IPv6实验网的组建和测试分析

主要介绍设计、搭建IPv6实验网，并在此基础上捕获数据包，测试协议性能。通过分析数据包的结构，验证了IPv6网络的特点：地址匹配的方便性、数据报头的简洁性。通过设计和组建IPv6／IPv4双协议栈路由器，介绍了一种通过IPv4网络转发IPv6数据包的双协议栈隧道技术。     

IPv6报头安全威胁及检测*

经过对IPv6数据包报头格式的研究,提出了基于限制性策略的IPv6报头安全性检测算法。该算法根据IPv6协议规范和网络安全需求,按照各扩展报头的出现顺序、扩展报头和/或选项的组合构造及重复次数的特性来检测有潜在安全威胁的恶意IPv6数据包。实验结果表明,该算法有效且能够在一定程度上增强安全防护设备的检测能力。     

IPv6协议特性

主要介绍了IPv6协议的数据报头格式以及相对于IPv4的变化，就IPv6的重点问题地址容量、Q0s（服务质量）、安全性及移动性进行了详细的讨论，并介绍了3类IPv4向IPv6的过渡技术，即同时支持两种协议的双栈技术、采用IP数据包封装的隧道技术和透明转换技术。     

车载网络IPv6隧道的设计与实现

为了解决车载网关中异构网络与互联网的通信问题,设计了一种基于Linux虚拟设备的隧道,该隧道能实现IPv6数据包穿越NAT和CDMA的IPv4网络,并与车载异构网络互联。同时利用Linux中的模块动态加载特性及虚拟网络设备来灵活配置隧道参数,从模型层次上,在TCP/IP协议栈的网络层和物理设备驱动层之间设计了一个虚拟网络设备,所有的IPv6数据包在发送和接收之前均被本网络设备截获,并进行协议封装和解析。实验结果表明,该隧道可以高效稳定地使IPv6客户端穿越无线链路的IPv4网络,并与IPv6服务器端进行通信。     

IPv6-IPv4隧道技术的研究及实现

双栈技术,隧道技术,地址-协议转换是IPv4-IPv6过渡期实现两网共存的主要技术.其中隧道技术通过将IPv6数据包封装在IPv4分组中使得分布在IPv4网络中的IPv6节点能够相互通信.本文分析了常用的隧道技术,并实现了IPv6节点间手工隧道的建立.     

关注IPv6的安全——IPSec对网络层的保护

随着IPv4地址空间耗尽的迫近，人们加紧了对下一代互联网协议——IPv6的研究。到2004年初．IPv6协议的基本框架已经逐步成熟，在越来越广泛的范围内得到实践。由于IPv4设计时，只考虑了信息资源的共享。没有太多考虑安全的需求，这样在IPv4安全性先天不足的情况下，新推出的IPv6在安全性方面作了较大的改动。本文以IPv6为技术研究核心，详细分析了IPv6下的安全协议——IPSec的安全能力．IPSec安全体系的构成、IPSec的工作方式以及IPSec实现方式，论述了IPSec在IP报文的完整性．机密性、数据来源认证和抗伪地址等方面的能力以及IPSec的基本协议——认证报头(AH)和安全封装载荷报头(ESP)。     

IPv6网络环境中的多约束QoS路由算法

充分利用IPv6支持QoS的潜能,设计了一种基于扩散的多约束QoS路由算法。算法中利用IPv6数据包基本报头中的流标签字段唯一标识业务流并加速数据流的包分类,利用扩展报头中的逐跳扩展头记录业务流需求并完成接入控制,利用路由头记录扩散包的转发路径并实现及时反馈,解决民IPv4扩散算法很难同时支持多度量参数、很难及时反馈等问题,提高了实时流数据包的转发效率。     

基于Solaris 10的4over6机制设计

4over6机制是由清华大学网络协议测试实验室提出来的一种用于解决现存的IPv4网络通过IPv6主干网而互通问题的机制,它主要包括两个方面的内容:控制平面和数据平面.在控制平面4over6机制扩展了BGP-MP协议,使它能够在IPv6主干网供应商边缘路由器(PE router)之间传播4over6隧道端点信息,从而在IPv6主干网的供应商边缘路由器之间建立4over6自动隧道;数据平面主要负责对数据包进行转发以及加封装和解封装操作.Solaris 10操作系统是Sun公司的开源操作系统.对于在Solaris 10操作系统下面如何设计4over6机制进行了描述.     

基干Snort的IPv6协议分析技术

在TCP/IP协议的基础上,分别讨论了数据包的封装与分解,IPv6数据包结构和过渡技术,提出了一种准确高效的探测入侵的新技术-协议分析技术,然后详述了协议分析技术在Snort中的应用过程,详细介绍了IPv6解码的过程.结果表明:在Snort中添加IPv6解码模块,使Snort具有了对IPv6数据包的检测能力.     

基于性能提升的一种精简IPv6报头研究

IPv6基本报头占用40字节,长度是默认IPv4报头的两倍,从而加大了系统开销.系统开销的加大将占用更多带宽,加大延迟和降低IPv6数据包吞吐量,从而造成整个网络性能的下降.因此,设计一种适当的方法来抵消这种开销将大大改善IPv6的性能.根据长期研究,提出一种自定义IPv6报头格式,缩短传统IPv6报头的长度,减少系统开销.     

基于协议分析的IPv6入侵检测系统设计

目前的网络是基于IPv4的,但是IPv4的种种局限性限制了网络的持续高速发展.IPv6较IPv4有很多优势,例如:巨大的地址空间,自动配置机制,简化的报头结构,内置IPSec,扩展报头,以及对流标签的支持等等.目前对IPv6的安全问题研究主要集中在协议本身的安全,对上层的安全问题无法保障.就IPv6提出了一种基于协议分析方法的入侵检测模型.设计出的系统可以很好的应用于IPv6环境中,还可以适用于IPv4到IPv6过渡时期.     

一种改进的IPv4/v6网络入侵检测技术研究

IPv6较IPv4有很多优势,如几乎无限的地址空间、自动配置机制、简化的报头结构、内置IPScc协议、扩展报头以及对流标签的支持等。基于网络应用日益丰富,而网络安全的威胁无处不在,人们越来越重视网络通信的安全,入侵检测系统已经得到了非常广泛的应用。伴随着IPv6时代的到来,借鉴IPv4环境下入侵检测的架构,综合利用协议分析技术、网络审计技术,并结合双找技术,提出一种改进型IPv4/IPv6环境下入侵检测系统模型,期望能在IPv6环境中提供高效、准确的网络攻击等行为的检测服务。     

基于多类型数据包的IPv6防火墙防护能力评测方法

为测试IPv6防火墙对潜在IPv6网络威胁的防护能力,研究IPv6防火墙防护能力评测方法。通过对IPv6协议的研究,本文构造了针对ICMPv6、单一扩展报头、多扩展报头、分片、地址范围的五类存在安全隐患的测试数据包,构建了C/S架构的防火墙测试框架,并基于框架和测试数据包构建了用于各类测试的独立测试模块,搭建了可用于测试有状态防火墙的测试环境,并提供了相应的测试方法。利用本文所提出的方法,对思科ASA5505防火墙进行了测试,发现了它的一些优点与不足。     

基于IPv6的概率包标记路径溯源方案

针对现有IPv6路由追踪技术匮乏,以及IPv4路由追踪技术不能直接移植到IPv6网络环境中的问题,根据IPv6的自身特点,提出了一种基于概率包标记的IPv6攻击源追踪方案。该方案在原有IPv4概率包标记方法的基础上进行了有效的改进,重新规划标记区域,分别在IPv6的基本报头和扩展报头上划分合适的标识域和信息域,既解决标记空间不足的问题,又能规范标记信息的存放秩序;采用动态标记概率,区分对待未标记数据包和已标记数据包,解决标记信息覆盖问题,同时,优化标记算法,实现IPv6网络环境下路径追踪的快速、准确。理论分析与实验结果表明,该方案能有效追踪攻击源,且效果优于原IPv4追踪技术。     

基于IPv6 报头的隐蔽通道分析与防范

研究IPv6基本报头,从网络安全的角度出发,对其中可被用于隐蔽通道载体的字段及其隐蔽通道构建方法进行分析和探讨,在此基础上提出2类构建方法。探讨基于Hop-Limit字段的比特变换隐蔽通道构建方法,分别给出每种方法的通信容量等关键性能指标。对基于IPv6报头的隐蔽通道的防范措施进行讨论。     

IPv6下基于改进的SPIE源追踪方案

源追踪技术提供对真实攻击来源的有效追踪,有利于实时阻断、隔离DDoS等网络攻击。目前的源追踪方法大多是使用IPv4包头中很少使用的16位标识域保存经过的路由器信息,不适用于IPv6环境。本文提出一种IPv6下基于改进的SPIE源追踪方案。该方法利用路由器,使用Bloom filters数据结构保存转发的数据包的摘要,减少了耗费的存储空间,同时时保护了数据包的机密性;它不但适合DDoS攻击的源追踪,还能进行单个数据包的源追踪。     

MD5报文摘要算法与IPv6认证

MD5报文摘要算法是一种应用的提取数字指纹的算法。在IPv6中定义带密钥的MD5算法为其默认的认证算法。本文分析了IPv6的基本头标和认证头村的格式,详细剖析了MD5算法的工作原理,以及在IPv6中引入MD5作为其默认认证算法的方法。     

基于扩展头随机标记的IPv6攻击源追踪方案

针对IPv4网络环境下的随机包标记法不能直接应用于IPv6的问题,依据IPv6自身的特点提出了一种基于扩展报头随机标记的IPv6攻击源追踪方案。对IPv6报头进行分析研究,选取了合适的标记区域及编码格式,对PMTU算法进行了修改以更好地满足追踪的需要,采用攻击树生成算法重构攻击路径。理论分析与仿真实验结果表明,该方案能够有效地重构攻击路径,实现对IPv6攻击源的追踪。