icmp協(xié)議范文

時間:2023-04-07 23:38:15

導語:如何才能寫好一篇icmp協(xié)議,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

icmp協(xié)議

篇1

引言

無線局域網(wǎng)被認為是下一代IT產(chǎn)業(yè)發(fā)展的是大推動之一,被IT業(yè)賦予了極大的希望。無線局域網(wǎng)802.11系列標準的MAC協(xié)議是一樣的,只是在物理層上有差異,因此對802.11MAC協(xié)議的開發(fā),不論是在802.11b流行的今天,還是802.11g可能會成為主流的將來,都是很有意義的。當然,ARM以其先進的體系結(jié)構(gòu)已經(jīng)成為嵌入式市場的RISC標準,因此基于ARM的IEEE802.11MAC協(xié)議的開發(fā)是很有現(xiàn)實意義的。

我們的開發(fā)流程如圖1所示。

PC軟件開發(fā)是指脫離硬件的嵌入式軟件開發(fā)階段。此階段可以在各種IDE環(huán)境下進行開發(fā),并進行軟仿真來驗證軟件的邏輯正確性。然后將開發(fā)出來的PC軟件結(jié)合硬件所需要的硬件相關(guān)代碼向硬件平臺進行移值調(diào)試。前兩個階段完成后就得到了開發(fā)的最終成品。

1 協(xié)議結(jié)構(gòu)

IEEE802.11MAC協(xié)議的SDL描述可以分為以下幾個功能模塊,如圖2所示。

*MAC數(shù)據(jù)服務模塊:向LLC層提供MAC層的數(shù)據(jù)服務接口。

*MPDU生成模塊:將MSDU(MMPDU)生成MPDU,并對MPDU分段、加密以及進行排隊管理。

*協(xié)議控制模塊:完成DCF、PCF下的各種協(xié)議控制功能,包括RTS/CTS、ACK、ATIM、CF-ACK等,并根據(jù)信道狀態(tài)請求退避,在傳送數(shù)據(jù)挫敗后控制重傳等。該模塊還負責對所有接收到的MAC幀進行分類,按不同的類型送到不同的模塊進行處理。

*發(fā)送模塊:將MAC幀以字節(jié)流的形式發(fā)送到物理層,完成實際的發(fā)送過程。這個模塊中要完成對整個發(fā)送幀產(chǎn)生CRC校驗,向發(fā)送的beacon幀中加入時戳用來進行時間同步。這個模塊還負責處理底層獲得的當前信道的狀態(tài),完成協(xié)議要求的隨機退避功能。

*接收模塊:對從物理層接收到的幀進行CRC校驗。如果正確接收的話,則進行地址過濾,丟棄目的地址不是自己的幀。如果數(shù)據(jù)是經(jīng)過分段的話,還有進行數(shù)據(jù)分段的重裝,然后將接收幀送往協(xié)議控制模塊進行分類處理。同時,這個模塊還要提取接收幀中的信道保留信息,結(jié)合信道上有無載波的狀況綜合判斷信道的狀態(tài),并把信道的狀態(tài)送往發(fā)送模塊來協(xié)調(diào)退避功能的完成。

*MAC管理實體模塊:是管理核心,完成所有的管理功能,包括掃描、入網(wǎng)、認證、解認證、關(guān)聯(lián)、解關(guān)聯(lián)、重新關(guān)聯(lián)、beacon幀的發(fā)送、站點狀態(tài)管理等功能。

*MAC管理服務模塊:提供MAC管理接口,包括MIB庫的管理,對MIB庫的訪問,并將管理接口傳來的管理服務請求送到MLME模塊進行實際處理,將結(jié)果返回給管理接口。

2 協(xié)議實現(xiàn)

IEEE802.11MAC協(xié)議的SDL流程中各模塊之間的交互是通過信號的方式來完成的,模塊之間通過交互信息來協(xié)調(diào)工作,并且完成各種MAC幀的結(jié)構(gòu)之間的傳遞。我們將信號定義為Signal(PID,SID,Param)參數(shù)PID用來標準信號的目的模塊,SID用來標志信號在目的模塊中由哪個函數(shù)來處理,參數(shù)Param是一個指向存儲區(qū)的指針,存儲區(qū)里存放的是信號所要傳遞的信息。為了能使整個協(xié)議在信號的驅(qū)動下運行,需要由一個功能實體來完成信號的處理過程。這里采用的是一個循環(huán)隊列來存放產(chǎn)生的信號,由主循環(huán)程序來不斷檢測隊列中的信號,根據(jù)信號的PID和SID調(diào)用相應模塊里的信號處理函數(shù)進行處理。

協(xié)議中還涉及大量的比較判斷和定時操作,當比較成立或定時到期后,進入相應的處理程序。其實,我們可以認為當比較成立或時間到期產(chǎn)生相應的信號,然后由信號處理機制來完成后續(xù)的工作。我們所要做的只是定義一個比較隊列和一個定時隊列,比較操作加到比較隊列中,定時操作加到定時隊列中,由主循環(huán)檢測這兩個隊列。當某個比較判斷成立時或某個定時期時從相應的隊列中取出,然后再以信號方式加入到信號隊列中去。因此我們將比較操作和定時操作分別定義為:

Compare(PID,SID,Param11,Param12,Param21,Param22,Param31,Param32);

Timer(PID,SID,Time);

PID、SID標志比較成立或定時到期時產(chǎn)生的信號,Paramil、Parami2(i=1,2,3)為比較操作中需要進行比較的幾對數(shù)據(jù)。Time為定時操作中設定的定時值。

上面介紹的機制建構(gòu)了協(xié)議框架,然后在這個框架基礎上按照SDL流程編寫相應的信號處理函數(shù)就要吧實現(xiàn)整個協(xié)議。

前期協(xié)議開發(fā)了驗證邏輯上的正確性。我們在Microsoft Visual C++環(huán)境下進行開發(fā)并進行了軟仿真,結(jié)果表明所開發(fā)的設計在邏輯上是正確可行的。

3 協(xié)議向ARM平臺的移植

我們所使用的ARM硬件平臺ARM anywhere II采用的是三星公司的ARM芯片S3C4510B。S3C4510B是采用ARM7TDMI核的高性價比RISC微控制器,特別適用于網(wǎng)絡應用系統(tǒng)。

我們開發(fā)了一個軟件模塊PHY來模擬物理層收斂過程子層(PLCP),對于物理介質(zhì)依賴子層(PMD)我們沒有實現(xiàn)。這并不影響MAC協(xié)議的開發(fā)。LLC層的數(shù)據(jù)通過PC串口發(fā)送到ARM平臺來模擬,數(shù)據(jù)經(jīng)過MAC處理后送到PLCP子層,然后由PLCP子層直接發(fā)送。數(shù)據(jù)發(fā)送通過ARM的通用I/O來實現(xiàn),發(fā)送速率由S3C4510B的定時器來控制。

在將802.11MAC協(xié)議向ARM平臺的移植方案中,有一部分代碼的執(zhí)行是依賴于ARM平臺的。這部分代碼的移植工作需要特別注意,包括以下幾個方面:

①定時器。協(xié)議中要求的隨機退避過程需要底層周期性的送slot來進行,這個周期性 slot需要用定時器來實現(xiàn)。協(xié)議中的網(wǎng)絡分析矢量NAV需要用定時器來實現(xiàn),以判斷NAV的狀態(tài)。協(xié)議中定義的幾種幀間隔IFS(SIFS、DIFS、PIFS、EIFS)也需要利用定時器來實現(xiàn)。

②外部中斷。802.11MAC協(xié)議中一個重要部分就是載波監(jiān)聽。當信道狀態(tài)變化時(由忙到閑,由閑到忙)都要給負責監(jiān)聽信道狀態(tài)的模塊一個指示(CCA),指示當前的信道狀態(tài)。這個過程可以由S3C4510B ARM芯片的外部中斷來很好地實現(xiàn)。由于S3C4510B ARM芯片可以對中斷檢測方式進行配置,可以將中斷檢測方式配置為上升沿和下降沿均觸發(fā)中斷,這些就能很好地模塊協(xié)議的中物理載波監(jiān)聽(CS)。

③I/O。模擬PLCP子層的數(shù)據(jù)收發(fā),一共用到8個I/O端口,一次發(fā)送8位。在發(fā)送數(shù)據(jù)時,還使用了一個I/O端口作為發(fā)送指示。這個I/O端口通過信道模擬器連接到其它節(jié)點的用來監(jiān)聽信道狀態(tài)的外部中斷引腳上。

④UART。我們用UART來實現(xiàn)PC和ARM的通信。一些管理命令,例如掃描、入網(wǎng)、認證、關(guān)聯(lián)、解認證、解關(guān)聯(lián),節(jié)點的配置信息例如MAC地址等都可以從串口來發(fā)送給ARM。另外,所有發(fā)送的數(shù)據(jù)都會通過串口傳送給ARM進行發(fā)送,所有接收到的數(shù)據(jù)將通過串口回傳給PC。

⑤以太網(wǎng)控制器。以太網(wǎng)控制器在AP中是比較有用的。由于AP之間是通過有線的骨干網(wǎng)(backbone)來進行連接的,從而組成了分布式系統(tǒng)(DS),以太網(wǎng)控制器已經(jīng)集成了IEEE802.11接口,就為實現(xiàn)這個有線的backbone提供了便利。

4 硬件仿真環(huán)境

圖3中,IEEE802.11MAC協(xié)議和PLCP子層模擬模塊都都在ARM平臺上,串口通信程序運行在PC上。它和ARM的UART進行通信用于模擬LLC層數(shù)據(jù)服務和上層的管理服務,同時它還可以顯示節(jié)點的運行狀態(tài)和當前的網(wǎng)絡狀態(tài)。

下面介紹一下我們使用的簡易信道模擬器的原理。信道模擬器對應每個節(jié)點(ARM平臺)有一套接口,其中有8個I/O用于數(shù)據(jù)傳輸。由于無線信道是開放式的,一個節(jié)點發(fā)送時其它節(jié)點都能收到,因此在信道模擬器中每個節(jié)點的8個I/O是兩兩相通的,這樣就能保證一個節(jié)點發(fā)送時其它節(jié)點都能收到。另外,由于要模擬信道上的載波監(jiān)聽過程,我們用到了ARM上的外部中斷用做載波監(jiān)聽位(CS),然后用一個I/O發(fā)送指示(TR)。這樣,信道模擬器上要維持任何一個節(jié)點的CS位,都與其它節(jié)點的TR有一定的邏輯關(guān)系,例如,當一個節(jié)點發(fā)送時,將其TR置為0(0表示信道變忙,ARM引腳初始電平為高電平1),則這個0應該立即能反映到其它節(jié)點的CS位上從而產(chǎn)生中斷,其它節(jié)點都會知道信道變忙而開始從信道接收數(shù)據(jù)。同時,當節(jié)點發(fā)送完畢后將TR置為1,其它節(jié)點就會產(chǎn)生中斷并且檢測到CS位為1從而知道信道變閑,接收結(jié)束。

實際的信道模擬支持兩個基本服務區(qū)(BSS)組成的分布式系統(tǒng)(DS),每個BBS內(nèi)支持1個AP和2個普通節(jié)點。這內(nèi)部的邏輯關(guān)系用可編程邏輯器件實現(xiàn)。

5 移植過程中的注意事項

PHY軟件模塊模擬PLCP子層,負責完成要求的載波監(jiān)聽和數(shù)據(jù)收發(fā)時的定時控制。這些功能都是采用中斷方式實現(xiàn)的,因此要求代碼執(zhí)行速率要快。這里使用匯編語言開發(fā)來提供代碼的執(zhí)行效率。

為了獲得較高的代碼執(zhí)行速率和快速的中斷響應,要求所有協(xié)議代碼和中斷服務程序都在SDRAM中執(zhí)行。這就涉及到在設計ARM的初始化代碼時要正確配置相應的存儲區(qū)控制寄存器,并且完成代碼的搬移和地址的重映射。

圖3

    ARM的初始化代碼包括:

*定義入口點(entry point)。

*定義異常向量表,用來處理各種CPU異常,其中包括中斷。

*配置SDRAM和Flash的地址范圍、時序等參數(shù),以使這些存儲器能正常工作。

*代碼搬移。程序代碼一般應從Flash調(diào)入SDRAM中運行,以提高系統(tǒng)的運行速度。同時,系統(tǒng)及用戶堆棧、運行數(shù)據(jù)也都放在SDRAM中。

*對SDRAM進行地址重映射,從初始時地址空間的高端搬移到0x0開始的位置。

*初始化堆棧。

*初始化存儲區(qū)。

*根據(jù)需要改變處理器工作模式。

*開中斷。

*到C程序代碼入口點開始執(zhí)行。

另外,移植過程中還要考慮的一個問題是內(nèi)存分配的問題。嵌入式系統(tǒng)中對內(nèi)存的分配,一般來說要求快速可靠并且有效,實際上就是在采用靜態(tài)分配內(nèi)存還是動態(tài)分配存的問題。如果系統(tǒng)要求對實時性要求高并且不能容忍分配失敗,這時就需要采用靜態(tài)分配內(nèi)存。采用靜態(tài)分配一個不可避免的問題就是系統(tǒng)失去了靈活性,必須在設計階段就預先估計所需要的內(nèi)存并對其作出分配,并且要考慮到所有可能的情況。我們在移植過程中,考慮到實時生和可靠性是我們的主要目標,并且我們的ARM平臺具有較大的存儲區(qū),因而采用了靜態(tài)分配的方式。

篇2

關(guān)鍵詞:內(nèi)網(wǎng)安全 ICMP 主機探測

1引言

隨著計算機網(wǎng)絡的飛速發(fā)展,信息網(wǎng)絡已經(jīng)成為社會發(fā)展的重要保證。信息網(wǎng)絡涉及到國家的政府、軍事等諸多領(lǐng)域。提起網(wǎng)絡安全,人們自然就會想到病毒破壞和黑客攻擊,其實不然。常規(guī)安全防御理念往往局限在網(wǎng)關(guān)級別、網(wǎng)絡邊界(防火墻、漏洞掃描、防病毒、IDS)等方面的防御,重要的安全設施大致集中于機房或網(wǎng)絡入口處,在這些設備的嚴密監(jiān)控下,來自網(wǎng)絡外部的安全威脅大大減小。相反,來自網(wǎng)絡內(nèi)部的計算機客戶端的安全威脅卻是眾多安全管理人員所普遍反映的問題。因此,內(nèi)網(wǎng)安全問題也成為現(xiàn)在網(wǎng)絡建設中不得不考慮的問題。

2相關(guān)技術(shù)

2.1網(wǎng)絡探針技術(shù)

網(wǎng)絡探針是對接入網(wǎng)絡的計算機終端進行接入控制的一種程序,它由網(wǎng)絡探針服務器和網(wǎng)絡探針客戶端兩部分組成。它能夠監(jiān)測到同一子網(wǎng)內(nèi)沒有安裝運行指定程序或沒有進行入網(wǎng)授權(quán)的計算機,并采取措施自動將其引導至指定服務器下載指定程序或申請入網(wǎng)授權(quán),也可以直接阻斷這些計算機的網(wǎng)絡通信。網(wǎng)絡探針的主要功能有以下2個方面。

1. 網(wǎng)絡探針的輪詢功能

由哪臺計算機終端擔任網(wǎng)絡探針角色是網(wǎng)絡探針服務器在安裝有網(wǎng)絡探針客戶端的計算機終端中自動指定的,不需要網(wǎng)絡管理員的特別指定。網(wǎng)絡探針輪詢功能的優(yōu)點是只要同一子網(wǎng)內(nèi)的計算機終端有一臺運行網(wǎng)絡探針客戶端,就可以保證網(wǎng)絡探針對整個網(wǎng)絡探測子網(wǎng)生效。

2. 網(wǎng)絡探針的阻斷計算機終端訪問網(wǎng)絡工作模式

網(wǎng)絡探針可以利用ARP重定向技術(shù)阻斷網(wǎng)絡探針檢測到的沒有安裝指定程序或授權(quán)的計算機終端試圖訪問網(wǎng)絡的行為。同理,在網(wǎng)絡探針的阻斷計算機終端訪問網(wǎng)絡工作模式下,沒有安裝指定程序或授權(quán)的計算機也是無法和內(nèi)網(wǎng)中的其他計算機終端進行通信的。

2.2活動主機探測技術(shù)

活動主機探測[2]是一項探測本地或者遠程主機存活情況的技術(shù),它給端口掃描和操作系統(tǒng)指紋探測提供活動主機?;顒又鳈C探測是向目標主機或目標主機的指定端口發(fā)送探測數(shù)據(jù)包,并記錄目標主機的響應通過分析響應的數(shù)據(jù)包來判斷目標主機是否存活。本文用到的活動主機的探測常用方法是ICMP ping:

ICMP ping[3]

向目標主機發(fā)送 ICMP 回顯請求( echo request ICMP 類型為8)報文,期待從運行的主機得到ICM回顯應答( echo reply,ICMP type 0)報文,從而判斷出目標主機的存活狀態(tài)。通過采用并行輪轉(zhuǎn)形式發(fā)送大量的ICMP ping 請求,可以用來對一個網(wǎng)段進行大范圍的掃射,由此來確定主機存活情況。盡管并行輪轉(zhuǎn)探測的準確率和效率都比較高,但是一般的邊界路由器或防火墻都通過阻塞 ICMP 數(shù)據(jù)報限制ICMP ping探測。ICMP回顯請求是標準的ICMP ping 查詢,除了ICMP 回顯請求以外,在ICMP 掃描技術(shù)中也用到Non ECHO ICMP 技術(shù)。這種技術(shù)中主要用到 ICMP 時間戳請求、ICMP 地址掩碼請求和ICMP 信息請求。雖然這些查詢是用來獲得主機信息如當前時間或地址掩碼,但它們也可以很容易的用于主機發(fā)現(xiàn),即有回應的主機就是活動的主機。當有些主機封鎖了ICMP 回顯請求數(shù)據(jù)報而忘了封鎖其它的ICMP ping查詢,這時用Non ECHO ICMP技術(shù)探測活動主機是很有價值的。

3基于內(nèi)網(wǎng)安全的ICMP探測工具設計與實現(xiàn)

內(nèi)網(wǎng)計算機監(jiān)控系統(tǒng)[4-5]是為了高效安全管理好內(nèi)網(wǎng)的所有計算機而建立的一種管理系統(tǒng),是信息化建設、信息安全的重要保障。對于該基于ICMP協(xié)議的探針工具,本文采用如下圖1的原理框圖:

該探針工具采用的是發(fā)送端加接收端的結(jié)構(gòu),其中ICMP協(xié)議為探測數(shù)據(jù)包的發(fā)送提供協(xié)議基礎,而winpcap和socket則分別為發(fā)送端和接收端提供通信機制。首先,在處在A網(wǎng)絡的發(fā)送端整理好需要探測的目的主機地址或是目的網(wǎng)段網(wǎng)關(guān)地址。然后,為每個地址構(gòu)造擁有偽造的源地址(即B網(wǎng)絡接收端IP地址的)和指定的ICMP報文數(shù)據(jù)區(qū)內(nèi)容的echo-request請求包并發(fā)送。當同時身處A、B兩個網(wǎng)絡的PC主機收到請求后,會以為是B網(wǎng)絡的接收端所在IP對其的請求而予以回應。之后,接收端截獲其所有ICMP數(shù)據(jù)包并解析其詳細數(shù)據(jù)區(qū)內(nèi)容。如若發(fā)現(xiàn)有與我們預先設置的數(shù)據(jù)區(qū)內(nèi)容相同的數(shù)據(jù)包存在,則可根據(jù)該包的源地址確定雙網(wǎng)絡主機在A網(wǎng)絡的具體IP地址,從而及時發(fā)現(xiàn)雙網(wǎng)絡主機的存在。

4工具測試

測試原理圖:

圖中探測段2對應的主機PC2安裝ICMP探測工具,擔任網(wǎng)絡探針角色。實驗結(jié)果表明,在沒有防火墻的情況下,利用“雙探針”配合偽造地址的ICMP請求的方法可以探測到非正常的“雙網(wǎng)絡”PC3的私接。若被探測主機防火墻開啟,則捕獲不到來自被探測主機的ICMP應答報文。

5總結(jié)

基于ICMP的“探針”工具在沒有防火墻的情況下可完成對“雙網(wǎng)絡”主機的探測功能,起到檢測內(nèi)網(wǎng)主機安全性的作用,防止偽造假冒地址主機的欺騙性攻擊,可在內(nèi)網(wǎng)安全監(jiān)測中起到一定作用。

參考文獻:

[1]孫大躍,王衛(wèi)亞.計算機網(wǎng)絡—原理、應用和實現(xiàn)[M].北京:清華大學出版社,2007:114-116.

[2]張國林,于海英,楊松濤.活動主機探測 [J].佳木斯大學學報,2007,25 ( 3):305-307

[3]杜樹杰.基于ICMP協(xié)議的Ping主機探測 [J].計算機系統(tǒng)應用,2009,(12): 212-214.

篇3

【關(guān)鍵詞】蜜罐;指紋匹配;相關(guān)函數(shù)

1 Honeyd軟件介紹

Honeyd是由Niels Provos創(chuàng)建的一種具有開放源代碼的輕型低交互級別的蜜罐,除了具有蜜罐的共性――引誘攻擊者的攻擊外,它自身的設計特點不但可以使Honeyd更有效的完成任務,還能開發(fā)出許多新的應用出來。它可以同時模仿400多種不同的操作系統(tǒng)和上千種不同的計算機。

Honeyd有如下特點:

第一,Honeyd可以同時模仿上百甚至上千個不同的計算機,大部分蜜罐在同一時間僅可以模仿一臺計算機,而Honeyd可以同時呈現(xiàn)上千個不同的IP地址。

第二,可以通過簡單的配置文件對服務進行任意配置,可以對虛擬的主機進行ping操作或者進行traceroute,Honeyd可以根據(jù)簡單的配置文件對虛擬主機的任何服務進行任意的配置,它甚至可以作為其他主機的。

第三,可以在TCP/IP層模仿操作系統(tǒng),這就意味著如果有人闖入用戶的蜜罐時,服務和TCP/IP都會模擬操作系統(tǒng)做出各種響應。當前,還沒有任何其他的蜜罐具有這種功能,可以完成的工作包括虛擬nmap和xprobe,調(diào)節(jié)分配重組策略以及調(diào)節(jié)FIN掃描策略。

第四,可以模擬任何路由拓撲結(jié)構(gòu),可以配置等待時間和丟包率。

第五,作為一種開放源代碼的工具,Honeyd可以免費使用,同時也迅速成為了很多安全組織的開發(fā)源代碼的一部分。

2 Honeyd邏輯結(jié)構(gòu)

Honeyd結(jié)構(gòu)由以下幾個部件組成:配置數(shù)據(jù)庫,中心數(shù)據(jù)包分配器,協(xié)議管理器,服務處理單元,特征引擎,可選的路由器部分。Honeyd的邏輯結(jié)構(gòu)如圖1所示:

圖1 Honeyd的邏輯結(jié)構(gòu)

各部分的功能分別為:

路由器:路由數(shù)據(jù)包到達某個虛擬蜜罐所在的地址,會產(chǎn)生三種情況:沒有找到目的地址而丟棄數(shù)據(jù)包;沒有找到目的地址,但是可以把數(shù)據(jù)包交付給下一個路由器;可以直接把數(shù)據(jù)包交付給目的地址。路由是一個可選擇的邏輯部件。

數(shù)據(jù)包分配器:該邏輯部件核查IP數(shù)據(jù)包的長度,對IP數(shù)據(jù)包進行正確性檢查,核實確認序列號。分配器只對協(xié)議管理器分配三種數(shù)據(jù)包:ICMP、UDP、TCP。其他協(xié)議的數(shù)據(jù)包會被丟棄并且不做任何記錄。

協(xié)議管理器:它包括ICMP/UDP/TCP協(xié)議管理和服務處理單元。ICMP協(xié)議管理支持ICMP請求。默認的,所有的蜜罐配置都響應回射請求和處理目標主機不可達信息;TCP和UDP協(xié)議管理器和服務處理單元能夠?qū)ν饨⑻囟ǚ盏倪B接。服務的行為完全依賴于外部應用。TCP協(xié)議管理器能夠很好的支持三次握手的建立和FIN或RST的拆卸,但是還不能很好地支持窗口管理和擁塞控制。

特征引擎:將對發(fā)送的所有數(shù)據(jù)包進行指紋匹配,以便在指紋識別工具前能很好地隱蔽。

配置數(shù)據(jù)庫:它當中包含了一切配置參數(shù),例如虛擬蜜罐的IP地址、默認的ICMP響應,虛擬鏈路的網(wǎng)絡屬性,指紋數(shù)據(jù)等。

3 關(guān)鍵技術(shù)

Honeyd能夠虛擬蜜罐,并且能夠利用這些虛擬的蜜罐構(gòu)建松散的虛擬蜜罐網(wǎng)絡或有層次結(jié)構(gòu)的虛擬蜜罐網(wǎng)絡,這些虛擬的蜜罐網(wǎng)絡中甚至可以包含真實的主機。然而Honeyd要構(gòu)建虛擬的蜜罐網(wǎng)絡需要面對這樣一些問題:首先是攻擊者利用指紋工具對連接的蜜罐進行識別時該怎么辦;其次,虛擬出的蜜罐網(wǎng)絡如果面對網(wǎng)絡拓撲發(fā)現(xiàn)工具時怎么辦。

Honeyd采用了兩種關(guān)鍵的技術(shù)來欺騙攻擊者,一種是指紋匹配技術(shù),另一種是虛擬蜜罐網(wǎng)絡技術(shù)。

4 指紋匹配

為了在被探測的時候表現(xiàn)得跟真實的系統(tǒng)一樣,虛擬蜜罐要模擬給定操作系統(tǒng)的網(wǎng)絡棧行為,這是虛擬蜜罐的一部分特征。不同的特征能被設計成不同的虛擬蜜罐。特征引擎通過改變協(xié)議數(shù)據(jù)包頭部來匹配特定的操作系統(tǒng),從而表現(xiàn)出相應的網(wǎng)絡協(xié)議棧行為,這一過程成為指紋匹配。

Honeyd運用NMAP的指紋數(shù)據(jù)庫作為TCP和UDP行為特征的的參考;用XPROBE指紋數(shù)據(jù)庫作為ICMP行為的參考。

下面用NMAP提供的指紋信息來改變蜜罐網(wǎng)絡棧的特征為例來進行說明:

Fingerprint IRIX 6.5.15m on SGI 02

Tseq(Class=TD%gcd=

T1(DF=N%W=EF2A%ACK=S++%Flags=AS%Ops=MNWNNTNNM)

T2(Resp=Y%DF=N%W=O%ACK=S%Flags=AR%Ops=)

T3(Resp=Y%DF=N%W=EF2A%ACK=O%Flags=A%Ops=NNT)

T4(DF=N%W=O%ACK=O%FlagsR%Ops=)

T5(DF=N%W=O%ACK=S++%Flags=AR%Ops=)

T6(DF=N%W=O%ACK=O%Flags=R%Ops=)

T7(DFN%W=O%ACK=S%Flags=R%Ops=)

PU(Resp=n)

T1測試設置了SYN和ECE TCP flags;T5測試僅設置了SYN TCP flags。后面7個測試決定了數(shù)據(jù)包到達開放的或關(guān)閉的端口的網(wǎng)絡棧行為。最后一個分析ICMP對關(guān)閉的UDP端口的響應。

Honeyd保持每一個蜜罐的可靠性。包括產(chǎn)生ISN信息可靠性,蜜罐的初始化時間,當前IP數(shù)據(jù)包的確認號的可靠性。保持狀態(tài)有利于我們在指紋修改后發(fā)送的數(shù)據(jù)包產(chǎn)生后續(xù)的ISN。

滑動窗口在不同的環(huán)境下表現(xiàn)出來的大小同樣也會成為攻擊者進行識別的一部分。當Honeyd為一個新建的連接發(fā)送一個數(shù)據(jù)包時,它會用NMAP指紋去檢測內(nèi)部窗口的大小,在一個連接建立好以后,Honeyd框架將根據(jù)緩沖區(qū)中數(shù)據(jù)的多少調(diào)整窗口的大小。

5 指紋匹配相關(guān)函數(shù)

Honeyd邏輯上的特征引擎是由相關(guān)的函數(shù)參考配置數(shù)據(jù)庫中的參數(shù),然后分別對各自的數(shù)據(jù)包進行指紋處理得到的。這些被處理的數(shù)據(jù)包主要由TCP數(shù)據(jù)包、UDP數(shù)據(jù)包和ICMP數(shù)據(jù)包。其中tcp _send(),tcp_personality()負責處理TCP數(shù)據(jù)包的指紋;udp_send()負責處理UDP數(shù)據(jù)包的指紋;icmp_send()數(shù)據(jù)包負責處理ICMP數(shù)據(jù)包的指紋。下面我們重點介紹處理TCP數(shù)據(jù)包的函數(shù)。

tcp_send()負責發(fā)送基于tcp協(xié)議的數(shù)據(jù)包,重要的是,它對即將發(fā)送的數(shù)據(jù)包進行改動,修改報頭,使得看上去和對應的操作系統(tǒng)的特征準確地吻合,以達到欺騙的效果。因而此函數(shù)只是在通過查詢特征庫后,得到返回的id(ip報頭的標識字段的值),調(diào)整其他參數(shù),封裝成ip包發(fā)送。

篇4

【關(guān)鍵詞】 嵌入式 TCP/IP協(xié)議 以太網(wǎng)

一、引言

嵌入式網(wǎng)絡通信在各個方面都得到了非常廣泛的運用。目前最常見的就是總線和USB數(shù)據(jù)傳輸方式,傳輸速度即使可以達到較快的水平,但是其并不能夠滿足長距離的數(shù)據(jù)傳輸。因此,以太網(wǎng)能夠彌補其在數(shù)據(jù)傳輸方面的缺陷。以太網(wǎng)能夠?qū)崿F(xiàn)一百米距離點對點的數(shù)據(jù)傳輸,如果要實現(xiàn)更加遠距離的數(shù)據(jù)傳輸,則需要使用路由器或者交換機來完成。此文基于對CP2200嵌入式TCP/IP協(xié)議進行探究,并實現(xiàn)以太網(wǎng)嵌入式系統(tǒng)設計。

二、嵌入式TCP/IP協(xié)議的探究與實現(xiàn)

TCP/IP協(xié)議棧從上到下分別是由應用層、運輸層、網(wǎng)絡層和網(wǎng)絡接口層所組成的四層結(jié)構(gòu),每一層各司其職,都有著不同的網(wǎng)絡協(xié)議。依據(jù)軟件實際使用的情況,在嵌入式系統(tǒng)當中為了達到網(wǎng)絡通信的目的,需要對TCP/IP協(xié)議族進行裁剪。在對軟件進行初始化的時候,也對單片機同時進行了初始化,其中包括對系統(tǒng)時鐘、定時器、端口和串口進行了初始化。當然還有CP2200進行初始化,其中包括對MAC層和物理層進行初始化,并且中斷使能。

在TCP/IP協(xié)議棧當中,運用層包含HTTP協(xié)議,運輸層包含TCP協(xié)議和UDP協(xié)議,網(wǎng)絡層包含ARP協(xié)議、IP協(xié)議和ICMP協(xié)議。以下是嵌入式TCP/IP協(xié)議的每個模塊的實現(xiàn)流程:

1、HTTP協(xié)議模塊。HTTP協(xié)議的發(fā)送函數(shù)http_send()即是TCP協(xié)議的發(fā)送函數(shù)和數(shù)據(jù)信息的結(jié)合,但是http_ send()函數(shù)主要是實現(xiàn)設計網(wǎng)頁內(nèi)容,JPEG的圖片和HTML(超文本標記語言)等信息的使用依靠其函數(shù)實現(xiàn)。

2、TCP協(xié)議模塊。TCP協(xié)議的發(fā)送函數(shù)tcp_send()是需要發(fā)送一個不包含任何數(shù)據(jù)的TCP報文,其作用是能夠?qū)ψ止?jié)頭和校驗和進行處理。通過對時間功能的設定,TCP協(xié)議的重傳函數(shù)tcp_retransmit()能夠?qū)崿F(xiàn)對數(shù)據(jù)最多為兩次重傳的傳輸功能,實現(xiàn)傳輸功能的應用程序是依靠傳送頁數(shù)據(jù)而實現(xiàn)的,即是HTTP服務程序。TCP協(xié)議的保活函數(shù)tcp_ inacivity()是沒半秒運行一次,當連接正在建立的狀態(tài)下,?;钇跐M了的時候并且沒能被再次使用,就會中斷連接。TCP協(xié)議的接收函數(shù)tcp_rcve()實現(xiàn)對字節(jié)頭和校驗和的運算,進而對HTTP服務程序和其連接狀態(tài)等情況進行斷定,最后進行TCP有限的狀態(tài)機判斷數(shù)據(jù)包的程序。

3、UDP協(xié)議模塊。UDP協(xié)議的發(fā)送函數(shù)udp_send()能夠?qū)崿F(xiàn)對字節(jié)頭和校驗和進行處理,其接收函數(shù)udp_rcve()是對所接收的UDP報文進行處理,如果沒有受到UDP報文數(shù)據(jù),就需要發(fā)送ICMP終點不可到達報文。

4、ARP協(xié)議模塊。ARP協(xié)議的發(fā)送函數(shù)arp_send(),在發(fā)送請求報文的時候,對于不清楚目的物理地址的,則是廣播報文;在發(fā)送應答報文的時候,接收的一方的目的物理地址需要添加物理地址。ARP協(xié)議的重傳函數(shù)arp_retransmit()能夠?qū)崿F(xiàn)當其發(fā)出ARP請求之后的半秒時間內(nèi)沒有任何響應,則進行再一次發(fā)送的功能,但是當兩次發(fā)送沒有得到響應就會對報文進行刪除。ARP協(xié)議的緩存更新函數(shù)age_ arp_cache()能夠每一分鐘更新一次。ARP的解析函數(shù)arp_ resolve()能夠?qū)λl(fā)送的IP報文目的IP地址進行解析,如果發(fā)送IP地址和目的IP地址都不在相同的一個網(wǎng)絡當中,那么此IP地址是網(wǎng)關(guān)IP地址,然后在緩存表當中對其進行查找,如果找不到就需要發(fā)送ARP請求報文。ARP協(xié)議的接收函數(shù)arp_rcve()能夠?qū)崿F(xiàn)對報文進行接收或者應答,對緩存表需要進行更新和重新定時,如果所接受的報文是應答報文,則需要發(fā)送等候地址解析的IP報文,但是所接收到的報文是請求報文 ,則需要發(fā)送ARP應答報文。

5、IP協(xié)議模塊。IP協(xié)議的發(fā)送函數(shù)ip_send9()能夠?qū)崿F(xiàn)對發(fā)送IP報文的20字節(jié)頭和校驗和進行處理,進而使用網(wǎng)絡接口層進行發(fā)送。IP協(xié)議接收函數(shù)ip_rcve()能夠根據(jù)版本情況和所接收報文的種類轉(zhuǎn)移到相應的接收函數(shù)來處理。

6、ICMP協(xié)議模塊。ICMP協(xié)議模塊的接收函數(shù)icmp_ rcve()是實現(xiàn)對ping請求的接收進行處理,并且處理ICMP不同種類的報文。其中Ping命令請求信息函數(shù)ping_send()是用來檢測發(fā)送接收兩方的接收情況。

三、結(jié)言

綜上所述,此文對TCP/IP的網(wǎng)絡結(jié)構(gòu)中的各層協(xié)議模塊進行探究,基于網(wǎng)絡控制芯片CP2200的以太網(wǎng)接口和單片機C8051F340,并用編程語言來實現(xiàn)嵌入式以太網(wǎng)通信,同時進一步通過對各個層協(xié)議的裁剪,實現(xiàn)嵌入式以太網(wǎng)的數(shù)據(jù)通信。根據(jù)現(xiàn)階段來看,嵌入式網(wǎng)絡通信基本上都是依靠TCP/IP協(xié)議來實現(xiàn)的,嵌入式設備和網(wǎng)絡兩者相結(jié)合是嵌入式系統(tǒng)今后發(fā)展的主要方向。因此,我們要更加深入地對嵌入式TCP/IP協(xié)議進行探究以及更深層次的功能實現(xiàn)。

參 考 文 獻

篇5

關(guān)鍵詞:木馬關(guān)鍵技術(shù);動態(tài)嵌入技術(shù);反向連接技術(shù)

中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 10-0000-01

The Implementation of Trojan Key Technology

Wang Delei

(BeiJin LuHang Institute,Beijing101123,China)

Abstract:With the development of internet technology and the popularization of the global information technology has become a major trend.However,in recent years,hackers,technology continues to mature,network information security face a great challenge.This paper describes the dynamics of Trojans embedded technology,connectivity and reverse ICMP Trojan communications technology.

Keywords:Trojan key technology;Dynamic embedding;Reverse connection technology

一、引言

隨著計算機網(wǎng)絡和程序設計技術(shù)的普及和發(fā)展,木馬程序的編制技術(shù)也不斷地普及和發(fā)展,目前,世界上有20多萬個黑客網(wǎng)站在介紹一些攻擊方法和攻擊軟件的使用以及系統(tǒng)的漏洞。

二、木馬技術(shù)發(fā)展狀況

按其在不同階段使用的典型技術(shù)可分為以下幾代木馬:第一代,即簡單的密碼竊取、發(fā)送等,如“QQ密碼大盜”。第二代木馬在遠程控制技術(shù)上有了很大的進步,“冰河”是當時國內(nèi)木馬的典型代表之一。第三代木馬在數(shù)據(jù)傳遞技術(shù)上又做了不小的改進,出現(xiàn)了ICMP和反彈端口等類型的木馬,利用畸形報文傳遞數(shù)據(jù),增加了殺毒軟件查殺木馬的難度。比較典型的是“網(wǎng)絡神偷”。第四代木馬在進程隱藏方面,采用了內(nèi)核插入式的嵌入方式,利用遠程插入線程技術(shù),嵌入DLL線程,或者掛接API,從而實現(xiàn)木馬程序的隱藏?,F(xiàn)在第五代木馬正在發(fā)展中,具有遠程DLL動態(tài)入侵、模塊化升級、智能化通信等新特點。

三、木馬關(guān)鍵技術(shù)的實現(xiàn)

(一)動態(tài)嵌入技術(shù)的實現(xiàn)。動態(tài)嵌入技術(shù)是指木馬采用遠程線程技術(shù)或HOOK技術(shù)注入其他進程的運行空間等方法導致殺毒軟件無法發(fā)現(xiàn)木馬的運行痕跡。(二)反向連接技術(shù)的實現(xiàn)。反向連接技術(shù)是指木馬為了克服服務端在某一端口上偵聽易被發(fā)現(xiàn)這一缺點,而采用服務端主動連接,客戶端偵聽的一種技術(shù)。這樣用一般的port scanner或者fport就發(fā)現(xiàn)不了服務端。這種反彈端口型木馬的典型例子是國產(chǎn)木馬“網(wǎng)絡神偷”。實現(xiàn)時主要的難點有兩個:一個是客戶端IP地址不能確定,服務端如何找到客戶端。另一個是服務端主動連接客戶端時防火墻也會報警。下面圍繞這兩點探討解決方法。1.解決IP地址問題。一種解決方法是客戶端通過一個有固定IP或者固定域名的第三方自己的IP,比如:事先約定好一個個人主頁的空間,放置一個文本文件,木馬固定多長時間去取一次這個文件,如果文件內(nèi)容為空就什么都不做,如果有內(nèi)容就按照文本文件中的數(shù)據(jù)計算出控制端的IP和端口,反彈一個TCP鏈接回去,這樣每次控制者上線只需要上傳一個文本文件就可以告訴木馬自己的位置。另一種方法是使用RAW socket來收聽ECHO REPLY類型的ICMP包且在ICMP數(shù)據(jù)包的數(shù)據(jù)中就包含了客戶端IP。或者是截獲其他進程收到的TCP數(shù)據(jù)或UDP包,然后分析截獲的數(shù)據(jù),從中確定是否客戶端發(fā)來了一個報告其IP的數(shù)據(jù)片斷。這種客戶端通過某種方法主動告訴服務端自己的IP和端口的方法可以保證最大的可靠性,安全性和靈活性。2.解決防火墻報警問題。一種方法是上面提到的動態(tài)嵌入技術(shù),服務端將自己注入到一個可以合法的與外界進行網(wǎng)絡通訊的進程的地址空間中,然后就可以以一個新線程的形式運行。在新線程內(nèi)去主動連接客戶端,如果是寄生在IE內(nèi)就連接客戶端的80端口;如果是寄生在OICQ內(nèi),可以連接客戶端的8000端口。另一種方法是木馬服務端使用80端口,將傳送的數(shù)據(jù)包含在HTTP的報文中,就算是能夠分析報文、過濾TCP/UDP的防火墻,也不可能分辨出通過HTTP協(xié)議傳送的究竟是網(wǎng)頁還是控制命令和數(shù)據(jù)。

(三)ICMP木馬技術(shù)的實現(xiàn)。ICMP全稱是Internet Control Message Protocol(互聯(lián)網(wǎng)控制報文協(xié)議)它是IP協(xié)議的附屬協(xié)議,用來傳遞差錯報文以及其他的消息報文,例如工具Ping就是通過發(fā)送接收ICMP_ECHO和ICMP_ECHOREPLY報文來進行網(wǎng)絡診斷的。ICMP木馬技術(shù)的出現(xiàn)正是得到了Ping程序的啟發(fā),ICMP木馬技術(shù)利用ICMP報文由系統(tǒng)內(nèi)核或進程直接處理而不是通過端口的特點,將自己偽裝成一個Ping的進程,系統(tǒng)就會將ICMP_ECHOREPLY(Ping的回包)的監(jiān)聽、處理權(quán)交給木馬進程,木馬進程通過判斷包大小、ICMP_SEQ等特征,來確定是否是自己需要的數(shù)據(jù),一旦事先約定好的ICMP_ECHOREPLY包出現(xiàn),木馬就會接受、分析并從報文中解碼出命令和數(shù)據(jù)來執(zhí)行。另外一種辦法是修改ICMP頭的構(gòu)造,加入木馬的控制字段。由于ICMP_ECHOREPLY包還有對于防火墻和網(wǎng)關(guān)的穿透能力,這種技術(shù)使得木馬擺脫了端口的限制,突破了防火墻對目標主機的保護。

四、結(jié)束語

綜上所述,隨著internet技術(shù)的發(fā)展和使用的普及,木馬技術(shù)也在不斷的成熟和普及,本文僅從一個側(cè)面加以討論,希望通過這一探討讓我們對木馬的關(guān)鍵技術(shù)有一個簡單的認識,同時也為我們防范他人利用木馬非法入侵提供參考。

參考文獻:

[1]張友生,米安然.計算機病毒與木馬程序的剖析[M].北京:科海電子出版社,2003

[2]周明全,呂林濤,李軍懷.網(wǎng)絡信息安全技術(shù)[M].西安:電子科技大學出版社,2003

篇6

關(guān)鍵詞:ARP欺騙 網(wǎng)絡監(jiān)聽

網(wǎng)絡監(jiān)聽給網(wǎng)絡管理員提供了一個觀察網(wǎng)絡運行狀況,數(shù)據(jù)流動狀況,以及傳輸?shù)拿魑男畔⒌墓ぞ摺?網(wǎng)絡監(jiān)聽可以在網(wǎng)上的任何一個位置實施,如局域網(wǎng)中的一臺主機、網(wǎng)關(guān)上或遠程網(wǎng)的調(diào)制解調(diào)器之間等,但是監(jiān)聽效果最好的地方是在網(wǎng)關(guān)、路由器、防火墻一類的設備處,通常由網(wǎng)絡管理員來操作,其中最方便實現(xiàn)的是在一個以太網(wǎng)中的任何一臺上網(wǎng)的主機上。

ARP協(xié)議:IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送。以太網(wǎng)設備并不識別32位IP地址:它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包的。因此,IP驅(qū)動器必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)網(wǎng)目的地址。在這兩種地址之間存在著某種靜態(tài)的或算法的映射,常常需要查看一張表。地址解析協(xié)議(Address Resolution Protocol,ARP)就是用來確定這些映象的協(xié)議。ARP工作時,送出一個含有所希望的IP地址的以太網(wǎng)廣播數(shù)據(jù)包。目的地主機,或另一個代表該主機的系統(tǒng),以一個含有IP和以太網(wǎng)地址對的數(shù)據(jù)包作為應答。發(fā)送者將這個地址對高速緩存起來,以節(jié)約不必要的ARP通信。

ARP欺騙:ARP欺騙分為二種,一種是對路由器ARP表的欺騙;另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址,并按照一定的頻率不斷進行,使真實的地址信息無法通過更新保存在路由器中,結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址,造成電腦無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān),讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù),而不是通過正常的路由器途徑上網(wǎng)。在表面看來,就是上不了網(wǎng)了,“網(wǎng)絡掉線了”。

ICMP重定向:ICMP重定向報文是ICMP控制報文中的一種。在特定的情況下,當路由器檢測到一臺機器使用非優(yōu)化路由的時候,它會向該主機發(fā)送一個ICMP重定向報文,請求主機改變路由。路由器也會把初始數(shù)據(jù)報向它的目的地轉(zhuǎn)發(fā)。

一、網(wǎng)絡監(jiān)聽的基本原理

在共享介質(zhì)的以太網(wǎng)中如果所有的主機通過集線器連接到外部網(wǎng)絡,在這樣的網(wǎng)絡中通信主機將所要發(fā)送的數(shù)據(jù)包進行廣播,發(fā)往連在一起的所有主機。在包頭中包含著應該接收數(shù)據(jù)包的主機的正確地址。只有與數(shù)據(jù)包中目標地址一致的那臺主機才能接收信包。因此任意主機都可以通過將網(wǎng)卡設置為混雜模式來監(jiān)聽網(wǎng)內(nèi)的所有通信。當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網(wǎng)時,如果一臺主機處于監(jiān)聽模式下,利用ARP欺騙和ICMP重定向結(jié)合在一起就可以基本實現(xiàn)跨網(wǎng)段欺騙的目的,因此它還能接收到發(fā)向與自己不在同一子網(wǎng)(使用了不同的掩碼、IP地址和網(wǎng)關(guān))的主機的那些信包。也就是說,在同一條物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏健?/p>

交換式以太網(wǎng)是通過交換機將網(wǎng)內(nèi)主機相連,交換機將對每個端口收到數(shù)據(jù)幀進行源和目的MAC地址檢測,然后與內(nèi)部動態(tài)的MAC端口映射表進行比較,若數(shù)據(jù)幀的源MAC地址不在映射表中,則將該MAC地址和對應接收端口加入映射表中,同時根據(jù)映射表中與目的MAC地址對應的端口號,交換機把數(shù)據(jù)幀僅從該端口發(fā)送出去。因此交換機的每個端口可平行、安全、同時地互相傳輸信息,其它端口的主機即使將網(wǎng)卡設置為混雜模式,也只能監(jiān)聽到連結(jié)在同一端口上主機間的數(shù)據(jù)傳輸。

二、共享介質(zhì)以太網(wǎng)監(jiān)聽

如圖1所示,三臺主機

A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA

B: ip地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BB:BB

C: ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC

假設一個位于主機B的入侵者想非法進入主機A,可是這臺主機上安裝有防火墻。通過收集資料他知道這臺主機A的防火墻只對主機C有信任關(guān)系(開放23端口(telnet))。而他必須要使用telnet來進入主機A,這個時候入侵者必須讓主機A相信主機B就是主機C,如果主機A和主機C之間的信任關(guān)系是建立在IP地址之上的。如果單單把主機B的IP地址改的和主機C的一樣,那是不能工作的,至少不能可靠地工作。如果你告訴以太網(wǎng)卡設備驅(qū)動程序, 自己的IP是192.168.0.3,那么這只是一種純粹的競爭關(guān)系,并不能達到目標。我們可以先研究C這臺機器如果我們能讓這臺機器暫時當?shù)?,競爭關(guān)系就可以解除,這個還是有可能實現(xiàn)的。在機器C當?shù)舻耐瑫r,將機器B的IP地址改為192.168.0.3,這樣就可以成功的通過23端口telnet到機器A上面,而成功的繞過防火墻的限制。

但是如果主機A和主機C之間的信任關(guān)系是建立在硬件地址的基礎上的,上面的方法就失效了。這個時候還需要用ARP欺騙的手段讓主機A把自己的ARP緩存中的關(guān)于192.168.0.3映射的硬件地址改為主機B的硬件地址。

我們可以人為的制造一個arp_reply的響應包,發(fā)送給想要欺騙的主機,這是可以實現(xiàn)的,因為協(xié)議并沒有規(guī)定必須在接收到arp_echo后才可以發(fā)送響應包.這樣的工具很多,我們也可以直接用snifferpro抓一個arp響應包,然后進行修改。

你可以人為地制造這個包??梢灾付ˋRP包中的源IP、目標IP、源MAC地址、目標MAC地址。這樣你就可以通過虛假的ARP響應包來修改主機A上的動態(tài)ARP緩存達到欺騙的目的。

實現(xiàn)步驟:

1)B發(fā)送ARP 查詢報文,獲得主機A 的MAC地址

2)B發(fā)送偽造的ARP 報文給A,該報文的源MAC地址為BB:BB:BB:BB:BB:BB,IP 為168.0.0.3 ,因為ARP 表是動態(tài)的,為了能進行持續(xù)的監(jiān)聽應該間隔一定時間先欺騙的主機發(fā)送偽造的ARP 報文。

3)主機A更新了ARP表中關(guān)于主機C的IP-->MAC對應關(guān)系。

4)此時可以通過程序進行抓包或包過濾提取來自A發(fā)送到C的報文,如果不影響C的正常通信或者隱蔽話,應該將收到的來自A發(fā)送到C的包進行轉(zhuǎn)發(fā)到C,使A,C覺察不到數(shù)據(jù)包經(jīng)過了B.

三、交換式以太網(wǎng)監(jiān)聽

如圖2所示A、C位于同一網(wǎng)段而主機B位于另一網(wǎng)段,三臺機器的IP地址和硬件地址如下:

A: IP地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA

B: IP地址 192.168.1.2 硬件地址 BB:BB:BB:BB:BB:BB

C: IP地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC

這種情況下B與A在不同的網(wǎng)絡段,顯然用上面的辦法的話,即使欺騙成功,那么由主機B和主機A之間也無法建立telnet會話,因為路由器會發(fā)現(xiàn)地址在192.168.0.這個網(wǎng)段之內(nèi),而不會把主機A發(fā)給主機B的包向外轉(zhuǎn)發(fā)。如果要實現(xiàn)把這樣的數(shù)據(jù)包轉(zhuǎn)發(fā)出來就必須使用ICMP重定向技術(shù),把ARP欺騙和ICMP重定向結(jié)合在一起就可以基本實現(xiàn)跨網(wǎng)段欺騙的目的。

下面是結(jié)合ARP欺騙和ICMP重定向進行攻擊的步驟:

1)為了使自己發(fā)出的非法ip包能在網(wǎng)絡上能夠存活長久一點,開始修改IP包的生存時間TTL為下面的過程中可能帶來的問題做準備。把TTL改成255. (TTL定義一個IP包如果在網(wǎng)絡上到不了主機后,在網(wǎng)絡上能存活的時間,改長一點在本例中有利于做充足的廣播)

2)尋找主機C的漏洞按照這個漏洞當?shù)糁鳈CC。

3)該網(wǎng)絡中的主機找不到原來的192.0.0.3后,將更新自己的ARP對應表。此時發(fā)送一個原IP地址為192.168.0.3硬件地址為BB:BB:BB:BB:BB:BB的ARP響應包。

4)現(xiàn)在每臺主機都更新了自己的ARP表,一個新的MAC地址對應192.0.0.3,一個ARP欺騙完成了,但是,每臺主機都只會在局域網(wǎng)中找這個地址而根本就不會把發(fā)送給192.0.0.3的IP包丟給路由。于是他還得構(gòu)造一個ICMP的重定向廣播。

5)自己定制一個ICMP重定向包告訴網(wǎng)絡中的主機:"到192.0.0.3的路由最短路徑不是局域網(wǎng),而是路由,請主機重定向你們的路由路徑,把所有到192.0.0.3的ip包丟給路由。"

7)主機A接受這個合理的ICMP重定向,于是修改自己的路由路徑,把對192.0.0.3的通訊都丟給路由器。

8)入侵者終于可以在路由外收到來自路由內(nèi)的主機的IP包了,他可以開始telnet到主機的23端口。

其實上面的想法只是一種理想話的情況,主機許可接收的ICMP重定向包其實有很多的限制條件,這些條件使ICMP重定向變的非常困難。

TCP/IP協(xié)議實現(xiàn)中關(guān)于主機接收ICMP重定向報文主要有下面幾條限制:

1)新路由必須是直達的

2)重定向包必須來自去往目標的當前路由

3)重定向包不能通知主機用自己做路由

3)被改變的路由必須是一條間接路由

四、總結(jié)

本文通過對共享介質(zhì)的以太網(wǎng)和交換式以太網(wǎng)的監(jiān)聽原理進行詳細闡述,并進行了試驗能夠進行簡單的監(jiān)聽。要實現(xiàn)通用方便的監(jiān)聽工具還要進一步研究,本文的研究證明了以太網(wǎng)監(jiān)聽工具實現(xiàn)的可行性。

參考文獻

[1]TCP/IP 詳解 卷1:協(xié)議 (美)W.Richard Stevens著 范建華 胥光輝 張濤等譯 機械工業(yè)出版社 2005 ISBN 7-111-07566-8/TP.1194

篇7

關(guān)鍵詞:移動IP;隧道技術(shù);ICMP;封裝;MTU

0 引言

移動通信已成為現(xiàn)代通信領(lǐng)域中發(fā)展?jié)摿ψ畲?、市場前景最廣闊的熱點技術(shù),它正向高速率、高移動性和大范圍覆蓋發(fā)展。隨著Intemet業(yè)務的迅猛發(fā)展,現(xiàn)有的IPv4地址數(shù)目已經(jīng)十分緊缺,因此采用128位地址長度的IPv6協(xié)議,徹底解決了IPv4地址數(shù)量不足的難題。通過隧道技術(shù)可以有效的實現(xiàn)IPv4和IPv6的互通,IPv6隧道技術(shù)即是IPv4報文將IPv6報文封裝在其中,使得IPv6通過IPv4網(wǎng)絡進行通信的技術(shù)。目前IPv6技術(shù)中的重要應用是移動IP。移動IP是解決節(jié)點的移動性問題,它其實也是一種IP的路由機制,使移動節(jié)點可以用一個不變的IP地址連接到任何鏈路中。

1.移動IP概述

從通信節(jié)點可移動性的定義得到,因為每次都需要把連接斷開,所以當節(jié)點移動時只是改變它的地址不能解決移動性問題。但是,當節(jié)點移動時改變節(jié)點的IP地址確實解決了一個稱為漫游的相關(guān)問題。漫游節(jié)點在改變它們的接入點前要中止所有通信,但在到達新的接入位置時,它們就會以新地址重新發(fā)起通信。目前的因特網(wǎng)協(xié)議簇中已經(jīng)有相應的機制來解決漫游問題了,比如PPP(Point-to-Point)協(xié)議的IPCP(IP Control Protocol)。

在現(xiàn)在的因特網(wǎng)中,節(jié)點漫游時,另一節(jié)點也不可能主動與漫游節(jié)點通信,因為它無法知道到底在哪個IP地址上可以找到漫游節(jié)點。

事實上,移動IP的一個基本假設是:點到點通信的數(shù)據(jù)包在選路時與源IP地址無關(guān)。它可以看作是一個路由協(xié)議,只是與其他幾種路由協(xié)議相比,移動IP具有特殊的功能,它的目的是將數(shù)據(jù)包路由到那些可能一直在快速地改變位置的移動節(jié)點上。

2.隧道技術(shù)的概念

當一個數(shù)據(jù)包被封裝在另一個數(shù)據(jù)包的凈荷中進行傳送時,所經(jīng)過的路徑稱為隧道。

除了極少數(shù)特例,移動節(jié)點只用家鄉(xiāng)地址和別的節(jié)點通信,即移動節(jié)點發(fā)出的所有包的源I P地址都是它的家鄉(xiāng)地址,它接收的所有包的目的IP地址也都是它的家鄉(xiāng)地址。這就要求移動節(jié)點將家鄉(xiāng)地址寫入DNS中的“IP地址”域,其他節(jié)點在查找移動節(jié)點的主機名時就會發(fā)現(xiàn)它的家鄉(xiāng)地址。通常,一般數(shù)據(jù)包的分片會在任意一臺路由器上發(fā)生(如果MTU受限制),而分片的重組在目的地進行。但是隧道的分片是一個特例,它的重組在隧道出口進行,而隧道出口不是數(shù)據(jù)包的最終地址。

3.隧道技術(shù)的分類

移動IP中的三種隧道技術(shù):IP的IP封裝(IP in IP Encapsulation)、最小封裝( Minimal Encapsulation)和通用路由封裝GRE(Generic Routing Encapsulation)。一般情況,盡量不用最小封裝技術(shù)。

3.1IP的IP封裝

IP的IP封裝非常簡單,第一個IP包放在一個新IP包的凈荷中,會增加開銷20個byte。如果IP包是被轉(zhuǎn)發(fā)過來的,比如是通過某個物理端口進入隧道的,那么隧道入口應將內(nèi)層的IP報頭的生存時間域減小。同樣在拆封時,如果內(nèi)部封裝的IP包還要進行轉(zhuǎn)發(fā),比如從隧道出口轉(zhuǎn)發(fā)到某個物理端口,那么它的生存時間域也要減小。因此,采用IP的IP封裝的隧道對穿過它們的數(shù)據(jù)包來說就像一條虛擬鏈路。例如,一個包到達第一臺路由器,通過從第一臺路由器開始的隧道到達第二臺路由器,并進一步轉(zhuǎn)發(fā)到它的目的地址,這時這個包的生存時間域會被減小兩次,好像隧道只是連接這兩臺路由器的一條鏈路一樣

在IP over IP的形式中,對ICMP的報文格式需要特殊處理。通過隧道的IP包的相應的ICMP報文只需要送到隧道的入口,而無需要送到包的源。但有時,隧道內(nèi)產(chǎn)生的ICMP報文到達源也是及其有用的。對ICMP的處理,它并不是直接把隧道內(nèi)部的ICMP轉(zhuǎn)發(fā)給源,而是在隧道入口進行分析后,再產(chǎn)生一個ICMP然后到達源。例如,當一個包到達家鄉(xiāng),包的大小大于隧道的MTU,當不允許分片的比特設置為1時,家鄉(xiāng)就不在隧道內(nèi)部產(chǎn)生ICMP,而是直接給源發(fā)送一個自己的ICMP。

綜合上面的分析不難看出,對于IP over IP的封裝形式需要防止遞歸封裝,所謂遞歸封裝,就是由于路由環(huán),使數(shù)據(jù)離開隧道前,又重新進入了一個隧道。GRE和IPV6有專門機制防止遞歸封裝。在IPV4中用兩個法則來判別,簡單的說就是依據(jù)源IP是否與目標IP重復來進行判斷。

3.2 最小封裝

最小封裝的目的是減少實現(xiàn)隧道所需的額外字節(jié)數(shù),可通過將IP的IP封裝中內(nèi)層IP報頭和外層I P報頭的冗余部分去掉來完成。開銷是8或12字節(jié),取決于隧道入口是否是原始數(shù)據(jù)包的源。

最小封裝不能用于那些已經(jīng)經(jīng)過分片的原始數(shù)據(jù)包。相反,經(jīng)過封裝的數(shù)據(jù)包可以進行分片,以便穿過路徑MTU較小的隧道,但是已經(jīng)分片的原始數(shù)據(jù)包不可以通過采用最小封裝的隧道。這和IP的IP封裝有顯著的區(qū)別。

相對于生存時間和隧道長度,它和IP over IP的封裝也有區(qū)別,至少從生存時間的角度,最小封裝使得數(shù)據(jù)包可以識別從入口到出口的每一條鏈路。也就是說,在采用最小封裝的隧道中,從隧道入口到出口的每一臺路由器都會將原始數(shù)據(jù)包的生存時間減小。因此,經(jīng)過最小封裝的包可能不能到達目的地。因為在一條長隧道中,每經(jīng)過一臺路由器,生存時間域的值就會減小。而對于同樣長的隧道,采用IP的IP封裝的數(shù)據(jù)包就可以經(jīng)過該隧道到達目的地,因為這時生存時間域的值只在入口和出口減小。移動節(jié)點的實現(xiàn)者應認識到這個事實,并決定在注冊過程中是否采用最小封裝。但是對于ICMP報文的處理和防止遞歸操作的產(chǎn)生,最小封裝和IP over IP的封裝是一樣的。

3.3GRE通用路由封裝

GRE封裝除了支持IP協(xié)議外,它還允許一種協(xié)議的數(shù)據(jù)包封裝在另外一種協(xié)議的數(shù)據(jù)包的凈荷中。當兩者都是IP的時候,就可以理解為IP over IP的封裝。另外對于遞歸封裝的防止,GRE提供了特定機制來應對遞歸封裝。GRE報頭中有一個recure域,記錄允許封裝次數(shù)。每封裝一次,recure減一。如果recure為0,就不能夠再實現(xiàn)封裝。如果一定要封裝才能夠傳輸,那么這個報文就會被拋棄。

4.隧道技術(shù)在真實通信系統(tǒng)中的應用方案

如圖1 所示為基于WiMAX系統(tǒng)的移動IP應用方案的實現(xiàn)圖。其中在兩個Base之間就用到了隧道技術(shù)。該移動IP方案的實現(xiàn)避免了簡單IP的MER和移動IP的HA。如果終端在保持業(yè)務的情 況下切換到另外一個小區(qū),可以保持IP地址不變。如果在其它小區(qū)終端不釋放IP地址,可以保持在原小區(qū)的IP地址。如果釋放了,就轉(zhuǎn)到當前小區(qū)下來獲取IP。

圖1 基于WiMAX系統(tǒng)的移動IP應用方案圖

5.結(jié)束語

移動 IP 是基于網(wǎng)絡層解決移動問題的方案,IP技術(shù)和移動通信技術(shù)的完美結(jié)合,正使得數(shù)據(jù)通信發(fā)生著深刻的改變。目前雖然移動IP中的隧道技術(shù)有了很大的發(fā)展,但是如何選擇合適的技術(shù)進行設計和實施,才能更好、更順利的保證移動IP的QOS,以及IPv4和IPv6的無縫互操作,也是今后一項值得深入研究的課題。

參考文獻:

[1] 杜根遠,邱穎豫. 基于隧道技術(shù)的IPv6 遷移策略[J]. 中國有線電視,2004(1)

[2] 張宏科,蘇偉. IPv6路由協(xié)議棧原理與技術(shù)[M].北京:北京郵電大學出版社,2006,7

[3] 汪軍. IPv6 隧道設計方案的研究[J]. 武漢工業(yè)學院學報,2007,26(3)

[4] 沈慶偉,張霖. 基于隧道的IPv4/IPv6 過渡技術(shù)分析[J].計算機技術(shù)與發(fā)展,2007,17(5)

[5] 李金攻,張平,陳繼光. 基于NAT—PT簇的集中式動態(tài)負載均衡的研究[J].通信技術(shù)2009.第4期

篇8

關(guān)鍵詞:網(wǎng)絡管理網(wǎng)間控制報文協(xié)議(ICMP)WBM

網(wǎng)絡管理的目的就是確保一定范圍內(nèi)的網(wǎng)絡及其網(wǎng)絡設備能夠穩(wěn)定、可靠、高效地運行,使所有的網(wǎng)絡資源處于良好的運行狀態(tài),達到用戶預期的要求。過去有一些簡單的工具用來幫助網(wǎng)管人員管理網(wǎng)絡資源,但隨著網(wǎng)絡規(guī)模的擴大和復雜度的增加,對強大易用的管理工具的需求也日益顯得迫切,管理人員需要依賴強大的工具完成各種各樣的網(wǎng)絡管理任務,而網(wǎng)絡管理系統(tǒng)就是能夠?qū)崿F(xiàn)上述目的系統(tǒng)。

1WBM技術(shù)介紹

隨著應用Intranet的企業(yè)的增多,同時Internet技術(shù)逐漸向Intranet的遷移,一些主要的網(wǎng)絡廠商正試圖以一種新的形式去應用MIS。因此就促使了Web(Web-BasedManagement)網(wǎng)管技術(shù)的產(chǎn)生[2]。它作為一種全新的網(wǎng)絡管理模式—基于Web的網(wǎng)絡管理模式,從出現(xiàn)伊始就表現(xiàn)出強大的生命力,以其特有的靈活性、易操作性等特點贏得了許多技術(shù)專家和用戶的青睞,被譽為是“將改變用戶網(wǎng)絡管理方式的革命性網(wǎng)絡管理解決方案”。

WBM融合了Web功能與網(wǎng)管技術(shù),從而為網(wǎng)管人員提供了比傳統(tǒng)工具更強有力的能力。WBM可以允許網(wǎng)絡管理人員使用任何一種Web瀏覽器,在網(wǎng)絡任何節(jié)點上方便迅速地配置、控制以及存取網(wǎng)絡和它的各個部分。因此,他們不再只拘泥于網(wǎng)管工作站上了,并且由此能夠解決很多由于多平臺結(jié)構(gòu)產(chǎn)生的互操作性問題。WBM提供比傳統(tǒng)的命令驅(qū)動的遠程登錄屏幕更直接、更易用的圖形界面,瀏覽器操作和Web頁面對WWW用戶來講是非常熟悉的,所以WBM的結(jié)果必然是既降低了MIS全體培訓的費用又促進了更多的用戶去利用網(wǎng)絡運行狀態(tài)信息。所以說,WBM是網(wǎng)絡管理方案的一次革命。

2基于WBM技術(shù)的網(wǎng)管系統(tǒng)設計

2.1系統(tǒng)的設計目標

在本系統(tǒng)設計階段,就定下以開發(fā)基于園區(qū)網(wǎng)、Web模式的具有自主版權(quán)的中文網(wǎng)絡管理系統(tǒng)軟件為目標,采用先進的WBM技術(shù)和高效的算法,力求在性能上可以達到國外同類產(chǎn)品的水平。

本網(wǎng)管系統(tǒng)提供基于WEB的整套網(wǎng)管解決方案。它針對分布式IP網(wǎng)絡進行有效資源管理,使用戶可以從任何地方通過WEB瀏覽器對網(wǎng)絡和設備,以及相關(guān)系統(tǒng)和服務實施應變式管理和控制,從而保證網(wǎng)絡上的資源處于最佳運行狀態(tài),并保持網(wǎng)絡的可用性和可靠性。

2.2系統(tǒng)的體系結(jié)構(gòu)

在系統(tǒng)設計的時候,以國外同類的先進產(chǎn)品作為參照物,同時考慮到技術(shù)發(fā)展的趨勢,在當前的技術(shù)條件下進行設計。我們采用三層結(jié)構(gòu)的設計,融合了先進的WBM技術(shù),使系統(tǒng)能夠提供給管理員靈活簡便的管理途徑。

三層結(jié)構(gòu)的特點[2]:1)完成管理任務的軟件作為中間層以后臺進程方式實現(xiàn),實施網(wǎng)絡設備的輪詢和故障信息的收集;2)管理中間件駐留在網(wǎng)絡設備和瀏覽器之間,用戶僅需通過管理中間層的主頁存取被管設備;3)管理中間件中繼轉(zhuǎn)發(fā)管理信息并進行SNMP和HTTP之間的協(xié)議轉(zhuǎn)換三層結(jié)構(gòu)無需對設備作任何改變。

3網(wǎng)絡拓撲發(fā)現(xiàn)算法的設計

為了實施對網(wǎng)絡的管理,網(wǎng)管系統(tǒng)必須有一個直觀的、友好的用戶界面來幫助管理員。其中最基本的一個幫助就是把網(wǎng)絡設備的拓撲關(guān)系以圖形的方式展現(xiàn)在用戶面前,即拓撲發(fā)現(xiàn)。目前廣泛采用的拓撲發(fā)現(xiàn)算法是基于SNMP的拓撲發(fā)現(xiàn)算法?;赟NMP的拓撲算法在一定程度上是非常有效的,拓撲的速度也非??臁5嬖谝粋€缺陷[3]。那就是,在一個特定的域中,所有的子網(wǎng)的信息都依賴于設備具有SNMP的特性,如果系統(tǒng)不支持SNMP,則這種方法就無能為力了。還有對網(wǎng)絡管理的不重視,或者考慮到安全方面的原因,人們往往把網(wǎng)絡設備的SNMP功能關(guān)閉,這樣就難于取得設備的MIB值,就出現(xiàn)了拓撲的不完整性,嚴重影響了網(wǎng)絡管理系統(tǒng)的功能。針對這一的問題,下面討論本系統(tǒng)對上述算法的改進—基于ICMP協(xié)議的拓撲發(fā)現(xiàn)。

3.1PING和路由建立

PING的主要操作是發(fā)送報文,并簡單地等待回答。PING之所以如此命名,是因為它是一個簡單的回顯協(xié)議,使用ICMP響應請求與響應應答報文。PING主要由系統(tǒng)程序員用于診斷和調(diào)試實現(xiàn)PING的過程主要是:首先向目的機器發(fā)送一個響應請求的ICMP報文,然后等待目的機器的應答,直到超時。如收到應答報文,則報告目的機器運行正常,程序退出。

路由建立的功能就是利用IP頭中的TTL域。開始時信源設置IP頭的TTL值為0,發(fā)送報文給信宿,第一個網(wǎng)關(guān)收到此報文后,發(fā)現(xiàn)TTL值為0,它丟棄此報文,并發(fā)送一個類型為超時的ICMP報文給信源。信源接收到此報文后對它進行解析,這樣就得到了路由中的第一個網(wǎng)關(guān)地址。然后信源發(fā)送TTL值為1的報文給信宿,第一個網(wǎng)關(guān)把它的TTL值減為0后轉(zhuǎn)發(fā)給第二個網(wǎng)關(guān),第二個網(wǎng)關(guān)發(fā)現(xiàn)報文TTL值為0,丟棄此報文并向信源發(fā)送超時ICMP報文。這樣就得到了路由中和第二個網(wǎng)關(guān)地址。如此循環(huán)下去,直到報文正確到達信宿,這樣就得到了通往信宿的路由。

3.2網(wǎng)絡拓撲的發(fā)現(xiàn)算法具體實現(xiàn)的步驟:

(1)于給定的IP區(qū)間,利用PING依次檢測每個IP地址,將檢測到的IP地址記錄到IP地址表中。

(2)對第一步中查到的每個IP地址進行traceroute操作,記錄到這些IP地址的路由。并把每條路由中的網(wǎng)關(guān)地址也加到IP表中。(3)對IP地址表中的每個IP地址,通過發(fā)送掩碼請求報文與接收掩碼應答報文,找到這些IP地址的子網(wǎng)掩碼。

(4)根據(jù)子網(wǎng)掩碼,確定對應每個IP地址的子網(wǎng)地址,并確定各個子網(wǎng)的網(wǎng)絡類型。把查到的各個子網(wǎng)加入地址表中。

(5)試圖得到與IP地址表中每個IP地址對應的域名(DomainName),如具有相同域名,則說明同一個網(wǎng)絡設備具有多個IP地址,即具有多個網(wǎng)絡接口。

(6)根據(jù)第二步中的路由與第四步中得到的子網(wǎng),產(chǎn)生連接情況表。

4結(jié)語

本文提出的ICMP協(xié)議的拓撲發(fā)現(xiàn)方法能夠較好的發(fā)現(xiàn)網(wǎng)絡拓撲,但是它需要占用大量的帶寬資源。本系統(tǒng)進行設計時,主要考慮的是對園區(qū)網(wǎng)絡的網(wǎng)絡管理,所有的被管理設備和網(wǎng)管系統(tǒng)處于同一段網(wǎng)絡上,也就是說,系統(tǒng)可以直接到達被管理的網(wǎng)絡,所以對遠程的局域網(wǎng)就無能為力了。在做下一步工作的時候,可以添加系統(tǒng)對遠程局域網(wǎng)絡的管理功能。

參考文獻

[1]晏蒲柳.大規(guī)模智能網(wǎng)絡管理模型方法[J].計算機應用研究.2005,03.

篇9

關(guān)鍵詞:校園網(wǎng);網(wǎng)絡安全;安全威脅

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2007)12-21545-02

Brief Discussion on the Security Threat Faced by Campus Network in Colleges on Present

ZHONG Ping

(Network and Education Technology Center, Hanshan Normal University, Chaozhou 521041,China)

Abstract:As the fast development of campus network in colleges, various data on the campus network are increasing quickly. However, there are more and more attacks to the campus network, different kinds of security problems prevent the regular running of campus network. It causes security incidents happen continually, and the campus network faces the greatest threat. This essay bases on the features of the campus network security in colleges, and discusses the security threat faced by the campus network in colleges on present and its reasons.

Key words:Campus network;Network security;Security threat

1 引言

隨著計算機網(wǎng)絡技術(shù)與多媒體技術(shù)的不斷發(fā)展,現(xiàn)代教育面臨一系列的改革。尤其是多媒體網(wǎng)絡技術(shù)在教育教學過程中的應用越來越普遍,因此,建設校園網(wǎng)絡成為教育信息化發(fā)展的重要基礎。同時,網(wǎng)絡設備價格的不斷下降以及國家對教育的投入不斷增加,我國校園網(wǎng)的建設發(fā)展非常迅速,各大、中小學紛紛投入到校園網(wǎng)絡的建設中來。相比而言,高校校園網(wǎng)的建設走得要更快一些,目前全國已經(jīng)超過1000所高校接入了中國教育科研網(wǎng)(CERNET)。大部分高校的校園網(wǎng)基礎設施己初具規(guī)模,實現(xiàn)了“千兆到樓,百兆到桌面”,幾乎所有的辦公、教學、宿舍樓都接入了校園網(wǎng),網(wǎng)絡系統(tǒng)成熟穩(wěn)定,網(wǎng)絡應用系統(tǒng)更加豐富。

校園網(wǎng)作為互聯(lián)網(wǎng)的重要組成部分,是高校信息化進程中最主要的基礎設施,擔負著學校教學、科研、管理和對外宣傳與交流等多種角色,從校園網(wǎng)基礎設施建設、管理信息系統(tǒng)開發(fā)、網(wǎng)絡教學及遠程教育應用發(fā)展到目前的數(shù)字化校園建設,為高校提高辦學水平,管理決策水平等方面起到了決定性的作用。

2 校園網(wǎng)的網(wǎng)絡安全特點

建立校園網(wǎng)是為了實現(xiàn)資源共享、信息服務、網(wǎng)絡教學、遠程接入和網(wǎng)上辦公等,這就決定了校園網(wǎng)安全方面具有如下特點:

(1)開放的網(wǎng)絡環(huán)境。由于學校具有教學和科研的特點,所以要求校園網(wǎng)絡的環(huán)境是開放的,而且在管理方面較企業(yè)網(wǎng)絡來說更寬松一些。在校園網(wǎng)環(huán)境下,不可能像企業(yè)網(wǎng)絡一樣實施過多的限制,否則一些新的應用、新的技術(shù)很難在校園網(wǎng)內(nèi)部實施。這樣就會留下一些安全隱患;

(2)活躍的用戶群。在高校中,學生通常是最活躍的網(wǎng)絡用戶,而且數(shù)量非常龐大,他們對網(wǎng)絡新技術(shù)充滿好奇,敢于嘗試。一些學生會嘗試使用從網(wǎng)上學到的或者是自己研究的一些攻擊技術(shù),而這些行為可能對校園網(wǎng)絡造成一定的影響和破壞;

(3)用戶計算機系統(tǒng)無法實施統(tǒng)一管理。高校校園網(wǎng)用戶構(gòu)成較復雜,數(shù)量龐大,用戶的計算機一般是由自己維護的,由于用戶水平參差不齊,一些計算機水平較低的學生和老師無法進行基礎的安全防范如更新系統(tǒng)、安裝和升級防病毒軟件等。另外,用戶大多數(shù)是使用盜版軟件或者是在互聯(lián)網(wǎng)上下載的一些破解軟件,這些軟件存在很多的問題,例如留有后門、攜帶病毒、嵌入有惡意軟件等,這些都會影響計算機系統(tǒng)的正常運行。在這些情況下要求統(tǒng)一對所有計算機進行管理需要付出很大的財力、人力、物力,并且實施起來相當困難。

以上這些特點是造成校園網(wǎng)容易成為攻擊源的主要原因,同時也造成校園網(wǎng)成為最容易攻擊的目標。

3 校園網(wǎng)面臨的安全威脅

校園網(wǎng)作為學校重要的基礎設施,其網(wǎng)絡安全狀況直接影響著學校的正常運作。在建設初期中,由于安全意識、安全管理等多方面的原因,在網(wǎng)絡安全方面沒有引起足夠的重視,隨著應用的深入,校園網(wǎng)上各種數(shù)據(jù)急劇增加,網(wǎng)絡的攻擊越來越多,各種各樣的安全問題開始阻礙了校園網(wǎng)的正常運行,造成網(wǎng)絡安全事故不斷發(fā)生,使校園網(wǎng)的安全面臨極大的威脅。同時,隨著網(wǎng)絡規(guī)模的不斷擴大,復雜性不斷增加,異構(gòu)性不斷提高,用戶對網(wǎng)絡性能要求的不斷提高,網(wǎng)絡安全管理也逐步成為網(wǎng)絡管理中極為關(guān)鍵的任務之一。

從根本上說,校園計算機網(wǎng)絡系統(tǒng)的安全隱患都是利用了網(wǎng)絡系統(tǒng)本身存在的安全弱點,而系統(tǒng)在使用、管理過程中的失誤和疏漏更加劇了問題的嚴重性。威脅高校網(wǎng)絡系統(tǒng)的安全的因素很多,主要表現(xiàn)如下:

3.1 網(wǎng)絡協(xié)議漏洞造成的威脅

TCP/IP協(xié)議簇是互聯(lián)網(wǎng)使用的網(wǎng)絡協(xié)議,也是多數(shù)高校校園網(wǎng)采用的網(wǎng)絡協(xié)議。TCP/IP協(xié)議簇具有開放性和通用性等特點,并且在因特網(wǎng)最初的設計中基本沒有考慮安全問題,存在著很大的安全隱患,缺乏強健的安全機制,同時,任何組織或個人都可以研究、分析及使用,因此,TCP/IP協(xié)議的任何安全漏洞都可能被利用。主要存在的安全問題有:

(1)數(shù)據(jù)竊聽(Packet Sniff) :TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸,因此數(shù)據(jù)信息很容易被竊聽、篡改和偽造。攻擊者可以利用Sniffer Pro或網(wǎng)絡分析儀等捕獲網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包,獲取有價值的信息如用戶賬號、口令及其它機密信息等,從而達到攻擊的目的;

(2)源地址欺騙(Source Address Spoofing):通過偽造某臺主機的IP地址騙取特權(quán)從而進行攻擊的技術(shù)。由于TCP/IP協(xié)議使用IP地址作為網(wǎng)絡節(jié)點的唯一標識,但是節(jié)點的IP地址又不是固定不變的,因此攻擊者可以冒充某個可信任節(jié)點進行攻擊。

(3)源路由選擇欺騙(Source Routing Spoofing):通過指定路由,以假冒身份與其他主機進行合法通信或發(fā)送假報文,使受攻擊主機出現(xiàn)錯誤動作。在TCP/IP協(xié)議中,IP數(shù)據(jù)包為了測試的目的設置了一個選項――IP Source Routing,該選項可以直接指明到達節(jié)點的路由,攻擊者可以利用這個選項進行欺騙,進行非法連接。攻擊者通過冒充某個可信任節(jié)點的IP地址,構(gòu)造一個通往某個服務器的直接路徑和返回路徑,利用可信任用戶作為通往服務器的路由中的最后一站,就可以向服務器發(fā)送請求,對其進行攻擊。

(4)ARP欺騙(Address Resolution Protocol Spoofing):ARP協(xié)議的作用是在通信過程中將IP地址轉(zhuǎn)換為MAC地址。在安裝有TCP/IP協(xié)議的主機系統(tǒng)中都有一個IP地址與MAC地址的對應轉(zhuǎn)換表,主機在發(fā)送數(shù)據(jù)幀前會查詢轉(zhuǎn)換表,將目標MAC地址更改為目標IP所對應的MAC地址。ARP欺騙就是向被攻擊主機發(fā)送虛假的IP-MAC對應信息,從而達到欺騙的目的。

(5)鑒別攻擊(Authentication Attacks):TCP/IP協(xié)議只能以IP地址進行鑒別,而不能對節(jié)點上的用戶進行有效的身份認證,因此服務器無法鑒別登陸用戶的身份的真實性和有效性。目前主要依靠服務器軟件平臺提供的用戶控制機制,比如用戶名、口令等。雖然口令是以密文存放在服務器上,但是由于口令是靜態(tài)的、明文傳輸?shù)?,所以無法抵御重傳、竊聽。而且在很多系統(tǒng)中常常將加密后的口令文件存放在一個普通用戶就可以讀到的文件里,攻擊者也可以運行準備好的口令破譯程序來破譯口令,對系統(tǒng)進行攻擊。

(6)TCP序列號欺騙(TCP Sequence Number Spoofing):由于TCP序列號可以預測,因此攻擊者可以構(gòu)造一個TCP序列號,對網(wǎng)絡中的某個可信節(jié)點進行攻擊。

(7)ICMP攻擊(ICMP Attacks):ICMP是關(guān)于IP差錯與控制的協(xié)議,但ICMP中的許多功能可被攻擊者利用來實施攻擊,如攻擊者可利用:ICMP重定向消息(ICMP redirect message)來破壞路由機制和提高偵聽業(yè)務流能力;ICMP回應請求/應答消息(ICMP echo request/ reply message)實行拒絕服務攻擊;ICMP目的不可達消息(Destination unreachable message)實現(xiàn)點對點應用的拒絕服務;ICMP的ping命令可以獲得關(guān)于一個網(wǎng)絡的設置和可達性等信息。

(8)拒絕服務((DoS)攻擊:這是一種最古老也是最有效的攻擊方法。它可以針對任何加密系統(tǒng)進行攻擊,因為加密并不是沒有代價的,加密和驗證運算都需要消耗大量的資源(包括占用CPU的時問)。如果組織大量數(shù)據(jù)同時訪問某主機,使得該主機在驗證數(shù)據(jù)合法性的同時,做大量不相干的事,完全可能使該主機陷入癱瘓,而無法響應正常的數(shù)據(jù)訪問。

(9)IP棧攻擊(IP Stack Attack):利用大多數(shù)操作系統(tǒng)不能處理有著相同源、目的IP地址(主機名、端口)IP包的缺陷,把偽造的此種類型的IP包發(fā)往目標主機,就能導致目標主機系統(tǒng)崩潰。

3.2 操作系統(tǒng)及應用系統(tǒng)的漏洞造成的威脅

操作系統(tǒng)及應用系統(tǒng)漏洞的大量存在是網(wǎng)絡安全問題的嚴峻的重要原因之一。根據(jù)國際權(quán)威應急組織CERT/CC統(tǒng)計(如表1所示),2006年公布漏洞數(shù)8064個,自1995年以來各年來漏洞公布總數(shù)30780個,從近幾年統(tǒng)計情況看,發(fā)現(xiàn)漏洞數(shù)量處于較高水平,并且有逐年增加的趨勢。另外,利用漏洞發(fā)動攻擊的速度加快,據(jù)Symantec統(tǒng)計,2004年下半年,公布漏洞與相關(guān)的漏洞攻擊代碼之間相隔的時間為6. 4天,到了2005年上半年,公布安全漏洞到相關(guān)攻擊代碼之間的平均時間由6.4天縮短為6.0天。

表1 CERT漏洞統(tǒng)計報告

近幾年來,利用漏洞開發(fā)的計算機病毒在互聯(lián)網(wǎng)上泛濫成災,頻頻掀起發(fā)作狂潮,并且隨著網(wǎng)絡帶寬和計算機數(shù)量的增加,病毒的傳播速度越來越快。以“求職信”、“紅色代碼”、“尼姆達”和“2003蠕蟲王”為代表的蠕蟲病毒,通過Internet在全球范圍內(nèi)迅速蔓延,造成嚴重的網(wǎng)絡災害。例如,2002年4月中旬,“求職信”惡性網(wǎng)絡病毒襲擊捷克,使其蒙受重大經(jīng)濟損失,中國大陸及臺灣地區(qū)也遭受攻擊。2003年1月25日,新型蠕蟲病毒“2003蠕蟲王”大規(guī)模爆發(fā),波及亞洲、美洲和澳洲等地區(qū),致使我國互聯(lián)網(wǎng)大面積感染。2003年8月11日,在美國爆發(fā)的“沖擊波”蠕蟲病毒開始肆虐全球,并且迅速傳播到歐洲、南美、澳洲、東南亞等地區(qū)。據(jù)報道,截至8月14日,全球已有25萬臺電腦受到攻擊。我國從11日到13日,短短三天間就有數(shù)萬臺電腦被感染,4100多個企事業(yè)單位的局域網(wǎng)遭遇重創(chuàng),其中2000多個局域網(wǎng)陷入癱瘓,嚴重阻礙了電子政務、電子商務等工作的開展,造成巨大的經(jīng)濟損失。2004年最主要的蠕蟲事件是利用微軟視窗系統(tǒng)LSASS漏洞傳播的“震蕩波”系列蠕蟲,造成大量的用戶計算機被感染。根據(jù)CNCERT/CC抽樣監(jiān)測發(fā)現(xiàn)我國有超過138萬個IP地址的主機感染此類蠕蟲。

3.3 攻擊工具獲取容易,使用簡單

在互聯(lián)網(wǎng)上,有很多攻擊工具可自由下載,此類攻擊工具設置簡單、使用簡便,即使對網(wǎng)絡不太精通的人都可以利用攻擊工具進行網(wǎng)絡攻擊。大量的廉價卻很好用的攻擊工具充斥于網(wǎng)絡中,自動化攻擊工具大量泛濫。從圖1可以看出,隨著攻擊復雜度的降低,使得一個普通的攻擊者也可以對系統(tǒng)造成巨大的危害。攻擊技術(shù)的普及使得高水平的攻擊者越來越多,反而言之,安全管理員面臨著巨大的挑戰(zhàn),我們的系統(tǒng)面臨的安全威脅也越來越大。

圖1 攻擊復雜度的變化規(guī)律

3.4 校園網(wǎng)用戶的安全意識不強,計算機及網(wǎng)絡應用水平有限

校園網(wǎng)用戶網(wǎng)絡安全尚未能充分認識,基本上沒有或很少對所使用計算機作安全防范。校園網(wǎng)用戶更多地側(cè)重于各類應用軟件的操作上面,以期望方便、快捷、高效地使用網(wǎng)絡,最大限度地獲取有效的信息資源,而很少考慮實際存在的風險和低效率,很少學習防范病毒、漏洞修復、密碼管理、信息保密的必備知識以及防止人為破壞系統(tǒng)和篡改敏感數(shù)據(jù)的有關(guān)技術(shù)。

目前,關(guān)于網(wǎng)絡安全的法律法規(guī)都已出臺,學校網(wǎng)絡中心也都制定了各自的管理制度,但宣傳教育的力度不夠。許多師生法律意識淡薄,出于好奇或賣弄編程技巧的心理,破壞了網(wǎng)絡的安全。網(wǎng)上活躍的黑客交流活動,也為他們的破壞活動奠定了技術(shù)基礎。

4 結(jié)束語

綜上,構(gòu)建一個覆蓋整個校園網(wǎng)絡的全方位、多層次、多種防御手段的網(wǎng)絡安全防范體系,利用網(wǎng)絡安全防范的相關(guān)技術(shù),從根本上解決來自校園網(wǎng)絡內(nèi)外部對網(wǎng)絡安全造成的各種威脅,為高校的教學信息系統(tǒng)、行政管理、信息交流等提供一個安全的環(huán)境和完整的平臺。

參考文獻:

[1]胡錚.網(wǎng)絡與信息安全[M].北京:清華大學出版社,2006.5:16-21.

[2]矯健,韓芳溪,毛忠東.網(wǎng)絡攻擊手段及防御系統(tǒng)設計[J].計算機工程與應用,2003(33):168-170.

[3]秦宗全,于詠梅,郭大春.校園網(wǎng)絡安全防范體系研究[J].計算機時代,2007(2):16-18.

篇10

【 關(guān)鍵詞 】 IPv6; 互聯(lián)網(wǎng); 安全

Internet Security Research based on IPv6

Ni Hong-biao

(Jilin Police College JilinChangchun 130117)

【 Abstract 】 With the network technology development, the new generation of network protocol—IPv6 obtains the increasing attention. This article will research the network security based on IPv6 protocol. At first, it analyzes IPv6 characteristics and transform between IPV4 and IPv6. In the second place, this paper introduces IPv6 potential safety hazard and the related solution. At last, instrusion detection system is designed based on IPv6 with the key module workflow. This article provides positive significance to the network security workers.

【 Keywords 】 ipv6; internet; security

1 引言

當前,IPv4仍是當前互聯(lián)網(wǎng)的重要協(xié)議,IPv6協(xié)議是在IPv4的基礎上進一步的完善和發(fā)展的,被稱為下一代互聯(lián)網(wǎng)協(xié)議。

自上個世紀末IPv6的提出至今,IPv6協(xié)議的框架已經(jīng)成熟,逐步取代IPV4成為下一代Internet協(xié)議,與IPv4相比,IPv6具有幾項新特點:尋址能力得到擴展、分組頭的格式得到簡化、進一步提高了擴展能力、完善認證和加密機制、提供移動服務。

2 IPv4向IPv6的過渡策略

從IPv4到IPv6的過渡方法有三種:雙協(xié)議棧技術(shù)、隧道技術(shù)及翻譯機制。當前比較常用的技術(shù)是雙協(xié)議棧技術(shù)和隧道技術(shù),翻譯機制由于效率比較低,應用的范圍則較少。

(1)雙協(xié)議棧技術(shù) 該技術(shù)的工作原理是將一臺主機同時安裝IPv6和IPv4兩種協(xié)議,由于兩者建立在相同的物理平臺之上,且傳輸層協(xié)議也沒有任何的區(qū)別,那么,主機就可以同時支持兩種協(xié)議的通信。該技術(shù)可操作性比較強,應用方便,但是卻增加了路由設置,對于網(wǎng)絡中IP地址的耗盡問題仍然無法有效解決。

(2)隧道技術(shù) 該技術(shù)的方法是將IPv6的數(shù)據(jù)包封裝在IPv4的數(shù)據(jù)包中,經(jīng)過網(wǎng)絡傳輸,到達目的主機后進行解封。這是當前最有效的過渡方法,該技術(shù)同樣要求在主機上安裝IPv4及IPv6兩種協(xié)議。隧道技術(shù)的封裝如圖1所示。

(3)協(xié)議轉(zhuǎn)換技術(shù) 該技術(shù)是由NAT技術(shù)轉(zhuǎn)換而來,其轉(zhuǎn)換技術(shù)是IPv6與IPv4之間的中間件,對于安裝兩種不同協(xié)議的主機來說,不需要對自身做出任何配置工作,就可以保證兩者之間的正常通信。

3 IPv6的安全機制

IPv6協(xié)議的安全機制是IPSec,它內(nèi)置于協(xié)議之中,IPSec主要有ESP(封裝安全負載)、AH(認證報頭)、SA(安全連接)和IKMP(網(wǎng)絡密鑰管理協(xié)議)四部分組成。其體系結(jié)構(gòu)如圖2所示。

IPv6協(xié)議的安全系數(shù)要遠遠好于IPv4協(xié)議,且安全的算法不再局限于特定的算法,可以有效保證IP數(shù)據(jù)包的安全。

4 IPv6的安全問題及策略

4.1 IPv6的安全隱患

IPv6協(xié)議要優(yōu)于IPV4協(xié)議,但是網(wǎng)絡共享的特點只要還存在,IPv6同樣存在著來自不同方面的威脅,主要有幾個方面。

(1)網(wǎng)絡病毒及木馬 IPv6網(wǎng)絡中的地址數(shù)目眾多,但是網(wǎng)絡數(shù)據(jù)的傳輸要通過關(guān)鍵的服務器及路由來進行,所以當這些關(guān)鍵的節(jié)點受到攻擊時,同樣可到致整個網(wǎng)絡系統(tǒng)崩潰。而木馬和病毒的傳播,受影響最多的節(jié)點就是路由和服務器。

(2)Dos攻擊 該方式是通過消耗目的主機資源的方式展開攻擊,在IPv6協(xié)議里,地址FF01::1表示動態(tài)分配地址,如果向該地址進行攻擊,會造成整個網(wǎng)絡系統(tǒng)資源的大量損失。而通過IPv6協(xié)議的安全驗證機制,一方面加大自身主機的資源損失,另一方面是對合法的數(shù)據(jù)可能在計算非法數(shù)據(jù)過程中丟失。

(3)TCP缺陷攻擊 利用TCP協(xié)議的三次握手,可以保證數(shù)據(jù)的安全準確到達,但是當大量的偽造TCP報文向目的主機發(fā)送時,會占用大量的緩存空間和連接空間,致使正確的數(shù)據(jù)無法得到正確的響應和接收。

(4)應用服務威脅 當前,網(wǎng)絡的應用功能越來越完善,應用的范圍也越來越廣,與此同時,在使用具體的應用功能時,攻擊者可能將一些非法的數(shù)據(jù)或木馬程序移植在應用程序之中,致使網(wǎng)絡的安全受到威脅。

4.2 安全策略

針對上述的問題,我們進行有針對性地防范,主要采取的措施有幾項。

(1)建立安全的可信網(wǎng)絡 對網(wǎng)絡中的節(jié)點進行有效的識別,將網(wǎng)絡中可信的、安全的網(wǎng)絡路由和服務器進行匯總,訪問時采取優(yōu)先訪問的原則,而對于無法識別安全性能的網(wǎng)絡節(jié)點,則對其數(shù)據(jù)進行重點防范和及時查殺病毒木馬。

(2)DOS攻擊的防范 由于攻擊者隱藏在無數(shù)的網(wǎng)絡節(jié)點之中,而且根本沒有推測攻擊發(fā)起的時間和具體攻擊的對象,因此,對于DOS攻擊只能采取積極的防范。當前針對該攻擊主要采取的方法有報文過濾、資源共享、信任鏈路等有效措施。

5 基于IPv6的入侵檢測系統(tǒng)

對于IPv6協(xié)議的防范,可以通過入侵檢測系統(tǒng)來完成,對于系統(tǒng)來說,主要分為三部分,分別是數(shù)據(jù)輸入、處理和輸出。

系統(tǒng)設計的硬件平臺為:若干臺可以連接互聯(lián)網(wǎng)的PC機,配置為:CPU Pentium 4 2.8G、內(nèi)存2G、硬盤160G,兩塊網(wǎng)卡Intel(R) PRO/100 VE Network Connection,一塊作為IPv4網(wǎng)絡的接口,一塊作為IPv6網(wǎng)絡的接口。

本文所設計的入侵檢測系統(tǒng)的設計、開發(fā)軟件環(huán)境為:使用Windows XP操作系統(tǒng),它是一個雙協(xié)議棧主機,IPv4協(xié)議棧操作系統(tǒng)自帶,IPv6協(xié)議棧在Windows XP中已經(jīng)集成,可以直接安裝,開發(fā)工具使用Microsoft Visual C++ 6.0,Windows XP Device Drivers Kit(Windows XP DDK)。

系統(tǒng)主要是數(shù)據(jù)的處理部分,該部分由七個模塊組成,分別是存儲模塊、響應模塊、分析檢測模塊、規(guī)則處理模塊、協(xié)議解決模塊、數(shù)據(jù)包捕捉模塊和特征庫組成。

核心代碼如下所示:

u_char this_xieyi;

this_xieyi = (u_char)bao_type;

struct map_jilu *faxian_elm=NULL;

//處理TCP/UDP/ICMP

if(this_xieyi==XIEYI_TCP){

faxian_elm=maptb.FaxianFromOuter(*((u_short *)

retrieve_kuanjia(huancun.WZ_DST_TCPPORT)),

retrieve_kuanjia(huancun.WZ_SRC_IP),

*((u_short *)retrieve_kuanjia(huancun.WZ_SRC_TCPPORT)),

this_xieyi);

}

Else if (this_xieyi== XIEYI_UDP){

faxian_elm=maptb.FaxianFromOuter(*((u_short *)

retrieve_kuanjia(huancun.WZ_DST_UDPPORT)),

retrieve_kuanjia(huancun.WZ_SRC_IP),

*((u_short *)retrieve_kuanjia(huancun.WZ_SRC_UDPPORT)),

this_xieyi);

}

Else if ((this_xieyi== XIEYI_ICMP)&&isicmpreply(huancun)){

faxian_elm=maptb.FaxianFromOuter(*((u_short *)

retrieve_kuanjia(huancun.WZ_ICMP_ID)),

retrieve_kuanjia(huancun.WZ_SRC_IP),

*((u_short *)retrieve_kuanjia(huancun.WZ_ICMP_ID)),

this_xieyi);

}

if(faxian_elm==NULL) //如果沒有找到

{

*pIPv6_address=in6addr;

*pIPv6_port=0;

Return NO_MAPPING;

}else{ //找到合適的映射表條目

*pIPv6_address=faxian_elm->inner_ip;

*pIPv6_port= faxian_elm->inner_port;

對于IPv6和IPv4網(wǎng)絡之間進行通信,以保證數(shù)據(jù)準確的、實時到達,通過Ping對其進行時延測試,測試結(jié)果如表1所示。

6 結(jié)束語

目前,我國純IPv6協(xié)議的網(wǎng)絡只是在局部的范圍內(nèi)應用,在相當長的一段時間內(nèi),還需要IPv4與IPv6協(xié)議彼此共存,對于兩種協(xié)議之間的轉(zhuǎn)換,當前國際上并沒有統(tǒng)一的標準,在不斷深入研究的過程中,會不斷地改進。純IPv6協(xié)議的安全系數(shù)相對較高,但IPv4與IPv6兩者進行通信,數(shù)據(jù)包的丟失現(xiàn)象還存在,需要進一步地研究。

參考文獻

[1] 熊英. IPv4/IPv6代溝協(xié)議轉(zhuǎn)換技術(shù)的設計. 通信世界,2003.9.

[2] 蘇金樹,涂睿,王寶生,劉亞萍.互聯(lián)網(wǎng)新型安全和管理體系結(jié)構(gòu)研究展望.計算機應用研究,2009.10.

[3] 黃曉榕. 對新一代IP協(xié)議IPv6的分析.西南財經(jīng)大學,2001.5.

[4] 楊云江,高鴻峰.IPv6技術(shù)與應用[M]. 清華大學出版社,2010.2.

基金項目:

項目編號:吉林警察學院院級科研課題yjky201311。