间应用程序收发报文的一致性. 但现有的传输层安全保护机制存在严重的缺陷, 如TCP报文的序列号容易被猜测推理, 报文校验和的计算依赖于有漏洞的补码求和算法等. 这导致现有的传输层安全机制并不能保证报文的完整性和安全性, 从而允许一个远程的攻击者伪造出一个报文, 注入到目标网络流中, 对目标网络流形成污染或攻击. 针对传输层的攻击发生在网络协议栈的基础层次, 可以旁路掉上层应用的安全保护机制, 对网络基础设施造成严重的危害. 深入研究近年来针对网络协议栈的各种攻击和相关安全漏洞, 提出一种基于轻量级链式验证的传输层安全性增强方法LightCTL. 所提方法基于哈希验证的方式, 使TCP连接双方能够对传输层报文形成彼此可验证的共识, 避免攻击者或中间人窃取和伪造敏感信息, 从而解决网络协议栈面临的典型安全威胁, 包括基于序列号推理的TCP连接重置攻击、TCP劫持攻击、SYN洪泛攻击、中间人攻击、报文重放攻击等. LightCTL不需要修改中间网络设备如路由器等的协议栈, 只需对终端协议栈中的校验和相关部分进行修改, 因此方法易于部署, 同时显著提升了网络系统的安全性.     

实时内核μC/OS-II下的网络监控系统的设计

介绍了一种嵌入于单片机的Web服务器的设计过程,给出了单片机控制下的网络控制器RTL8019AS硬件平台的设计、精简的TCP/IP协议栈通过LAN访问Internet的应用方案。同时简明介绍了实时内核!C/OS-II对整个系统的管理方案,完成了对连接在系统I/O总线上的现有设备的监控。     

基于嵌入式软核Nios Ⅱ的网络视频监控系统

讨论NiosⅡ嵌入式系统的硬件/软件设计的关键流程,通过将LwIP协议栈和Linux操作系统移植到NiosⅡ系统,设计基于NiosⅡ软核处理器的网络视频监控系统.实验测试表明,合理选择微型操作系统MicroC/OS-U和TCP/IP协议栈LwIP,远端用户可以通过浏览器访问存储在本系统上的Web页面,同时实现实时的网络...     

一种低功耗以太网数据采集器的设计与实现

介绍一种基于PIC24单片机和ENC28J60网络驱动芯片的采集器设计,给出了详细的系统电路原理图、软件流程及TCP/IP协议栈uIP的移植及配置的方法;并以UPS远程监控系统为应用实例,采集器以Web服务器方式供计算机在远程浏览UPS现场的实时数据,实现远程监控功能.     

实时内核μC/OS-Ⅱ下的网络监控系统的设计

介绍了一种嵌入于单片机的Web服务器的设计过程,给出了单片机控制下的网络控制器RTL8019AS硬件平台的设计、精简的TCP/IP协议栈通过LAN访问Internet的应用方案.同时简明介绍了实时内核μC/OS-Ⅱ对整个系统的管理方案,完成了对连接在系统I/O总线上的现有设备的监控.     

一种改进的TCP连接迁移安全机制

TCP连接迁移技术使网络可以在主服务器发生故障的情况下稳定地提供服务。该文分析基于椭圆曲线Diffie-Hellman密钥协商的连接迁移安全机制中存在的中间人攻击问题,利用改进的Helsinki协议进行连接密钥的协商,提出一种新的安全机制。该机制有效地保证了迁移选项的安全,利用安全哈希算法的抗碰撞性和安全性使攻击者难以猜测出连接标志和请求。     

基于TCP／IP协议多客户连接的服务端程序实现

介绍了C／S架构中普遍采用的TCP／IP协议,以及运用该协议进行数据传输的网络通信机制,讨论了利用SOCKET套接字实现TCP传输控制协议的编程机理,重点剖析在VC＋＋开发平台上使用WinSocket API实现Socket套接字的系统调用方法,从而成功实现了基于TCP/IP协议的、多客户连接的服务器端程序的开发。     

基于Netfilter的连接限制的研究与实现

提出一种限制连接的方法。利用Netfilter／Iptables系统的扩展功能,创建一个可以对TCP和UDP连接数分别进行限制的Netfilter／Iptables模块。在该模块中,TCP连接限制算法利用了TCP连接的特性,而UDP连接限制算法利用了计时的方法。使用该模块可以方便有效地控制客户端的并发连接数。     

状态封包检测中的连接管理和调度策略-LASF

网络带宽的增长和频繁的网络攻击给状态封包检测等网络安全系统的性能带来了很大挑战。通过分析TCP连接建立延迟时间分布特性和连接逗留时间分布特性,设计了一个两级连接状态表,很好地解决了检测系统中的连接状态表急剧增长问题。然后,基于经典排队论和高速骨干网的TCP连接特性提出了一个流调度策略LASF(Least Attained Sojourn First)。通过实验证明,该策略能够在系统负载过重时显著提高系统的连接吞吐率等性能。     

PSO-SFDD: Defense against SYN flooding DoS attacks by employing PSO algorithm

A DoS attack can be regarded as an attempt of attackers to prevent legal users from gaining a normal network service. The TCP connection management protocol sets a position for a classic DoS attack, namely, the SYN flood attack. In this attack some sources send a large number of TCP SYN segments, without completing the third handshake step to quickly exhaust connection resources of the under attack system. This paper models the under attack server by using the queuing theory in which attack requests are recognized based on their long service time. Then it proposes a framework in which the defense issue is formulated as an optimization problem and employs the particle swarm optimization (PSO) algorithm to optimally solve this problem. PSO tries to direct the server to an optimum defense point by dynamically setting two TCP parameters, namely, maximum number of connections and maximum duration of a half-open connection. The simulation results show that the proposed defense strategy improves the performance of the under attack system in terms of rejection probability of connection requests and efficient consumption of buffer space.     

TCP/IP网络协议栈常见攻击技术与防范

本文介绍TCP／IP协议栈中网络层与传输层协议所存在的安全问题及黑客常用的攻击技术,包括网络层的IP源地址欺骗,ARP欺骗,ICMP路由重定向攻击,以及传输层TCP会话劫持,SYNFlood和UDPFlood攻击,并给出防范IP欺骗防范的最佳实践措施。     

基于ARM平台的车载定位系统设计

介绍了一种采用GPRS技术的车载定位系统软件设计。阐述了车载定位系统的组成结构和工作原理，并介绍了在ARM嵌入式系统中实现TCP／IP以及PPP等网络协议栈的方法。利用GPRS（General Packet Radio Service）永久在线、通信速率高等优势，系统实现了监控中心与车载终端之间信息的实时交互。而且系统的有效性、稳定性已经在实际应用中得到验证。     

基于包重传延时的主机操作系统探测技术的设计与实现

主机操作系统探测对于网络安全有重要的意义，它通过分析不同操作系统TCP／IP协议堆栈对数据包的不同响应来判断其性质．分析了现有的主机操作系统探测工具所面临的问题，并提出一种基于包重传延时的主机操作系统探测的思想及其实现。     

一种基于Active Replication的TCP连接容错技术

本文提出一种基于Active Replication的TCP连接容错技术（ARTCP）,采用两层的Cluster结构,并通过前端的分发器和聚合网关机维持多个同步的TCP连接副本,达到了相互容错的效果。测试结果表明,该技术不仅保证网络服务连接级的高可用性,而且具有恢复时间短、开销小的优势。