支持IPv6/IPv4双栈的认证计费系统设计与实现

为了实现IPv6/IPv4双栈主机的认证授权,设计出了一种合理有效的认证计费方法。通过浏览器插件和认证页面特殊标记,获取双栈主机的IPv4和IPv6地址,提供给访问控制网关。根据IPv6/IPv4地址属性判断数据包合法性,传递合法数据包、丢弃或转发非法数据包。实践证明,该方案的可行性和良好的性能。     

IPv6下基于病毒过滤防火墙的设计与实现

包过滤防火墙无法检测出网络病毒,因此对其研究很有必要.设计的防火墙屏蔽了Linux自身的TCP/IP协议栈,重新构建了适合防火墙专用的TCP/IP协议栈,完成了防火墙上TCP协议的连接保持、数据包确认、文件传输等功能.防火墙主要考虑了HTTP协议下的文件过滤,使得内网主机在通过HTTP协议下栽文件时自动过滤病毒文件,保证内网主机的安全;防火墙以Linux可加栽内核模块形式实现,可以过滤链路层以上的各层;为提高病毒检测速度,提出了将病毒检测软件运行在核心态的方法.实验结果表明:设计的防火墙在性能和功能上都达到了预期目的.     

一个网络监控系统NMBPD的设计与实现

为了提高网络管理人员对广播网络的监控能力,提出一个基于NDIS协议驱动程序的网络监控(Network Monitoring Based on NDIS Protocol Driver,简称为NMBPD)系统模型.通过实现一个基于NDIS协议驱动程序的数据包捕获驱动程序,能高效地捕获原始数据包,此外,设计并实现一个轻量级的协议栈以及能处理4种最流行的应用层协议的解析器,并通过实验对NMBPD系统进行了测试.NMBPD系统可以监控广播网络上的所有主机的活动,降低了网络管理难度.     

基于的Linux网络防火墙中协议栈指纹的消除

提出了一种基于Linux的网络防火墙中协议栈指纹消除的方法，其基本思想是，动态地修改Linux内核的协议数据包处理流程，屏蔽掉操作系统对数链层以上的数据包处理流程，消除了操作系统所固有的协议栈指纹，可以较好地防范黑客对防火墙的攻击。     

基于SSDP和DNS-SD协议的双栈主机发现方法及其安全分析

随着全球互联网IPv4地址分配耗尽,IPv6开始加速推广和部署。双栈技术允许设备同时启用IPv4和IPv6 栈,这意味着用户暴露了双倍的安全风险。尽管现有的工作可实现对部分双栈服务器的识别和测量,但仍存在以下问题。首先,双栈主机识别需要对主机服务进行深层协议识别,然而这种方式会消耗过高的扫描资源。其次,实际的网络服务提供商有可能在分布式主机上提供一致的服务,使得通过服务指纹进行双栈主机判别的准确性难以保证。针对此问题,利用局域网服务发现协议将主机服务与 IP 地址绑定的协议特性,提出了基于SSDP和DNS-SD协议的双栈主机发现方法：在IPv4网络环境下,通过SSDP诱导目标主机主动向构建的IPv6服务器发送请求,然后从服务器日志中提取IPv6地址;或通过DNS-SD协议枚举目标主机的服务列表及其对应的AAAA记录,获取目标主机IPv6地址,实现双栈地址对的发现。该方法直接从IPv4主机获取其IPv6 地址,确保了发现的双栈主机的准确性,同时,在发现过程中只需要针对特定协议构造请求数据包,极大地节约了扫描资源。基于该方法,对全球IPv4网络意外暴露的SSDP主机和DNS-SD主机进行了测量,共收集到158 000个不重复的IPv6地址,其中55 000个为拥有全球可达IPv6地址的双栈主机地址对。与现有工作将测量目标聚焦于双栈服务器不同,该方法主要针对终端用户和客户端设备,构建了迄今为止尚未探索过的活跃IPv6设备独特集合及双栈主机地址对集合。通过对获取的IPv6地址编址类型的分析,随机生成已成为当前IPv6地址分配的主要方式,这一方式大大降低了IPv6主机被扫描发现的可能性。特别地,通过对双栈主机的开放端口和服务测量,发现双栈主机在不同协议栈上的安全策略差异：IPv6 栈上暴露了更多高风险服务,扩大了主机的攻击面。研究结果表明,IPv6 地址空间遍历扫描的不可行性缓解了 IPv6 的安全风险,但错误的网络配置大幅增加了这些高风险的IPv6主机被发现的可能性,用户应该重新审视双栈主机上的IPv6安全策略。     

基于Linux的网络防火墙中协议栈指纹的消除

提出了-种基于Linux的网络防火墙中协议栈指纹消除的方法,其基本思想是:动态地修改Linux内核的协议数据包处理流程,屏蔽掉操作系统对数链层以上的数据包处理流程,消除了操作系统所固有的协议栈指纹,可以较好地防范黑客对防火墙的攻击。     

基于网络化管理的报警主机系统设计

设计了一种高性价比的报警主机系统,该系统引入虚拟键盘和控制台PC机,实现了对接入以太网的报警主机系统的网络化控制.详细介绍了该系统硬件软件的实现方案,提出了报警主机与虚拟键盘的通信协议以及采用非完全TCP/IP协议栈时的网络故障恢复机制.实践表明,该系统运行稳定,具有较强的抗网络干扰能力,达到了网络化管理报警主机系统的设计目标.     

基于Linux系统的数据包截获技术研究

网络数据包截获技术是指利用计算机技术截获网络上的数据包,然后根据数据包头部的源主机地址、目标主机地址、服务协议端口等字段特性过滤掉不关心的数据,再将用户感兴趣的数据发送给更高层的应用程序进行分析.文章探讨了基于Linux系统下数据包截获技术.     

被动式TCP/IP指纹识别操作系统

不同操作系统对TCP/IP协议族中的可选项设置不同,组合这些可选项可以表征OS类型,这些与操作系统识别有关的项被称为操作系统TCP/IP协议栈指纹。本文通过VC 6.0 Winsock网络编程简单实现操作系统类型的被动式识别,即在不主动向目标主机发送数据包的前提下探测其OS类型。     

基于网络安全芯片的DDoS攻击识别IP核设计

分布式拒绝攻击(distributed denial of service, DDoS)作为一种传统的网络攻击方式,依旧对网络安全存在着较大的威胁.本文研究基于高性能网络安全芯片SoC+IP的构建模式,针对网络层DDoS攻击,提出了一种从硬件层面实现的DDoS攻击识别方法.根据硬件协议栈设计原理,利用逻辑电路门处理网络数据包进行拆解分析,随后对拆解后的信息进行攻击判定,将认定为攻击的数据包信息记录在攻击池中,等待主机随时读取.并通过硬件逻辑电路实现了基于该方法的DDoS攻击识别IP核(intellectual property core), IP核采用AHB总线配置寄存器的方式进行控制.在基于SV/UVM的仿真验证平台进行综合和功能性测试.实验表明, IP核满足设计要求,可实时进行DDoS攻击识别检测,有效提高高性能网络安全芯片的安全防护功能.     

面向数据链路层的网络嗅探器的开发与实现

给出了一种在数据链路层上开发网络嗅探器的方法。该方法实现的嗅探器能够直接通过网卡驱动程序捕获网络上的数据帧,适用于各种类型数据包的捕获,比在协议栈的网络层捕获数据包具有更强大的功能。     

被动式TCP／IP指纹识别操作系统

不同操作系统对TCP／IP协议族中的可选项设置不同,组合这些可选项可以表征OS类型,这些与操作系统识别有关的项被称为操作系统TCP／IP协议栈指纹。本文通过VC＋＋6．0Winsock网络编程简单实现操作系统类型的被动式识别,即在不主动向目标主机发送数据包的前提下探测其OS类型。     

基于Winsock技术的数据包解析研究

数据包解析技术是数据包过滤的基础。对数据包进行解析,是基于数据包过滤的防火墙要解决的核心问题,构造数据包的协议有很多种,要根据构造数据包的协议对该包进行处理,要正确理解在网络中传榆的单元,进而才能很好地控制网络单元的传输,实现数据包的过滤。Winsock的服务提供者编程接口的编程技术,打破了底层网络服务提供者的透明性,提供了修改系统SPI接口服务的可能性,利用这项技术能比较容易地完成数据包过滤功能,具体地说就是能增加一些自定义的功能函数,来实现数据包通信的控制,比如截获、转发、丢弃数据包等功能,也就是所说的防火墙实现的功能。当然也可以在这个基础上延伸下去,从而可以完成诸如传输质量控制、扩展TCP／IP协议栈、URL过滤及网络安全控制等功能。     

IPv6与第三层交换

国际互联网络有关机构正在考虑修改旧的体系结构,用IPv6取代现有的IPv4。因而了解IPv6与第三层交换的关系十分重要。IPv6可以更容易地实现某些方式第三层交换。 两个主机之间开始通信时,最基本的一点就是必须要知道将数据包发送到对方的方式。对于TCP/IP网络,不属于同一个IP子网的主机做第三层交换时,就必须首先知道对方地址,直接发送给对方;或知道中转设备(路由器/交换机等)的地址,由中转设备转发。在不知道对方地址的情况下,主机和转发设备就要借助传统的路由过程。两个主机之间通信的第一个数据包按常规的路由处理转发,在第一个数据包成功地从源发送到目的之后,中转     

IPv6实验网的组建和测试分析

主要介绍设计、搭建IPv6实验网，并在此基础上捕获数据包，测试协议性能。通过分析数据包的结构，验证了IPv6网络的特点：地址匹配的方便性、数据报头的简洁性。通过设计和组建IPv6／IPv4双协议栈路由器，介绍了一种通过IPv4网络转发IPv6数据包的双协议栈隧道技术。     

Isatatp隧道的研究和分析

分析了IPv6-IPv4隧道技术的原理,阐述了双栈主机通过ISATAP接入IPv6站点方法,并设计了抓包实验,利用sniffer软件对ISATAP隧道建立时的路由请求包以及隧道建立完成后的通信数据包进行了分析.分析表明,ISATAP隧道是一种较好的IPv4-IPv6过渡技术.     

伪主机模型及实现技术

在分析传统蜜罐系统实现技术的基础上,提出一种基于共享宿主机(镜子主机)协议栈且通过协议栈的反射实现数据报接收和发送处理的伪主机模型。在使用伪主机构建的蜜罐系统中,响应针对伪主机请求的诱骗源和伪主机分层管理,降低了蜜罐系统本身被入侵的风险;通过对当前网络中IP资源和主机的端口资源进行全局管理,为网络中已使用的IP地址部署诱骗源。实验结果表明该系统具有较好的诱骗效果。     

基于IPv4与IPv6技术相结合校园网络建设

针对新、旧校园网络问题的差异,对新校园网络采取IPv6技术,而旧校园使用IPv4技术,以上两者的连接使用双栈IPv4/IPv6过渡技术,校园网的三层设备均同时执行IPv4路由协议与IPv6路由协议。查询域名系统DNS能够明确双协议栈主机中目的主机的具体地址,而双栈终端IPv4与IPv6网关均分布于汇聚三层交换机中。以上校园网络建设方式具有成本低、能源消耗少、减少周期短等特点,对于校园网络建设来说综合性价比较高。     

一种基于Linux内核的IPsec协议栈设计

随着开源技术的不断发展,Linux在各大领域得到了广泛的应用,在嵌入式设备领域,大量工业控制设备、路由交换设备、网络安全设备等基于Linux内核研发,并得到了广泛的应用。在网络安全领域,VPN技术作为解决网络通信机密性以及完整性的手段,广泛用于各类业务系统的安全保障。本文开展了基于Linux内核的IPsec协议栈设计,对网络数据包在数据出入栈等环节的处理流程进行了优化处理以及详细说明。实践证明该IPsec协议栈设计可以有效满足网络数据通信加密的需求。     

必须掌握的八个cmd命令

一、ping 它是用来检查网络是否通畅或者网络连接速度的命令.作为一个生活在网络上的管理员或者黑客来说,ping命令是第一个必须掌握的DOS命令.它所利用的原理是这样的:网络上的机器都有唯一确定的IP地址.我们给目标IP地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包我们可以确定目标主机的存在,可以初步判断目标主机的操作系统等.下面就来看看它的一些常用的操作.先看看帮助吧,在DOS窗口中键入:ping/?回车.可以打开帮助画面.在此,我们只掌握一些基本的很有用的参数就可以了(下同).