導(dǎo)語：如何才能寫好一篇icmp協(xié)議，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

引言

無線局域網(wǎng)被認(rèn)為是下一代IT產(chǎn)業(yè)發(fā)展的是大推動(dòng)之一，被IT業(yè)賦予了極大的希望。無線局域網(wǎng)802.11系列標(biāo)準(zhǔn)的MAC協(xié)議是一樣的，只是在物理層上有差異，因此對(duì)802.11MAC協(xié)議的開發(fā)，不論是在802.11b流行的今天，還是802.11g可能會(huì)成為主流的將來，都是很有意義的。當(dāng)然，ARM以其先進(jìn)的體系結(jié)構(gòu)已經(jīng)成為嵌入式市場的RISC標(biāo)準(zhǔn)，因此基于ARM的IEEE802.11MAC協(xié)議的開發(fā)是很有現(xiàn)實(shí)意義的。

我們的開發(fā)流程如圖1所示。

PC軟件開發(fā)是指脫離硬件的嵌入式軟件開發(fā)階段。此階段可以在各種IDE環(huán)境下進(jìn)行開發(fā)，并進(jìn)行軟仿真來驗(yàn)證軟件的邏輯正確性。然后將開發(fā)出來的PC軟件結(jié)合硬件所需要的硬件相關(guān)代碼向硬件平臺(tái)進(jìn)行移值調(diào)試。前兩個(gè)階段完成后就得到了開發(fā)的最終成品。

1 協(xié)議結(jié)構(gòu)

IEEE802.11MAC協(xié)議的SDL描述可以分為以下幾個(gè)功能模塊，如圖2所示。

*MAC數(shù)據(jù)服務(wù)模塊：向LLC層提供MAC層的數(shù)據(jù)服務(wù)接口。

*MPDU生成模塊：將MSDU（MMPDU）生成MPDU，并對(duì)MPDU分段、加密以及進(jìn)行排隊(duì)管理。

*協(xié)議控制模塊：完成DCF、PCF下的各種協(xié)議控制功能，包括RTS/CTS、ACK、ATIM、CF-ACK等，并根據(jù)信道狀態(tài)請(qǐng)求退避，在傳送數(shù)據(jù)挫敗后控制重傳等。該模塊還負(fù)責(zé)對(duì)所有接收到的MAC幀進(jìn)行分類，按不同的類型送到不同的模塊進(jìn)行處理。

*發(fā)送模塊：將MAC幀以字節(jié)流的形式發(fā)送到物理層，完成實(shí)際的發(fā)送過程。這個(gè)模塊中要完成對(duì)整個(gè)發(fā)送幀產(chǎn)生CRC校驗(yàn)，向發(fā)送的beacon幀中加入時(shí)戳用來進(jìn)行時(shí)間同步。這個(gè)模塊還負(fù)責(zé)處理底層獲得的當(dāng)前信道的狀態(tài)，完成協(xié)議要求的隨機(jī)退避功能。

*接收模塊：對(duì)從物理層接收到的幀進(jìn)行CRC校驗(yàn)。如果正確接收的話，則進(jìn)行地址過濾，丟棄目的地址不是自己的幀。如果數(shù)據(jù)是經(jīng)過分段的話，還有進(jìn)行數(shù)據(jù)分段的重裝，然后將接收幀送往協(xié)議控制模塊進(jìn)行分類處理。同時(shí)，這個(gè)模塊還要提取接收幀中的信道保留信息，結(jié)合信道上有無載波的狀況綜合判斷信道的狀態(tài)，并把信道的狀態(tài)送往發(fā)送模塊來協(xié)調(diào)退避功能的完成。

*MAC管理實(shí)體模塊：是管理核心，完成所有的管理功能，包括掃描、入網(wǎng)、認(rèn)證、解認(rèn)證、關(guān)聯(lián)、解關(guān)聯(lián)、重新關(guān)聯(lián)、beacon幀的發(fā)送、站點(diǎn)狀態(tài)管理等功能。

*MAC管理服務(wù)模塊：提供MAC管理接口，包括MIB庫的管理，對(duì)MIB庫的訪問，并將管理接口傳來的管理服務(wù)請(qǐng)求送到MLME模塊進(jìn)行實(shí)際處理，將結(jié)果返回給管理接口。

2 協(xié)議實(shí)現(xiàn)

IEEE802.11MAC協(xié)議的SDL流程中各模塊之間的交互是通過信號(hào)的方式來完成的，模塊之間通過交互信息來協(xié)調(diào)工作，并且完成各種MAC幀的結(jié)構(gòu)之間的傳遞。我們將信號(hào)定義為Signal(PID,SID,Param)參數(shù)PID用來標(biāo)準(zhǔn)信號(hào)的目的模塊，SID用來標(biāo)志信號(hào)在目的模塊中由哪個(gè)函數(shù)來處理，參數(shù)Param是一個(gè)指向存儲(chǔ)區(qū)的指針，存儲(chǔ)區(qū)里存放的是信號(hào)所要傳遞的信息。為了能使整個(gè)協(xié)議在信號(hào)的驅(qū)動(dòng)下運(yùn)行，需要由一個(gè)功能實(shí)體來完成信號(hào)的處理過程。這里采用的是一個(gè)循環(huán)隊(duì)列來存放產(chǎn)生的信號(hào)，由主循環(huán)程序來不斷檢測隊(duì)列中的信號(hào)，根據(jù)信號(hào)的PID和SID調(diào)用相應(yīng)模塊里的信號(hào)處理函數(shù)進(jìn)行處理。

協(xié)議中還涉及大量的比較判斷和定時(shí)操作，當(dāng)比較成立或定時(shí)到期后，進(jìn)入相應(yīng)的處理程序。其實(shí)，我們可以認(rèn)為當(dāng)比較成立或時(shí)間到期產(chǎn)生相應(yīng)的信號(hào)，然后由信號(hào)處理機(jī)制來完成后續(xù)的工作。我們所要做的只是定義一個(gè)比較隊(duì)列和一個(gè)定時(shí)隊(duì)列，比較操作加到比較隊(duì)列中，定時(shí)操作加到定時(shí)隊(duì)列中，由主循環(huán)檢測這兩個(gè)隊(duì)列。當(dāng)某個(gè)比較判斷成立時(shí)或某個(gè)定時(shí)期時(shí)從相應(yīng)的隊(duì)列中取出，然后再以信號(hào)方式加入到信號(hào)隊(duì)列中去。因此我們將比較操作和定時(shí)操作分別定義為：

Compare(PID,SID,Param11,Param12,Param21,Param22,Param31,Param32);

Timer(PID,SID,Time);

PID、SID標(biāo)志比較成立或定時(shí)到期時(shí)產(chǎn)生的信號(hào)，Paramil、Parami2(i=1,2,3)為比較操作中需要進(jìn)行比較的幾對(duì)數(shù)據(jù)。Time為定時(shí)操作中設(shè)定的定時(shí)值。

上面介紹的機(jī)制建構(gòu)了協(xié)議框架，然后在這個(gè)框架基礎(chǔ)上按照SDL流程編寫相應(yīng)的信號(hào)處理函數(shù)就要吧實(shí)現(xiàn)整個(gè)協(xié)議。

前期協(xié)議開發(fā)了驗(yàn)證邏輯上的正確性。我們?cè)贛icrosoft Visual C++環(huán)境下進(jìn)行開發(fā)并進(jìn)行了軟仿真，結(jié)果表明所開發(fā)的設(shè)計(jì)在邏輯上是正確可行的。

3 協(xié)議向ARM平臺(tái)的移植

我們所使用的ARM硬件平臺(tái)ARM anywhere II采用的是三星公司的ARM芯片S3C4510B。S3C4510B是采用ARM7TDMI核的高性價(jià)比RISC微控制器，特別適用于網(wǎng)絡(luò)應(yīng)用系統(tǒng)。

我們開發(fā)了一個(gè)軟件模塊PHY來模擬物理層收斂過程子層（PLCP），對(duì)于物理介質(zhì)依賴子層（PMD）我們沒有實(shí)現(xiàn)。這并不影響MAC協(xié)議的開發(fā)。LLC層的數(shù)據(jù)通過PC串口發(fā)送到ARM平臺(tái)來模擬，數(shù)據(jù)經(jīng)過MAC處理后送到PLCP子層，然后由PLCP子層直接發(fā)送。數(shù)據(jù)發(fā)送通過ARM的通用I/O來實(shí)現(xiàn)，發(fā)送速率由S3C4510B的定時(shí)器來控制。

在將802.11MAC協(xié)議向ARM平臺(tái)的移植方案中，有一部分代碼的執(zhí)行是依賴于ARM平臺(tái)的。這部分代碼的移植工作需要特別注意，包括以下幾個(gè)方面：

①定時(shí)器。協(xié)議中要求的隨機(jī)退避過程需要底層周期性的送slot來進(jìn)行，這個(gè)周期性 slot需要用定時(shí)器來實(shí)現(xiàn)。協(xié)議中的網(wǎng)絡(luò)分析矢量NAV需要用定時(shí)器來實(shí)現(xiàn)，以判斷NAV的狀態(tài)。協(xié)議中定義的幾種幀間隔IFS（SIFS、DIFS、PIFS、EIFS）也需要利用定時(shí)器來實(shí)現(xiàn)。

②外部中斷。802.11MAC協(xié)議中一個(gè)重要部分就是載波監(jiān)聽。當(dāng)信道狀態(tài)變化時(shí)（由忙到閑，由閑到忙）都要給負(fù)責(zé)監(jiān)聽信道狀態(tài)的模塊一個(gè)指示（CCA），指示當(dāng)前的信道狀態(tài)。這個(gè)過程可以由S3C4510B ARM芯片的外部中斷來很好地實(shí)現(xiàn)。由于S3C4510B ARM芯片可以對(duì)中斷檢測方式進(jìn)行配置，可以將中斷檢測方式配置為上升沿和下降沿均觸發(fā)中斷，這些就能很好地模塊協(xié)議的中物理載波監(jiān)聽（CS）。

③I/O。模擬PLCP子層的數(shù)據(jù)收發(fā)，一共用到8個(gè)I/O端口，一次發(fā)送8位。在發(fā)送數(shù)據(jù)時(shí)，還使用了一個(gè)I/O端口作為發(fā)送指示。這個(gè)I/O端口通過信道模擬器連接到其它節(jié)點(diǎn)的用來監(jiān)聽信道狀態(tài)的外部中斷引腳上。

④UART。我們用UART來實(shí)現(xiàn)PC和ARM的通信。一些管理命令，例如掃描、入網(wǎng)、認(rèn)證、關(guān)聯(lián)、解認(rèn)證、解關(guān)聯(lián)，節(jié)點(diǎn)的配置信息例如MAC地址等都可以從串口來發(fā)送給ARM。另外，所有發(fā)送的數(shù)據(jù)都會(huì)通過串口傳送給ARM進(jìn)行發(fā)送，所有接收到的數(shù)據(jù)將通過串口回傳給PC。

⑤以太網(wǎng)控制器。以太網(wǎng)控制器在AP中是比較有用的。由于AP之間是通過有線的骨干網(wǎng)（backbone）來進(jìn)行連接的，從而組成了分布式系統(tǒng)（DS），以太網(wǎng)控制器已經(jīng)集成了IEEE802.11接口，就為實(shí)現(xiàn)這個(gè)有線的backbone提供了便利。

4 硬件仿真環(huán)境

圖3中，IEEE802.11MAC協(xié)議和PLCP子層模擬模塊都都在ARM平臺(tái)上，串口通信程序運(yùn)行在PC上。它和ARM的UART進(jìn)行通信用于模擬LLC層數(shù)據(jù)服務(wù)和上層的管理服務(wù)，同時(shí)它還可以顯示節(jié)點(diǎn)的運(yùn)行狀態(tài)和當(dāng)前的網(wǎng)絡(luò)狀態(tài)。

下面介紹一下我們使用的簡易信道模擬器的原理。信道模擬器對(duì)應(yīng)每個(gè)節(jié)點(diǎn)（ARM平臺(tái)）有一套接口，其中有8個(gè)I/O用于數(shù)據(jù)傳輸。由于無線信道是開放式的，一個(gè)節(jié)點(diǎn)發(fā)送時(shí)其它節(jié)點(diǎn)都能收到，因此在信道模擬器中每個(gè)節(jié)點(diǎn)的8個(gè)I/O是兩兩相通的，這樣就能保證一個(gè)節(jié)點(diǎn)發(fā)送時(shí)其它節(jié)點(diǎn)都能收到。另外，由于要模擬信道上的載波監(jiān)聽過程，我們用到了ARM上的外部中斷用做載波監(jiān)聽位（CS），然后用一個(gè)I/O發(fā)送指示（TR）。這樣，信道模擬器上要維持任何一個(gè)節(jié)點(diǎn)的CS位，都與其它節(jié)點(diǎn)的TR有一定的邏輯關(guān)系，例如，當(dāng)一個(gè)節(jié)點(diǎn)發(fā)送時(shí)，將其TR置為0（0表示信道變忙，ARM引腳初始電平為高電平1），則這個(gè)0應(yīng)該立即能反映到其它節(jié)點(diǎn)的CS位上從而產(chǎn)生中斷，其它節(jié)點(diǎn)都會(huì)知道信道變忙而開始從信道接收數(shù)據(jù)。同時(shí)，當(dāng)節(jié)點(diǎn)發(fā)送完畢后將TR置為1，其它節(jié)點(diǎn)就會(huì)產(chǎn)生中斷并且檢測到CS位為1從而知道信道變閑，接收結(jié)束。

實(shí)際的信道模擬支持兩個(gè)基本服務(wù)區(qū)（BSS）組成的分布式系統(tǒng)（DS），每個(gè)BBS內(nèi)支持1個(gè)AP和2個(gè)普通節(jié)點(diǎn)。這內(nèi)部的邏輯關(guān)系用可編程邏輯器件實(shí)現(xiàn)。

5 移植過程中的注意事項(xiàng)

PHY軟件模塊模擬PLCP子層，負(fù)責(zé)完成要求的載波監(jiān)聽和數(shù)據(jù)收發(fā)時(shí)的定時(shí)控制。這些功能都是采用中斷方式實(shí)現(xiàn)的，因此要求代碼執(zhí)行速率要快。這里使用匯編語言開發(fā)來提供代碼的執(zhí)行效率。

為了獲得較高的代碼執(zhí)行速率和快速的中斷響應(yīng)，要求所有協(xié)議代碼和中斷服務(wù)程序都在SDRAM中執(zhí)行。這就涉及到在設(shè)計(jì)ARM的初始化代碼時(shí)要正確配置相應(yīng)的存儲(chǔ)區(qū)控制寄存器，并且完成代碼的搬移和地址的重映射。

圖3

    ARM的初始化代碼包括：

*定義入口點(diǎn)（entry point）。

*定義異常向量表，用來處理各種CPU異常，其中包括中斷。

*配置SDRAM和Flash的地址范圍、時(shí)序等參數(shù)，以使這些存儲(chǔ)器能正常工作。

*代碼搬移。程序代碼一般應(yīng)從Flash調(diào)入SDRAM中運(yùn)行，以提高系統(tǒng)的運(yùn)行速度。同時(shí)，系統(tǒng)及用戶堆棧、運(yùn)行數(shù)據(jù)也都放在SDRAM中。

*對(duì)SDRAM進(jìn)行地址重映射，從初始時(shí)地址空間的高端搬移到0x0開始的位置。

*初始化堆棧。

*初始化存儲(chǔ)區(qū)。

*根據(jù)需要改變處理器工作模式。

*開中斷。

*到C程序代碼入口點(diǎn)開始執(zhí)行。

另外，移植過程中還要考慮的一個(gè)問題是內(nèi)存分配的問題。嵌入式系統(tǒng)中對(duì)內(nèi)存的分配，一般來說要求快速可靠并且有效，實(shí)際上就是在采用靜態(tài)分配內(nèi)存還是動(dòng)態(tài)分配存的問題。如果系統(tǒng)要求對(duì)實(shí)時(shí)性要求高并且不能容忍分配失敗，這時(shí)就需要采用靜態(tài)分配內(nèi)存。采用靜態(tài)分配一個(gè)不可避免的問題就是系統(tǒng)失去了靈活性，必須在設(shè)計(jì)階段就預(yù)先估計(jì)所需要的內(nèi)存并對(duì)其作出分配，并且要考慮到所有可能的情況。我們?cè)谝浦策^程中，考慮到實(shí)時(shí)生和可靠性是我們的主要目標(biāo)，并且我們的ARM平臺(tái)具有較大的存儲(chǔ)區(qū)，因而采用了靜態(tài)分配的方式。

篇2

關(guān)鍵詞：內(nèi)網(wǎng)安全 ICMP 主機(jī)探測

1引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。信息網(wǎng)絡(luò)涉及到國家的政府、軍事等諸多領(lǐng)域。提起網(wǎng)絡(luò)安全，人們自然就會(huì)想到病毒破壞和黑客攻擊，其實(shí)不然。常規(guī)安全防御理念往往局限在網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界（防火墻、漏洞掃描、防病毒、IDS）等方面的防御，重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。相反，來自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)客戶端的安全威脅卻是眾多安全管理人員所普遍反映的問題。因此，內(nèi)網(wǎng)安全問題也成為現(xiàn)在網(wǎng)絡(luò)建設(shè)中不得不考慮的問題。

2相關(guān)技術(shù)

2.1網(wǎng)絡(luò)探針技術(shù)

網(wǎng)絡(luò)探針是對(duì)接入網(wǎng)絡(luò)的計(jì)算機(jī)終端進(jìn)行接入控制的一種程序，它由網(wǎng)絡(luò)探針服務(wù)器和網(wǎng)絡(luò)探針客戶端兩部分組成。它能夠監(jiān)測到同一子網(wǎng)內(nèi)沒有安裝運(yùn)行指定程序或沒有進(jìn)行入網(wǎng)授權(quán)的計(jì)算機(jī)，并采取措施自動(dòng)將其引導(dǎo)至指定服務(wù)器下載指定程序或申請(qǐng)入網(wǎng)授權(quán)，也可以直接阻斷這些計(jì)算機(jī)的網(wǎng)絡(luò)通信。網(wǎng)絡(luò)探針的主要功能有以下2個(gè)方面。

1． 網(wǎng)絡(luò)探針的輪詢功能

由哪臺(tái)計(jì)算機(jī)終端擔(dān)任網(wǎng)絡(luò)探針角色是網(wǎng)絡(luò)探針服務(wù)器在安裝有網(wǎng)絡(luò)探針客戶端的計(jì)算機(jī)終端中自動(dòng)指定的，不需要網(wǎng)絡(luò)管理員的特別指定。網(wǎng)絡(luò)探針輪詢功能的優(yōu)點(diǎn)是只要同一子網(wǎng)內(nèi)的計(jì)算機(jī)終端有一臺(tái)運(yùn)行網(wǎng)絡(luò)探針客戶端，就可以保證網(wǎng)絡(luò)探針對(duì)整個(gè)網(wǎng)絡(luò)探測子網(wǎng)生效。

2． 網(wǎng)絡(luò)探針的阻斷計(jì)算機(jī)終端訪問網(wǎng)絡(luò)工作模式

網(wǎng)絡(luò)探針可以利用ARP重定向技術(shù)阻斷網(wǎng)絡(luò)探針檢測到的沒有安裝指定程序或授權(quán)的計(jì)算機(jī)終端試圖訪問網(wǎng)絡(luò)的行為。同理，在網(wǎng)絡(luò)探針的阻斷計(jì)算機(jī)終端訪問網(wǎng)絡(luò)工作模式下，沒有安裝指定程序或授權(quán)的計(jì)算機(jī)也是無法和內(nèi)網(wǎng)中的其他計(jì)算機(jī)終端進(jìn)行通信的。

2.2活動(dòng)主機(jī)探測技術(shù)

活動(dòng)主機(jī)探測[2]是一項(xiàng)探測本地或者遠(yuǎn)程主機(jī)存活情況的技術(shù)，它給端口掃描和操作系統(tǒng)指紋探測提供活動(dòng)主機(jī)。活動(dòng)主機(jī)探測是向目標(biāo)主機(jī)或目標(biāo)主機(jī)的指定端口發(fā)送探測數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)通過分析響應(yīng)的數(shù)據(jù)包來判斷目標(biāo)主機(jī)是否存活。本文用到的活動(dòng)主機(jī)的探測常用方法是ICMP ping：

ICMP ping[3]

向目標(biāo)主機(jī)發(fā)送 ICMP 回顯請(qǐng)求( echo request ICMP 類型為8)報(bào)文，期待從運(yùn)行的主機(jī)得到ICM回顯應(yīng)答( echo reply，ICMP type 0)報(bào)文，從而判斷出目標(biāo)主機(jī)的存活狀態(tài)。通過采用并行輪轉(zhuǎn)形式發(fā)送大量的ICMP ping 請(qǐng)求，可以用來對(duì)一個(gè)網(wǎng)段進(jìn)行大范圍的掃射，由此來確定主機(jī)存活情況。盡管并行輪轉(zhuǎn)探測的準(zhǔn)確率和效率都比較高，但是一般的邊界路由器或防火墻都通過阻塞 ICMP 數(shù)據(jù)報(bào)限制ICMP ping探測。ICMP回顯請(qǐng)求是標(biāo)準(zhǔn)的ICMP ping 查詢，除了ICMP 回顯請(qǐng)求以外，在ICMP 掃描技術(shù)中也用到Non ECHO ICMP 技術(shù)。這種技術(shù)中主要用到 ICMP 時(shí)間戳請(qǐng)求、ICMP 地址掩碼請(qǐng)求和ICMP 信息請(qǐng)求。雖然這些查詢是用來獲得主機(jī)信息如當(dāng)前時(shí)間或地址掩碼，但它們也可以很容易的用于主機(jī)發(fā)現(xiàn)，即有回應(yīng)的主機(jī)就是活動(dòng)的主機(jī)。當(dāng)有些主機(jī)封鎖了ICMP 回顯請(qǐng)求數(shù)據(jù)報(bào)而忘了封鎖其它的ICMP ping查詢，這時(shí)用Non ECHO ICMP技術(shù)探測活動(dòng)主機(jī)是很有價(jià)值的。

3基于內(nèi)網(wǎng)安全的ICMP探測工具設(shè)計(jì)與實(shí)現(xiàn)

內(nèi)網(wǎng)計(jì)算機(jī)監(jiān)控系統(tǒng)[4-5]是為了高效安全管理好內(nèi)網(wǎng)的所有計(jì)算機(jī)而建立的一種管理系統(tǒng)，是信息化建設(shè)、信息安全的重要保障。對(duì)于該基于ICMP協(xié)議的探針工具，本文采用如下圖1的原理框圖：

該探針工具采用的是發(fā)送端加接收端的結(jié)構(gòu)，其中ICMP協(xié)議為探測數(shù)據(jù)包的發(fā)送提供協(xié)議基礎(chǔ)，而winpcap和socket則分別為發(fā)送端和接收端提供通信機(jī)制。首先，在處在A網(wǎng)絡(luò)的發(fā)送端整理好需要探測的目的主機(jī)地址或是目的網(wǎng)段網(wǎng)關(guān)地址。然后，為每個(gè)地址構(gòu)造擁有偽造的源地址（即B網(wǎng)絡(luò)接收端IP地址的）和指定的ICMP報(bào)文數(shù)據(jù)區(qū)內(nèi)容的echo-request請(qǐng)求包并發(fā)送。當(dāng)同時(shí)身處A、B兩個(gè)網(wǎng)絡(luò)的PC主機(jī)收到請(qǐng)求后，會(huì)以為是B網(wǎng)絡(luò)的接收端所在IP對(duì)其的請(qǐng)求而予以回應(yīng)。之后，接收端截獲其所有ICMP數(shù)據(jù)包并解析其詳細(xì)數(shù)據(jù)區(qū)內(nèi)容。如若發(fā)現(xiàn)有與我們預(yù)先設(shè)置的數(shù)據(jù)區(qū)內(nèi)容相同的數(shù)據(jù)包存在，則可根據(jù)該包的源地址確定雙網(wǎng)絡(luò)主機(jī)在A網(wǎng)絡(luò)的具體IP地址，從而及時(shí)發(fā)現(xiàn)雙網(wǎng)絡(luò)主機(jī)的存在。

4工具測試

測試原理圖：

圖中探測段2對(duì)應(yīng)的主機(jī)PC2安裝ICMP探測工具，擔(dān)任網(wǎng)絡(luò)探針角色。實(shí)驗(yàn)結(jié)果表明，在沒有防火墻的情況下，利用“雙探針”配合偽造地址的ICMP請(qǐng)求的方法可以探測到非正常的“雙網(wǎng)絡(luò)”PC3的私接。若被探測主機(jī)防火墻開啟，則捕獲不到來自被探測主機(jī)的ICMP應(yīng)答報(bào)文。

5總結(jié)

基于ICMP的“探針”工具在沒有防火墻的情況下可完成對(duì)“雙網(wǎng)絡(luò)”主機(jī)的探測功能，起到檢測內(nèi)網(wǎng)主機(jī)安全性的作用，防止偽造假冒地址主機(jī)的欺騙性攻擊，可在內(nèi)網(wǎng)安全監(jiān)測中起到一定作用。

參考文獻(xiàn)：

[1]孫大躍，王衛(wèi)亞．計(jì)算機(jī)網(wǎng)絡(luò)—原理、應(yīng)用和實(shí)現(xiàn)［M］．北京：清華大學(xué)出版社，2007：114-116．

[2]張國林，于海英，楊松濤．活動(dòng)主機(jī)探測 ［J］．佳木斯大學(xué)學(xué)報(bào)，2007，25 ( 3)：305-307

[3]杜樹杰．基于ICMP協(xié)議的Ping主機(jī)探測 ［J］．計(jì)算機(jī)系統(tǒng)應(yīng)用，2009，（12）： 212-214.

篇3

【關(guān)鍵詞】蜜罐；指紋匹配；相關(guān)函數(shù)

1 Honeyd軟件介紹

Honeyd是由Niels Provos創(chuàng)建的一種具有開放源代碼的輕型低交互級(jí)別的蜜罐，除了具有蜜罐的共性――引誘攻擊者的攻擊外，它自身的設(shè)計(jì)特點(diǎn)不但可以使Honeyd更有效的完成任務(wù)，還能開發(fā)出許多新的應(yīng)用出來。它可以同時(shí)模仿400多種不同的操作系統(tǒng)和上千種不同的計(jì)算機(jī)。

Honeyd有如下特點(diǎn)：

第一，Honeyd可以同時(shí)模仿上百甚至上千個(gè)不同的計(jì)算機(jī)，大部分蜜罐在同一時(shí)間僅可以模仿一臺(tái)計(jì)算機(jī)，而Honeyd可以同時(shí)呈現(xiàn)上千個(gè)不同的IP地址。

第二，可以通過簡單的配置文件對(duì)服務(wù)進(jìn)行任意配置，可以對(duì)虛擬的主機(jī)進(jìn)行ping操作或者進(jìn)行traceroute，Honeyd可以根據(jù)簡單的配置文件對(duì)虛擬主機(jī)的任何服務(wù)進(jìn)行任意的配置，它甚至可以作為其他主機(jī)的。

第三，可以在TCP/IP層模仿操作系統(tǒng)，這就意味著如果有人闖入用戶的蜜罐時(shí)，服務(wù)和TCP/IP都會(huì)模擬操作系統(tǒng)做出各種響應(yīng)。當(dāng)前，還沒有任何其他的蜜罐具有這種功能，可以完成的工作包括虛擬nmap和xprobe，調(diào)節(jié)分配重組策略以及調(diào)節(jié)FIN掃描策略。

第四，可以模擬任何路由拓?fù)浣Y(jié)構(gòu)，可以配置等待時(shí)間和丟包率。

第五，作為一種開放源代碼的工具，Honeyd可以免費(fèi)使用，同時(shí)也迅速成為了很多安全組織的開發(fā)源代碼的一部分。

2 Honeyd邏輯結(jié)構(gòu)

Honeyd結(jié)構(gòu)由以下幾個(gè)部件組成：配置數(shù)據(jù)庫，中心數(shù)據(jù)包分配器，協(xié)議管理器，服務(wù)處理單元，特征引擎，可選的路由器部分。Honeyd的邏輯結(jié)構(gòu)如圖1所示：

圖1 Honeyd的邏輯結(jié)構(gòu)

各部分的功能分別為：

路由器：路由數(shù)據(jù)包到達(dá)某個(gè)虛擬蜜罐所在的地址，會(huì)產(chǎn)生三種情況：沒有找到目的地址而丟棄數(shù)據(jù)包；沒有找到目的地址，但是可以把數(shù)據(jù)包交付給下一個(gè)路由器；可以直接把數(shù)據(jù)包交付給目的地址。路由是一個(gè)可選擇的邏輯部件。

數(shù)據(jù)包分配器：該邏輯部件核查IP數(shù)據(jù)包的長度，對(duì)IP數(shù)據(jù)包進(jìn)行正確性檢查，核實(shí)確認(rèn)序列號(hào)。分配器只對(duì)協(xié)議管理器分配三種數(shù)據(jù)包：ICMP、UDP、TCP。其他協(xié)議的數(shù)據(jù)包會(huì)被丟棄并且不做任何記錄。

協(xié)議管理器：它包括ICMP/UDP/TCP協(xié)議管理和服務(wù)處理單元。ICMP協(xié)議管理支持ICMP請(qǐng)求。默認(rèn)的，所有的蜜罐配置都響應(yīng)回射請(qǐng)求和處理目標(biāo)主機(jī)不可達(dá)信息；TCP和UDP協(xié)議管理器和服務(wù)處理單元能夠?qū)ν饨⑻囟ǚ?wù)的連接。服務(wù)的行為完全依賴于外部應(yīng)用。TCP協(xié)議管理器能夠很好的支持三次握手的建立和FIN或RST的拆卸，但是還不能很好地支持窗口管理和擁塞控制。

特征引擎：將對(duì)發(fā)送的所有數(shù)據(jù)包進(jìn)行指紋匹配，以便在指紋識(shí)別工具前能很好地隱蔽。

配置數(shù)據(jù)庫：它當(dāng)中包含了一切配置參數(shù)，例如虛擬蜜罐的IP地址、默認(rèn)的ICMP響應(yīng)，虛擬鏈路的網(wǎng)絡(luò)屬性，指紋數(shù)據(jù)等。

3 關(guān)鍵技術(shù)

Honeyd能夠虛擬蜜罐，并且能夠利用這些虛擬的蜜罐構(gòu)建松散的虛擬蜜罐網(wǎng)絡(luò)或有層次結(jié)構(gòu)的虛擬蜜罐網(wǎng)絡(luò)，這些虛擬的蜜罐網(wǎng)絡(luò)中甚至可以包含真實(shí)的主機(jī)。然而Honeyd要構(gòu)建虛擬的蜜罐網(wǎng)絡(luò)需要面對(duì)這樣一些問題：首先是攻擊者利用指紋工具對(duì)連接的蜜罐進(jìn)行識(shí)別時(shí)該怎么辦；其次，虛擬出的蜜罐網(wǎng)絡(luò)如果面對(duì)網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)工具時(shí)怎么辦。

Honeyd采用了兩種關(guān)鍵的技術(shù)來欺騙攻擊者，一種是指紋匹配技術(shù)，另一種是虛擬蜜罐網(wǎng)絡(luò)技術(shù)。

4 指紋匹配

為了在被探測的時(shí)候表現(xiàn)得跟真實(shí)的系統(tǒng)一樣，虛擬蜜罐要模擬給定操作系統(tǒng)的網(wǎng)絡(luò)棧行為，這是虛擬蜜罐的一部分特征。不同的特征能被設(shè)計(jì)成不同的虛擬蜜罐。特征引擎通過改變協(xié)議數(shù)據(jù)包頭部來匹配特定的操作系統(tǒng)，從而表現(xiàn)出相應(yīng)的網(wǎng)絡(luò)協(xié)議棧行為，這一過程成為指紋匹配。

Honeyd運(yùn)用NMAP的指紋數(shù)據(jù)庫作為TCP和UDP行為特征的的參考；用XPROBE指紋數(shù)據(jù)庫作為ICMP行為的參考。

下面用NMAP提供的指紋信息來改變蜜罐網(wǎng)絡(luò)棧的特征為例來進(jìn)行說明：

Fingerprint IRIX 6.5.15m on SGI 02

Tseq（Class=TD%gcd=

T1（DF=N%W=EF2A%ACK=S++%Flags=AS%Ops=MNWNNTNNM）

T2（Resp=Y%DF=N%W=O%ACK=S%Flags=AR%Ops=）

T3（Resp=Y%DF=N%W=EF2A%ACK=O%Flags=A%Ops=NNT）

T4（DF=N%W=O%ACK=O%FlagsR%Ops=）

T5（DF=N%W=O%ACK=S++%Flags=AR%Ops=）

T6（DF=N%W=O%ACK=O%Flags=R%Ops=）

T7（DFN%W=O%ACK=S%Flags=R%Ops=）

PU（Resp=n）

T1測試設(shè)置了SYN和ECE TCP flags；T5測試僅設(shè)置了SYN TCP flags。后面7個(gè)測試決定了數(shù)據(jù)包到達(dá)開放的或關(guān)閉的端口的網(wǎng)絡(luò)棧行為。最后一個(gè)分析ICMP對(duì)關(guān)閉的UDP端口的響應(yīng)。

Honeyd保持每一個(gè)蜜罐的可靠性。包括產(chǎn)生ISN信息可靠性，蜜罐的初始化時(shí)間，當(dāng)前IP數(shù)據(jù)包的確認(rèn)號(hào)的可靠性。保持狀態(tài)有利于我們?cè)谥讣y修改后發(fā)送的數(shù)據(jù)包產(chǎn)生后續(xù)的ISN。

滑動(dòng)窗口在不同的環(huán)境下表現(xiàn)出來的大小同樣也會(huì)成為攻擊者進(jìn)行識(shí)別的一部分。當(dāng)Honeyd為一個(gè)新建的連接發(fā)送一個(gè)數(shù)據(jù)包時(shí)，它會(huì)用NMAP指紋去檢測內(nèi)部窗口的大小，在一個(gè)連接建立好以后，Honeyd框架將根據(jù)緩沖區(qū)中數(shù)據(jù)的多少調(diào)整窗口的大小。

5 指紋匹配相關(guān)函數(shù)

Honeyd邏輯上的特征引擎是由相關(guān)的函數(shù)參考配置數(shù)據(jù)庫中的參數(shù)，然后分別對(duì)各自的數(shù)據(jù)包進(jìn)行指紋處理得到的。這些被處理的數(shù)據(jù)包主要由TCP數(shù)據(jù)包、UDP數(shù)據(jù)包和ICMP數(shù)據(jù)包。其中tcp _send（），tcp_personality（）負(fù)責(zé)處理TCP數(shù)據(jù)包的指紋；udp_send（）負(fù)責(zé)處理UDP數(shù)據(jù)包的指紋；icmp_send（）數(shù)據(jù)包負(fù)責(zé)處理ICMP數(shù)據(jù)包的指紋。下面我們重點(diǎn)介紹處理TCP數(shù)據(jù)包的函數(shù)。

tcp_send（）負(fù)責(zé)發(fā)送基于tcp協(xié)議的數(shù)據(jù)包，重要的是，它對(duì)即將發(fā)送的數(shù)據(jù)包進(jìn)行改動(dòng)，修改報(bào)頭，使得看上去和對(duì)應(yīng)的操作系統(tǒng)的特征準(zhǔn)確地吻合，以達(dá)到欺騙的效果。因而此函數(shù)只是在通過查詢特征庫后，得到返回的id（ip報(bào)頭的標(biāo)識(shí)字段的值），調(diào)整其他參數(shù)，封裝成ip包發(fā)送。

篇4

【關(guān)鍵詞】 嵌入式 TCP/IP協(xié)議 以太網(wǎng)

一、引言

嵌入式網(wǎng)絡(luò)通信在各個(gè)方面都得到了非常廣泛的運(yùn)用。目前最常見的就是總線和USB數(shù)據(jù)傳輸方式，傳輸速度即使可以達(dá)到較快的水平，但是其并不能夠滿足長距離的數(shù)據(jù)傳輸。因此，以太網(wǎng)能夠彌補(bǔ)其在數(shù)據(jù)傳輸方面的缺陷。以太網(wǎng)能夠?qū)崿F(xiàn)一百米距離點(diǎn)對(duì)點(diǎn)的數(shù)據(jù)傳輸，如果要實(shí)現(xiàn)更加遠(yuǎn)距離的數(shù)據(jù)傳輸，則需要使用路由器或者交換機(jī)來完成。此文基于對(duì)CP2200嵌入式TCP/IP協(xié)議進(jìn)行探究，并實(shí)現(xiàn)以太網(wǎng)嵌入式系統(tǒng)設(shè)計(jì)。

二、嵌入式TCP/IP協(xié)議的探究與實(shí)現(xiàn)

TCP/IP協(xié)議棧從上到下分別是由應(yīng)用層、運(yùn)輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層所組成的四層結(jié)構(gòu)，每一層各司其職，都有著不同的網(wǎng)絡(luò)協(xié)議。依據(jù)軟件實(shí)際使用的情況，在嵌入式系統(tǒng)當(dāng)中為了達(dá)到網(wǎng)絡(luò)通信的目的，需要對(duì)TCP/IP協(xié)議族進(jìn)行裁剪。在對(duì)軟件進(jìn)行初始化的時(shí)候，也對(duì)單片機(jī)同時(shí)進(jìn)行了初始化，其中包括對(duì)系統(tǒng)時(shí)鐘、定時(shí)器、端口和串口進(jìn)行了初始化。當(dāng)然還有CP2200進(jìn)行初始化，其中包括對(duì)MAC層和物理層進(jìn)行初始化，并且中斷使能。

在TCP/IP協(xié)議棧當(dāng)中，運(yùn)用層包含HTTP協(xié)議，運(yùn)輸層包含TCP協(xié)議和UDP協(xié)議，網(wǎng)絡(luò)層包含ARP協(xié)議、IP協(xié)議和ICMP協(xié)議。以下是嵌入式TCP/IP協(xié)議的每個(gè)模塊的實(shí)現(xiàn)流程：

1、HTTP協(xié)議模塊。HTTP協(xié)議的發(fā)送函數(shù)http_send（）即是TCP協(xié)議的發(fā)送函數(shù)和數(shù)據(jù)信息的結(jié)合，但是http_ send（）函數(shù)主要是實(shí)現(xiàn)設(shè)計(jì)網(wǎng)頁內(nèi)容，JPEG的圖片和HTML（超文本標(biāo)記語言）等信息的使用依靠其函數(shù)實(shí)現(xiàn)。

2、TCP協(xié)議模塊。TCP協(xié)議的發(fā)送函數(shù)tcp_send（）是需要發(fā)送一個(gè)不包含任何數(shù)據(jù)的TCP報(bào)文，其作用是能夠?qū)ψ止?jié)頭和校驗(yàn)和進(jìn)行處理。通過對(duì)時(shí)間功能的設(shè)定，TCP協(xié)議的重傳函數(shù)tcp_retransmit（）能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)最多為兩次重傳的傳輸功能，實(shí)現(xiàn)傳輸功能的應(yīng)用程序是依靠傳送頁數(shù)據(jù)而實(shí)現(xiàn)的，即是HTTP服務(wù)程序。TCP協(xié)議的?；詈瘮?shù)tcp_ inacivity（）是沒半秒運(yùn)行一次，當(dāng)連接正在建立的狀態(tài)下，?；钇跐M了的時(shí)候并且沒能被再次使用，就會(huì)中斷連接。TCP協(xié)議的接收函數(shù)tcp_rcve（）實(shí)現(xiàn)對(duì)字節(jié)頭和校驗(yàn)和的運(yùn)算，進(jìn)而對(duì)HTTP服務(wù)程序和其連接狀態(tài)等情況進(jìn)行斷定，最后進(jìn)行TCP有限的狀態(tài)機(jī)判斷數(shù)據(jù)包的程序。

3、UDP協(xié)議模塊。UDP協(xié)議的發(fā)送函數(shù)udp_send（）能夠?qū)崿F(xiàn)對(duì)字節(jié)頭和校驗(yàn)和進(jìn)行處理，其接收函數(shù)udp_rcve（）是對(duì)所接收的UDP報(bào)文進(jìn)行處理，如果沒有受到UDP報(bào)文數(shù)據(jù)，就需要發(fā)送ICMP終點(diǎn)不可到達(dá)報(bào)文。

4、ARP協(xié)議模塊。ARP協(xié)議的發(fā)送函數(shù)arp_send（），在發(fā)送請(qǐng)求報(bào)文的時(shí)候，對(duì)于不清楚目的物理地址的，則是廣播報(bào)文；在發(fā)送應(yīng)答報(bào)文的時(shí)候，接收的一方的目的物理地址需要添加物理地址。ARP協(xié)議的重傳函數(shù)arp_retransmit（）能夠?qū)崿F(xiàn)當(dāng)其發(fā)出ARP請(qǐng)求之后的半秒時(shí)間內(nèi)沒有任何響應(yīng)，則進(jìn)行再一次發(fā)送的功能，但是當(dāng)兩次發(fā)送沒有得到響應(yīng)就會(huì)對(duì)報(bào)文進(jìn)行刪除。ARP協(xié)議的緩存更新函數(shù)age_ arp_cache（）能夠每一分鐘更新一次。ARP的解析函數(shù)arp_ resolve（）能夠?qū)λl(fā)送的IP報(bào)文目的IP地址進(jìn)行解析，如果發(fā)送IP地址和目的IP地址都不在相同的一個(gè)網(wǎng)絡(luò)當(dāng)中，那么此IP地址是網(wǎng)關(guān)IP地址，然后在緩存表當(dāng)中對(duì)其進(jìn)行查找，如果找不到就需要發(fā)送ARP請(qǐng)求報(bào)文。ARP協(xié)議的接收函數(shù)arp_rcve（）能夠?qū)崿F(xiàn)對(duì)報(bào)文進(jìn)行接收或者應(yīng)答，對(duì)緩存表需要進(jìn)行更新和重新定時(shí)，如果所接受的報(bào)文是應(yīng)答報(bào)文，則需要發(fā)送等候地址解析的IP報(bào)文，但是所接收到的報(bào)文是請(qǐng)求報(bào)文 ，則需要發(fā)送ARP應(yīng)答報(bào)文。

5、IP協(xié)議模塊。IP協(xié)議的發(fā)送函數(shù)ip_send9（）能夠?qū)崿F(xiàn)對(duì)發(fā)送IP報(bào)文的20字節(jié)頭和校驗(yàn)和進(jìn)行處理，進(jìn)而使用網(wǎng)絡(luò)接口層進(jìn)行發(fā)送。IP協(xié)議接收函數(shù)ip_rcve（）能夠根據(jù)版本情況和所接收?qǐng)?bào)文的種類轉(zhuǎn)移到相應(yīng)的接收函數(shù)來處理。

6、ICMP協(xié)議模塊。ICMP協(xié)議模塊的接收函數(shù)icmp_ rcve（）是實(shí)現(xiàn)對(duì)ping請(qǐng)求的接收進(jìn)行處理，并且處理ICMP不同種類的報(bào)文。其中Ping命令請(qǐng)求信息函數(shù)ping_send（）是用來檢測發(fā)送接收兩方的接收情況。

三、結(jié)言

綜上所述，此文對(duì)TCP/IP的網(wǎng)絡(luò)結(jié)構(gòu)中的各層協(xié)議模塊進(jìn)行探究，基于網(wǎng)絡(luò)控制芯片CP2200的以太網(wǎng)接口和單片機(jī)C8051F340，并用編程語言來實(shí)現(xiàn)嵌入式以太網(wǎng)通信，同時(shí)進(jìn)一步通過對(duì)各個(gè)層協(xié)議的裁剪，實(shí)現(xiàn)嵌入式以太網(wǎng)的數(shù)據(jù)通信。根據(jù)現(xiàn)階段來看，嵌入式網(wǎng)絡(luò)通信基本上都是依靠TCP/IP協(xié)議來實(shí)現(xiàn)的，嵌入式設(shè)備和網(wǎng)絡(luò)兩者相結(jié)合是嵌入式系統(tǒng)今后發(fā)展的主要方向。因此，我們要更加深入地對(duì)嵌入式TCP/IP協(xié)議進(jìn)行探究以及更深層次的功能實(shí)現(xiàn)。

參 考 文 獻(xiàn)

篇5

關(guān)鍵詞：木馬關(guān)鍵技術(shù)；動(dòng)態(tài)嵌入技術(shù)；反向連接技術(shù)

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2011) 10-0000-01

The Implementation of Trojan Key Technology

Wang Delei

(BeiJin LuHang Institute,Beijing101123,China)

Abstract:With the development of internet technology and the popularization of the global information technology has become a major trend.However,in recent years,hackers,technology continues to mature,network information security face a great challenge.This paper describes the dynamics of Trojans embedded technology,connectivity and reverse ICMP Trojan communications technology.

Keywords:Trojan key technology;Dynamic embedding;Reverse connection technology

一、引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)和程序設(shè)計(jì)技術(shù)的普及和發(fā)展，木馬程序的編制技術(shù)也不斷地普及和發(fā)展，目前，世界上有20多萬個(gè)黑客網(wǎng)站在介紹一些攻擊方法和攻擊軟件的使用以及系統(tǒng)的漏洞。

二、木馬技術(shù)發(fā)展?fàn)顩r

按其在不同階段使用的典型技術(shù)可分為以下幾代木馬：第一代，即簡單的密碼竊取、發(fā)送等，如“QQ密碼大盜”。第二代木馬在遠(yuǎn)程控制技術(shù)上有了很大的進(jìn)步，“冰河”是當(dāng)時(shí)國內(nèi)木馬的典型代表之一。第三代木馬在數(shù)據(jù)傳遞技術(shù)上又做了不小的改進(jìn)，出現(xiàn)了ICMP和反彈端口等類型的木馬，利用畸形報(bào)文傳遞數(shù)據(jù)，增加了殺毒軟件查殺木馬的難度。比較典型的是“網(wǎng)絡(luò)神偷”。第四代木馬在進(jìn)程隱藏方面，采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)，嵌入DLL線程，或者掛接API，從而實(shí)現(xiàn)木馬程序的隱藏?，F(xiàn)在第五代木馬正在發(fā)展中，具有遠(yuǎn)程DLL動(dòng)態(tài)入侵、模塊化升級(jí)、智能化通信等新特點(diǎn)。

三、木馬關(guān)鍵技術(shù)的實(shí)現(xiàn)

（一）動(dòng)態(tài)嵌入技術(shù)的實(shí)現(xiàn)。動(dòng)態(tài)嵌入技術(shù)是指木馬采用遠(yuǎn)程線程技術(shù)或HOOK技術(shù)注入其他進(jìn)程的運(yùn)行空間等方法導(dǎo)致殺毒軟件無法發(fā)現(xiàn)木馬的運(yùn)行痕跡。（二）反向連接技術(shù)的實(shí)現(xiàn)。反向連接技術(shù)是指木馬為了克服服務(wù)端在某一端口上偵聽易被發(fā)現(xiàn)這一缺點(diǎn)，而采用服務(wù)端主動(dòng)連接，客戶端偵聽的一種技術(shù)。這樣用一般的port scanner或者fport就發(fā)現(xiàn)不了服務(wù)端。這種反彈端口型木馬的典型例子是國產(chǎn)木馬“網(wǎng)絡(luò)神偷”。實(shí)現(xiàn)時(shí)主要的難點(diǎn)有兩個(gè)：一個(gè)是客戶端IP地址不能確定，服務(wù)端如何找到客戶端。另一個(gè)是服務(wù)端主動(dòng)連接客戶端時(shí)防火墻也會(huì)報(bào)警。下面圍繞這兩點(diǎn)探討解決方法。1.解決IP地址問題。一種解決方法是客戶端通過一個(gè)有固定IP或者固定域名的第三方自己的IP，比如：事先約定好一個(gè)個(gè)人主頁的空間，放置一個(gè)文本文件，木馬固定多長時(shí)間去取一次這個(gè)文件，如果文件內(nèi)容為空就什么都不做，如果有內(nèi)容就按照文本文件中的數(shù)據(jù)計(jì)算出控制端的IP和端口，反彈一個(gè)TCP鏈接回去，這樣每次控制者上線只需要上傳一個(gè)文本文件就可以告訴木馬自己的位置。另一種方法是使用RAW socket來收聽ECHO REPLY類型的ICMP包且在ICMP數(shù)據(jù)包的數(shù)據(jù)中就包含了客戶端IP?；蛘呤墙孬@其他進(jìn)程收到的TCP數(shù)據(jù)或UDP包，然后分析截獲的數(shù)據(jù)，從中確定是否客戶端發(fā)來了一個(gè)報(bào)告其IP的數(shù)據(jù)片斷。這種客戶端通過某種方法主動(dòng)告訴服務(wù)端自己的IP和端口的方法可以保證最大的可靠性，安全性和靈活性。2.解決防火墻報(bào)警問題。一種方法是上面提到的動(dòng)態(tài)嵌入技術(shù)，服務(wù)端將自己注入到一個(gè)可以合法的與外界進(jìn)行網(wǎng)絡(luò)通訊的進(jìn)程的地址空間中，然后就可以以一個(gè)新線程的形式運(yùn)行。在新線程內(nèi)去主動(dòng)連接客戶端，如果是寄生在IE內(nèi)就連接客戶端的80端口；如果是寄生在OICQ內(nèi)，可以連接客戶端的8000端口。另一種方法是木馬服務(wù)端使用80端口，將傳送的數(shù)據(jù)包含在HTTP的報(bào)文中，就算是能夠分析報(bào)文、過濾TCP/UDP的防火墻，也不可能分辨出通過HTTP協(xié)議傳送的究竟是網(wǎng)頁還是控制命令和數(shù)據(jù)。

（三）ICMP木馬技術(shù)的實(shí)現(xiàn)。ICMP全稱是Internet Control Message Protocol（互聯(lián)網(wǎng)控制報(bào)文協(xié)議）它是IP協(xié)議的附屬協(xié)議，用來傳遞差錯(cuò)報(bào)文以及其他的消息報(bào)文，例如工具Ping就是通過發(fā)送接收ICMP_ECHO和ICMP_ECHOREPLY報(bào)文來進(jìn)行網(wǎng)絡(luò)診斷的。ICMP木馬技術(shù)的出現(xiàn)正是得到了Ping程序的啟發(fā)，ICMP木馬技術(shù)利用ICMP報(bào)文由系統(tǒng)內(nèi)核或進(jìn)程直接處理而不是通過端口的特點(diǎn)，將自己偽裝成一個(gè)Ping的進(jìn)程，系統(tǒng)就會(huì)將ICMP_ECHOREPLY（Ping的回包）的監(jiān)聽、處理權(quán)交給木馬進(jìn)程，木馬進(jìn)程通過判斷包大小、ICMP_SEQ等特征，來確定是否是自己需要的數(shù)據(jù)，一旦事先約定好的ICMP_ECHOREPLY包出現(xiàn)，木馬就會(huì)接受、分析并從報(bào)文中解碼出命令和數(shù)據(jù)來執(zhí)行。另外一種辦法是修改ICMP頭的構(gòu)造，加入木馬的控制字段。由于ICMP_ECHOREPLY包還有對(duì)于防火墻和網(wǎng)關(guān)的穿透能力，這種技術(shù)使得木馬擺脫了端口的限制，突破了防火墻對(duì)目標(biāo)主機(jī)的保護(hù)。

四、結(jié)束語

綜上所述，隨著internet技術(shù)的發(fā)展和使用的普及，木馬技術(shù)也在不斷的成熟和普及，本文僅從一個(gè)側(cè)面加以討論，希望通過這一探討讓我們對(duì)木馬的關(guān)鍵技術(shù)有一個(gè)簡單的認(rèn)識(shí)，同時(shí)也為我們防范他人利用木馬非法入侵提供參考。

參考文獻(xiàn)：

[1]張友生,米安然.計(jì)算機(jī)病毒與木馬程序的剖析[M].北京:科海電子出版社,2003

[2]周明全,呂林濤,李軍懷.網(wǎng)絡(luò)信息安全技術(shù)[M].西安:電子科技大學(xué)出版社,2003

篇6

關(guān)鍵詞：ARP欺騙 網(wǎng)絡(luò)監(jiān)聽

網(wǎng)絡(luò)監(jiān)聽給網(wǎng)絡(luò)管理員提供了一個(gè)觀察網(wǎng)絡(luò)運(yùn)行狀況，數(shù)據(jù)流動(dòng)狀況，以及傳輸?shù)拿魑男畔⒌墓ぞ摺?網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個(gè)位置實(shí)施，如局域網(wǎng)中的一臺(tái)主機(jī)、網(wǎng)關(guān)上或遠(yuǎn)程網(wǎng)的調(diào)制解調(diào)器之間等，但是監(jiān)聽效果最好的地方是在網(wǎng)關(guān)、路由器、防火墻一類的設(shè)備處，通常由網(wǎng)絡(luò)管理員來操作，其中最方便實(shí)現(xiàn)的是在一個(gè)以太網(wǎng)中的任何一臺(tái)上網(wǎng)的主機(jī)上。

ARP協(xié)議：IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送。以太網(wǎng)設(shè)備并不識(shí)別32位IP地址：它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包的。因此，IP驅(qū)動(dòng)器必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)網(wǎng)目的地址。在這兩種地址之間存在著某種靜態(tài)的或算法的映射，常常需要查看一張表。地址解析協(xié)議（Address Resolution Protocol，ARP）就是用來確定這些映象的協(xié)議。ARP工作時(shí)，送出一個(gè)含有所希望的IP地址的以太網(wǎng)廣播數(shù)據(jù)包。目的地主機(jī)，或另一個(gè)代表該主機(jī)的系統(tǒng)，以一個(gè)含有IP和以太網(wǎng)地址對(duì)的數(shù)據(jù)包作為應(yīng)答。發(fā)送者將這個(gè)地址對(duì)高速緩存起來，以節(jié)約不必要的ARP通信。

ARP欺騙：ARP欺騙分為二種，一種是對(duì)路由器ARP表的欺騙；另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成電腦無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在表面看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。

ICMP重定向：ICMP重定向報(bào)文是ICMP控制報(bào)文中的一種。在特定的情況下，當(dāng)路由器檢測到一臺(tái)機(jī)器使用非優(yōu)化路由的時(shí)候，它會(huì)向該主機(jī)發(fā)送一個(gè)ICMP重定向報(bào)文，請(qǐng)求主機(jī)改變路由。路由器也會(huì)把初始數(shù)據(jù)報(bào)向它的目的地轉(zhuǎn)發(fā)。

一、網(wǎng)絡(luò)監(jiān)聽的基本原理

在共享介質(zhì)的以太網(wǎng)中如果所有的主機(jī)通過集線器連接到外部網(wǎng)絡(luò)，在這樣的網(wǎng)絡(luò)中通信主機(jī)將所要發(fā)送的數(shù)據(jù)包進(jìn)行廣播，發(fā)往連在一起的所有主機(jī)。在包頭中包含著應(yīng)該接收數(shù)據(jù)包的主機(jī)的正確地址。只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才能接收信包。因此任意主機(jī)都可以通過將網(wǎng)卡設(shè)置為混雜模式來監(jiān)聽網(wǎng)內(nèi)的所有通信。當(dāng)連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個(gè)子網(wǎng)時(shí)，如果一臺(tái)主機(jī)處于監(jiān)聽模式下，利用ARP欺騙和ICMP重定向結(jié)合在一起就可以基本實(shí)現(xiàn)跨網(wǎng)段欺騙的目的，因此它還能接收到發(fā)向與自己不在同一子網(wǎng)（使用了不同的掩碼、IP地址和網(wǎng)關(guān)）的主機(jī)的那些信包。也就是說，在同一條物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏健?/p>

交換式以太網(wǎng)是通過交換機(jī)將網(wǎng)內(nèi)主機(jī)相連，交換機(jī)將對(duì)每個(gè)端口收到數(shù)據(jù)幀進(jìn)行源和目的MAC地址檢測，然后與內(nèi)部動(dòng)態(tài)的MAC端口映射表進(jìn)行比較，若數(shù)據(jù)幀的源MAC地址不在映射表中，則將該MAC地址和對(duì)應(yīng)接收端口加入映射表中，同時(shí)根據(jù)映射表中與目的MAC地址對(duì)應(yīng)的端口號(hào)，交換機(jī)把數(shù)據(jù)幀僅從該端口發(fā)送出去。因此交換機(jī)的每個(gè)端口可平行、安全、同時(shí)地互相傳輸信息，其它端口的主機(jī)即使將網(wǎng)卡設(shè)置為混雜模式，也只能監(jiān)聽到連結(jié)在同一端口上主機(jī)間的數(shù)據(jù)傳輸。

二、共享介質(zhì)以太網(wǎng)監(jiān)聽

如圖1所示，三臺(tái)主機(jī)

A： ip地址 192.168.0.1 硬件地址 AA：AA：AA：AA：AA：AA

B： ip地址 192.168.0.2 硬件地址 BB：BB：BB：BB：BB：BB

C： ip地址 192.168.0.3 硬件地址 CC：CC：CC：CC：CC：CC

假設(shè)一個(gè)位于主機(jī)B的入侵者想非法進(jìn)入主機(jī)A，可是這臺(tái)主機(jī)上安裝有防火墻。通過收集資料他知道這臺(tái)主機(jī)A的防火墻只對(duì)主機(jī)C有信任關(guān)系（開放23端口（telnet））。而他必須要使用telnet來進(jìn)入主機(jī)A，這個(gè)時(shí)候入侵者必須讓主機(jī)A相信主機(jī)B就是主機(jī)C，如果主機(jī)A和主機(jī)C之間的信任關(guān)系是建立在IP地址之上的。如果單單把主機(jī)B的IP地址改的和主機(jī)C的一樣，那是不能工作的，至少不能可靠地工作。如果你告訴以太網(wǎng)卡設(shè)備驅(qū)動(dòng)程序， 自己的IP是192.168.0.3，那么這只是一種純粹的競爭關(guān)系，并不能達(dá)到目標(biāo)。我們可以先研究C這臺(tái)機(jī)器如果我們能讓這臺(tái)機(jī)器暫時(shí)當(dāng)?shù)?，競爭關(guān)系就可以解除，這個(gè)還是有可能實(shí)現(xiàn)的。在機(jī)器C當(dāng)?shù)舻耐瑫r(shí)，將機(jī)器B的IP地址改為192.168.0.3，這樣就可以成功的通過23端口telnet到機(jī)器A上面，而成功的繞過防火墻的限制。

但是如果主機(jī)A和主機(jī)C之間的信任關(guān)系是建立在硬件地址的基礎(chǔ)上的，上面的方法就失效了。這個(gè)時(shí)候還需要用ARP欺騙的手段讓主機(jī)A把自己的ARP緩存中的關(guān)于192.168.0.3映射的硬件地址改為主機(jī)B的硬件地址。

我們可以人為的制造一個(gè)arp_reply的響應(yīng)包，發(fā)送給想要欺騙的主機(jī)，這是可以實(shí)現(xiàn)的，因?yàn)閰f(xié)議并沒有規(guī)定必須在接收到arp_echo后才可以發(fā)送響應(yīng)包.這樣的工具很多，我們也可以直接用snifferpro抓一個(gè)arp響應(yīng)包，然后進(jìn)行修改。

你可以人為地制造這個(gè)包?？梢灾付ˋRP包中的源IP、目標(biāo)IP、源MAC地址、目標(biāo)MAC地址。這樣你就可以通過虛假的ARP響應(yīng)包來修改主機(jī)A上的動(dòng)態(tài)ARP緩存達(dá)到欺騙的目的。

實(shí)現(xiàn)步驟：

1）B發(fā)送ARP 查詢報(bào)文，獲得主機(jī)A 的MAC地址

2）B發(fā)送偽造的ARP 報(bào)文給A，該報(bào)文的源MAC地址為BB：BB：BB：BB：BB：BB，IP 為168.0.0.3 ，因?yàn)锳RP 表是動(dòng)態(tài)的，為了能進(jìn)行持續(xù)的監(jiān)聽?wèi)?yīng)該間隔一定時(shí)間先欺騙的主機(jī)發(fā)送偽造的ARP 報(bào)文。

3）主機(jī)A更新了ARP表中關(guān)于主機(jī)C的IP-->MAC對(duì)應(yīng)關(guān)系。

4）此時(shí)可以通過程序進(jìn)行抓包或包過濾提取來自A發(fā)送到C的報(bào)文，如果不影響C的正常通信或者隱蔽話，應(yīng)該將收到的來自A發(fā)送到C的包進(jìn)行轉(zhuǎn)發(fā)到C，使A，C覺察不到數(shù)據(jù)包經(jīng)過了B.

三、交換式以太網(wǎng)監(jiān)聽

如圖2所示A、C位于同一網(wǎng)段而主機(jī)B位于另一網(wǎng)段，三臺(tái)機(jī)器的IP地址和硬件地址如下：

A： IP地址 192.168.0.1 硬件地址 AA：AA：AA：AA：AA：AA

B： IP地址 192.168.1.2 硬件地址 BB：BB：BB：BB：BB：BB

C： IP地址 192.168.0.3 硬件地址 CC：CC：CC：CC：CC：CC

這種情況下B與A在不同的網(wǎng)絡(luò)段，顯然用上面的辦法的話，即使欺騙成功，那么由主機(jī)B和主機(jī)A之間也無法建立telnet會(huì)話，因?yàn)槁酚善鲿?huì)發(fā)現(xiàn)地址在192.168.0.這個(gè)網(wǎng)段之內(nèi)，而不會(huì)把主機(jī)A發(fā)給主機(jī)B的包向外轉(zhuǎn)發(fā)。如果要實(shí)現(xiàn)把這樣的數(shù)據(jù)包轉(zhuǎn)發(fā)出來就必須使用ICMP重定向技術(shù)，把ARP欺騙和ICMP重定向結(jié)合在一起就可以基本實(shí)現(xiàn)跨網(wǎng)段欺騙的目的。

下面是結(jié)合ARP欺騙和ICMP重定向進(jìn)行攻擊的步驟：

1）為了使自己發(fā)出的非法ip包能在網(wǎng)絡(luò)上能夠存活長久一點(diǎn)，開始修改IP包的生存時(shí)間TTL為下面的過程中可能帶來的問題做準(zhǔn)備。把TTL改成255. （TTL定義一個(gè)IP包如果在網(wǎng)絡(luò)上到不了主機(jī)后，在網(wǎng)絡(luò)上能存活的時(shí)間，改長一點(diǎn)在本例中有利于做充足的廣播）

2）尋找主機(jī)C的漏洞按照這個(gè)漏洞當(dāng)?shù)糁鳈C(jī)C。

3）該網(wǎng)絡(luò)中的主機(jī)找不到原來的192.0.0.3后，將更新自己的ARP對(duì)應(yīng)表。此時(shí)發(fā)送一個(gè)原IP地址為192.168.0.3硬件地址為BB：BB：BB：BB：BB：BB的ARP響應(yīng)包。

4）現(xiàn)在每臺(tái)主機(jī)都更新了自己的ARP表，一個(gè)新的MAC地址對(duì)應(yīng)192.0.0.3，一個(gè)ARP欺騙完成了，但是，每臺(tái)主機(jī)都只會(huì)在局域網(wǎng)中找這個(gè)地址而根本就不會(huì)把發(fā)送給192.0.0.3的IP包丟給路由。于是他還得構(gòu)造一個(gè)ICMP的重定向廣播。

5）自己定制一個(gè)ICMP重定向包告訴網(wǎng)絡(luò)中的主機(jī)："到192.0.0.3的路由最短路徑不是局域網(wǎng)，而是路由，請(qǐng)主機(jī)重定向你們的路由路徑，把所有到192.0.0.3的ip包丟給路由。"

7）主機(jī)A接受這個(gè)合理的ICMP重定向，于是修改自己的路由路徑，把對(duì)192.0.0.3的通訊都丟給路由器。

8）入侵者終于可以在路由外收到來自路由內(nèi)的主機(jī)的IP包了，他可以開始telnet到主機(jī)的23端口。

其實(shí)上面的想法只是一種理想話的情況，主機(jī)許可接收的ICMP重定向包其實(shí)有很多的限制條件，這些條件使ICMP重定向變的非常困難。

TCP/IP協(xié)議實(shí)現(xiàn)中關(guān)于主機(jī)接收ICMP重定向報(bào)文主要有下面幾條限制：

1）新路由必須是直達(dá)的

2）重定向包必須來自去往目標(biāo)的當(dāng)前路由

3）重定向包不能通知主機(jī)用自己做路由

3）被改變的路由必須是一條間接路由

四、總結(jié)

本文通過對(duì)共享介質(zhì)的以太網(wǎng)和交換式以太網(wǎng)的監(jiān)聽原理進(jìn)行詳細(xì)闡述，并進(jìn)行了試驗(yàn)?zāi)軌蜻M(jìn)行簡單的監(jiān)聽。要實(shí)現(xiàn)通用方便的監(jiān)聽工具還要進(jìn)一步研究，本文的研究證明了以太網(wǎng)監(jiān)聽工具實(shí)現(xiàn)的可行性。

參考文獻(xiàn)

[1]TCP/IP 詳解 卷1：協(xié)議 （美）W.Richard Stevens著 范建華 胥光輝 張濤等譯 機(jī)械工業(yè)出版社 2005 ISBN 7-111-07566-8/TP.1194

篇7

關(guān)鍵詞：移動(dòng)IP；隧道技術(shù)；ICMP；封裝；MTU

0 引言

移動(dòng)通信已成為現(xiàn)代通信領(lǐng)域中發(fā)展?jié)摿ψ畲?、市場前景最廣闊的熱點(diǎn)技術(shù)，它正向高速率、高移動(dòng)性和大范圍覆蓋發(fā)展。隨著Intemet業(yè)務(wù)的迅猛發(fā)展，現(xiàn)有的IPv4地址數(shù)目已經(jīng)十分緊缺，因此采用128位地址長度的IPv6協(xié)議，徹底解決了IPv4地址數(shù)量不足的難題。通過隧道技術(shù)可以有效的實(shí)現(xiàn)IPv4和IPv6的互通，IPv6隧道技術(shù)即是IPv4報(bào)文將IPv6報(bào)文封裝在其中，使得IPv6通過IPv4網(wǎng)絡(luò)進(jìn)行通信的技術(shù)。目前IPv6技術(shù)中的重要應(yīng)用是移動(dòng)IP。移動(dòng)IP是解決節(jié)點(diǎn)的移動(dòng)性問題，它其實(shí)也是一種IP的路由機(jī)制，使移動(dòng)節(jié)點(diǎn)可以用一個(gè)不變的IP地址連接到任何鏈路中。

1.移動(dòng)IP概述

從通信節(jié)點(diǎn)可移動(dòng)性的定義得到，因?yàn)槊看味夹枰堰B接斷開，所以當(dāng)節(jié)點(diǎn)移動(dòng)時(shí)只是改變它的地址不能解決移動(dòng)性問題。但是，當(dāng)節(jié)點(diǎn)移動(dòng)時(shí)改變節(jié)點(diǎn)的IP地址確實(shí)解決了一個(gè)稱為漫游的相關(guān)問題。漫游節(jié)點(diǎn)在改變它們的接入點(diǎn)前要中止所有通信，但在到達(dá)新的接入位置時(shí)，它們就會(huì)以新地址重新發(fā)起通信。目前的因特網(wǎng)協(xié)議簇中已經(jīng)有相應(yīng)的機(jī)制來解決漫游問題了，比如PPP（Point-to-Point）協(xié)議的IPCP(IP Control Protocol)。

在現(xiàn)在的因特網(wǎng)中，節(jié)點(diǎn)漫游時(shí)，另一節(jié)點(diǎn)也不可能主動(dòng)與漫游節(jié)點(diǎn)通信，因?yàn)樗鼰o法知道到底在哪個(gè)IP地址上可以找到漫游節(jié)點(diǎn)。

事實(shí)上，移動(dòng)IP的一個(gè)基本假設(shè)是：點(diǎn)到點(diǎn)通信的數(shù)據(jù)包在選路時(shí)與源IP地址無關(guān)。它可以看作是一個(gè)路由協(xié)議，只是與其他幾種路由協(xié)議相比，移動(dòng)IP具有特殊的功能，它的目的是將數(shù)據(jù)包路由到那些可能一直在快速地改變位置的移動(dòng)節(jié)點(diǎn)上。

2.隧道技術(shù)的概念

當(dāng)一個(gè)數(shù)據(jù)包被封裝在另一個(gè)數(shù)據(jù)包的凈荷中進(jìn)行傳送時(shí)，所經(jīng)過的路徑稱為隧道。

除了極少數(shù)特例，移動(dòng)節(jié)點(diǎn)只用家鄉(xiāng)地址和別的節(jié)點(diǎn)通信，即移動(dòng)節(jié)點(diǎn)發(fā)出的所有包的源I P地址都是它的家鄉(xiāng)地址，它接收的所有包的目的IP地址也都是它的家鄉(xiāng)地址。這就要求移動(dòng)節(jié)點(diǎn)將家鄉(xiāng)地址寫入DNS中的“IP地址”域，其他節(jié)點(diǎn)在查找移動(dòng)節(jié)點(diǎn)的主機(jī)名時(shí)就會(huì)發(fā)現(xiàn)它的家鄉(xiāng)地址。通常，一般數(shù)據(jù)包的分片會(huì)在任意一臺(tái)路由器上發(fā)生（如果MTU受限制），而分片的重組在目的地進(jìn)行。但是隧道的分片是一個(gè)特例，它的重組在隧道出口進(jìn)行，而隧道出口不是數(shù)據(jù)包的最終地址。

3.隧道技術(shù)的分類

移動(dòng)IP中的三種隧道技術(shù)：IP的IP封裝（IP in IP Encapsulation）、最小封裝（ Minimal Encapsulation）和通用路由封裝GRE(Generic Routing Encapsulation)。一般情況，盡量不用最小封裝技術(shù)。

3.1IP的IP封裝

IP的IP封裝非常簡單，第一個(gè)IP包放在一個(gè)新IP包的凈荷中，會(huì)增加開銷20個(gè)byte。如果IP包是被轉(zhuǎn)發(fā)過來的，比如是通過某個(gè)物理端口進(jìn)入隧道的，那么隧道入口應(yīng)將內(nèi)層的IP報(bào)頭的生存時(shí)間域減小。同樣在拆封時(shí)，如果內(nèi)部封裝的IP包還要進(jìn)行轉(zhuǎn)發(fā)，比如從隧道出口轉(zhuǎn)發(fā)到某個(gè)物理端口，那么它的生存時(shí)間域也要減小。因此，采用IP的IP封裝的隧道對(duì)穿過它們的數(shù)據(jù)包來說就像一條虛擬鏈路。例如，一個(gè)包到達(dá)第一臺(tái)路由器，通過從第一臺(tái)路由器開始的隧道到達(dá)第二臺(tái)路由器，并進(jìn)一步轉(zhuǎn)發(fā)到它的目的地址，這時(shí)這個(gè)包的生存時(shí)間域會(huì)被減小兩次，好像隧道只是連接這兩臺(tái)路由器的一條鏈路一樣

在IP over IP的形式中，對(duì)ICMP的報(bào)文格式需要特殊處理。通過隧道的IP包的相應(yīng)的ICMP報(bào)文只需要送到隧道的入口，而無需要送到包的源。但有時(shí)，隧道內(nèi)產(chǎn)生的ICMP報(bào)文到達(dá)源也是及其有用的。對(duì)ICMP的處理，它并不是直接把隧道內(nèi)部的ICMP轉(zhuǎn)發(fā)給源，而是在隧道入口進(jìn)行分析后，再產(chǎn)生一個(gè)ICMP然后到達(dá)源。例如，當(dāng)一個(gè)包到達(dá)家鄉(xiāng)，包的大小大于隧道的MTU，當(dāng)不允許分片的比特設(shè)置為1時(shí)，家鄉(xiāng)就不在隧道內(nèi)部產(chǎn)生ICMP，而是直接給源發(fā)送一個(gè)自己的ICMP。

綜合上面的分析不難看出，對(duì)于IP over IP的封裝形式需要防止遞歸封裝，所謂遞歸封裝，就是由于路由環(huán)，使數(shù)據(jù)離開隧道前，又重新進(jìn)入了一個(gè)隧道。GRE和IPV6有專門機(jī)制防止遞歸封裝。在IPV4中用兩個(gè)法則來判別，簡單的說就是依據(jù)源IP是否與目標(biāo)IP重復(fù)來進(jìn)行判斷。

3.2 最小封裝

最小封裝的目的是減少實(shí)現(xiàn)隧道所需的額外字節(jié)數(shù)，可通過將IP的IP封裝中內(nèi)層IP報(bào)頭和外層I P報(bào)頭的冗余部分去掉來完成。開銷是8或12字節(jié)，取決于隧道入口是否是原始數(shù)據(jù)包的源。

最小封裝不能用于那些已經(jīng)經(jīng)過分片的原始數(shù)據(jù)包。相反，經(jīng)過封裝的數(shù)據(jù)包可以進(jìn)行分片，以便穿過路徑MTU較小的隧道，但是已經(jīng)分片的原始數(shù)據(jù)包不可以通過采用最小封裝的隧道。這和IP的IP封裝有顯著的區(qū)別。

相對(duì)于生存時(shí)間和隧道長度，它和IP over IP的封裝也有區(qū)別，至少從生存時(shí)間的角度，最小封裝使得數(shù)據(jù)包可以識(shí)別從入口到出口的每一條鏈路。也就是說，在采用最小封裝的隧道中，從隧道入口到出口的每一臺(tái)路由器都會(huì)將原始數(shù)據(jù)包的生存時(shí)間減小。因此，經(jīng)過最小封裝的包可能不能到達(dá)目的地。因?yàn)樵谝粭l長隧道中，每經(jīng)過一臺(tái)路由器，生存時(shí)間域的值就會(huì)減小。而對(duì)于同樣長的隧道，采用IP的IP封裝的數(shù)據(jù)包就可以經(jīng)過該隧道到達(dá)目的地，因?yàn)檫@時(shí)生存時(shí)間域的值只在入口和出口減小。移動(dòng)節(jié)點(diǎn)的實(shí)現(xiàn)者應(yīng)認(rèn)識(shí)到這個(gè)事實(shí)，并決定在注冊(cè)過程中是否采用最小封裝。但是對(duì)于ICMP報(bào)文的處理和防止遞歸操作的產(chǎn)生，最小封裝和IP over IP的封裝是一樣的。

3.3GRE通用路由封裝

GRE封裝除了支持IP協(xié)議外，它還允許一種協(xié)議的數(shù)據(jù)包封裝在另外一種協(xié)議的數(shù)據(jù)包的凈荷中。當(dāng)兩者都是IP的時(shí)候，就可以理解為IP over IP的封裝。另外對(duì)于遞歸封裝的防止，GRE提供了特定機(jī)制來應(yīng)對(duì)遞歸封裝。GRE報(bào)頭中有一個(gè)recure域，記錄允許封裝次數(shù)。每封裝一次，recure減一。如果recure為0，就不能夠再實(shí)現(xiàn)封裝。如果一定要封裝才能夠傳輸，那么這個(gè)報(bào)文就會(huì)被拋棄。

4.隧道技術(shù)在真實(shí)通信系統(tǒng)中的應(yīng)用方案

如圖1 所示為基于WiMAX系統(tǒng)的移動(dòng)IP應(yīng)用方案的實(shí)現(xiàn)圖。其中在兩個(gè)Base之間就用到了隧道技術(shù)。該移動(dòng)IP方案的實(shí)現(xiàn)避免了簡單IP的MER和移動(dòng)IP的HA。如果終端在保持業(yè)務(wù)的情 況下切換到另外一個(gè)小區(qū)，可以保持IP地址不變。如果在其它小區(qū)終端不釋放IP地址，可以保持在原小區(qū)的IP地址。如果釋放了，就轉(zhuǎn)到當(dāng)前小區(qū)下來獲取IP。

圖1 基于WiMAX系統(tǒng)的移動(dòng)IP應(yīng)用方案圖

5.結(jié)束語

移動(dòng) IP 是基于網(wǎng)絡(luò)層解決移動(dòng)問題的方案，IP技術(shù)和移動(dòng)通信技術(shù)的完美結(jié)合，正使得數(shù)據(jù)通信發(fā)生著深刻的改變。目前雖然移動(dòng)IP中的隧道技術(shù)有了很大的發(fā)展，但是如何選擇合適的技術(shù)進(jìn)行設(shè)計(jì)和實(shí)施，才能更好、更順利的保證移動(dòng)IP的QOS,以及IPv4和IPv6的無縫互操作，也是今后一項(xiàng)值得深入研究的課題。

參考文獻(xiàn)：

[1] 杜根遠(yuǎn)，邱穎豫. 基于隧道技術(shù)的IPv6 遷移策略[J]. 中國有線電視，2004（1）

[2] 張宏科，蘇偉. IPv6路由協(xié)議棧原理與技術(shù)[M]．北京：北京郵電大學(xué)出版社，2006，7

[3] 汪軍. IPv6 隧道設(shè)計(jì)方案的研究[J]. 武漢工業(yè)學(xué)院學(xué)報(bào)，2007,26(3)

[4] 沈慶偉,張霖. 基于隧道的IPv4/IPv6 過渡技術(shù)分析[J].計(jì)算機(jī)技術(shù)與發(fā)展，2007,17(5)

[5] 李金攻，張平，陳繼光. 基于NAT—PT簇的集中式動(dòng)態(tài)負(fù)載均衡的研究[J]．通信技術(shù)2009．第4期

篇8

關(guān)鍵詞：網(wǎng)絡(luò)管理網(wǎng)間控制報(bào)文協(xié)議(ICMP)WBM

網(wǎng)絡(luò)管理的目的就是確保一定范圍內(nèi)的網(wǎng)絡(luò)及其網(wǎng)絡(luò)設(shè)備能夠穩(wěn)定、可靠、高效地運(yùn)行，使所有的網(wǎng)絡(luò)資源處于良好的運(yùn)行狀態(tài)，達(dá)到用戶預(yù)期的要求。過去有一些簡單的工具用來幫助網(wǎng)管人員管理網(wǎng)絡(luò)資源，但隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜度的增加，對(duì)強(qiáng)大易用的管理工具的需求也日益顯得迫切，管理人員需要依賴強(qiáng)大的工具完成各種各樣的網(wǎng)絡(luò)管理任務(wù)，而網(wǎng)絡(luò)管理系統(tǒng)就是能夠?qū)崿F(xiàn)上述目的系統(tǒng)。

1WBM技術(shù)介紹

隨著應(yīng)用Intranet的企業(yè)的增多，同時(shí)Internet技術(shù)逐漸向Intranet的遷移，一些主要的網(wǎng)絡(luò)廠商正試圖以一種新的形式去應(yīng)用MIS。因此就促使了Web(Web-BasedManagement)網(wǎng)管技術(shù)的產(chǎn)生[2]。它作為一種全新的網(wǎng)絡(luò)管理模式—基于Web的網(wǎng)絡(luò)管理模式，從出現(xiàn)伊始就表現(xiàn)出強(qiáng)大的生命力，以其特有的靈活性、易操作性等特點(diǎn)贏得了許多技術(shù)專家和用戶的青睞，被譽(yù)為是“將改變用戶網(wǎng)絡(luò)管理方式的革命性網(wǎng)絡(luò)管理解決方案”。

WBM融合了Web功能與網(wǎng)管技術(shù)，從而為網(wǎng)管人員提供了比傳統(tǒng)工具更強(qiáng)有力的能力。WBM可以允許網(wǎng)絡(luò)管理人員使用任何一種Web瀏覽器，在網(wǎng)絡(luò)任何節(jié)點(diǎn)上方便迅速地配置、控制以及存取網(wǎng)絡(luò)和它的各個(gè)部分。因此，他們不再只拘泥于網(wǎng)管工作站上了，并且由此能夠解決很多由于多平臺(tái)結(jié)構(gòu)產(chǎn)生的互操作性問題。WBM提供比傳統(tǒng)的命令驅(qū)動(dòng)的遠(yuǎn)程登錄屏幕更直接、更易用的圖形界面，瀏覽器操作和Web頁面對(duì)WWW用戶來講是非常熟悉的，所以WBM的結(jié)果必然是既降低了MIS全體培訓(xùn)的費(fèi)用又促進(jìn)了更多的用戶去利用網(wǎng)絡(luò)運(yùn)行狀態(tài)信息。所以說，WBM是網(wǎng)絡(luò)管理方案的一次革命。

2基于WBM技術(shù)的網(wǎng)管系統(tǒng)設(shè)計(jì)

2.1系統(tǒng)的設(shè)計(jì)目標(biāo)

在本系統(tǒng)設(shè)計(jì)階段，就定下以開發(fā)基于園區(qū)網(wǎng)、Web模式的具有自主版權(quán)的中文網(wǎng)絡(luò)管理系統(tǒng)軟件為目標(biāo)，采用先進(jìn)的WBM技術(shù)和高效的算法，力求在性能上可以達(dá)到國外同類產(chǎn)品的水平。

本網(wǎng)管系統(tǒng)提供基于WEB的整套網(wǎng)管解決方案。它針對(duì)分布式IP網(wǎng)絡(luò)進(jìn)行有效資源管理，使用戶可以從任何地方通過WEB瀏覽器對(duì)網(wǎng)絡(luò)和設(shè)備，以及相關(guān)系統(tǒng)和服務(wù)實(shí)施應(yīng)變式管理和控制，從而保證網(wǎng)絡(luò)上的資源處于最佳運(yùn)行狀態(tài)，并保持網(wǎng)絡(luò)的可用性和可靠性。

2.2系統(tǒng)的體系結(jié)構(gòu)

在系統(tǒng)設(shè)計(jì)的時(shí)候，以國外同類的先進(jìn)產(chǎn)品作為參照物，同時(shí)考慮到技術(shù)發(fā)展的趨勢，在當(dāng)前的技術(shù)條件下進(jìn)行設(shè)計(jì)。我們采用三層結(jié)構(gòu)的設(shè)計(jì)，融合了先進(jìn)的WBM技術(shù)，使系統(tǒng)能夠提供給管理員靈活簡便的管理途徑。

三層結(jié)構(gòu)的特點(diǎn)[2]：1)完成管理任務(wù)的軟件作為中間層以后臺(tái)進(jìn)程方式實(shí)現(xiàn)，實(shí)施網(wǎng)絡(luò)設(shè)備的輪詢和故障信息的收集；2)管理中間件駐留在網(wǎng)絡(luò)設(shè)備和瀏覽器之間，用戶僅需通過管理中間層的主頁存取被管設(shè)備；3)管理中間件中繼轉(zhuǎn)發(fā)管理信息并進(jìn)行SNMP和HTTP之間的協(xié)議轉(zhuǎn)換三層結(jié)構(gòu)無需對(duì)設(shè)備作任何改變。

3網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)算法的設(shè)計(jì)

為了實(shí)施對(duì)網(wǎng)絡(luò)的管理，網(wǎng)管系統(tǒng)必須有一個(gè)直觀的、友好的用戶界面來幫助管理員。其中最基本的一個(gè)幫助就是把網(wǎng)絡(luò)設(shè)備的拓?fù)潢P(guān)系以圖形的方式展現(xiàn)在用戶面前，即拓?fù)浒l(fā)現(xiàn)。目前廣泛采用的拓?fù)浒l(fā)現(xiàn)算法是基于SNMP的拓?fù)浒l(fā)現(xiàn)算法?；赟NMP的拓?fù)渌惴ㄔ谝欢ǔ潭壬鲜欠浅Ｓ行У?，拓?fù)涞乃俣纫卜浅？?。但它存在一個(gè)缺陷[3]。那就是，在一個(gè)特定的域中，所有的子網(wǎng)的信息都依賴于設(shè)備具有SNMP的特性，如果系統(tǒng)不支持SNMP，則這種方法就無能為力了。還有對(duì)網(wǎng)絡(luò)管理的不重視，或者考慮到安全方面的原因，人們往往把網(wǎng)絡(luò)設(shè)備的SNMP功能關(guān)閉，這樣就難于取得設(shè)備的MIB值，就出現(xiàn)了拓?fù)涞牟煌暾裕瑖?yán)重影響了網(wǎng)絡(luò)管理系統(tǒng)的功能。針對(duì)這一的問題，下面討論本系統(tǒng)對(duì)上述算法的改進(jìn)—基于ICMP協(xié)議的拓?fù)浒l(fā)現(xiàn)。

3.1PING和路由建立

PING的主要操作是發(fā)送報(bào)文，并簡單地等待回答。PING之所以如此命名，是因?yàn)樗且粋€(gè)簡單的回顯協(xié)議，使用ICMP響應(yīng)請(qǐng)求與響應(yīng)應(yīng)答報(bào)文。PING主要由系統(tǒng)程序員用于診斷和調(diào)試實(shí)現(xiàn)PING的過程主要是：首先向目的機(jī)器發(fā)送一個(gè)響應(yīng)請(qǐng)求的ICMP報(bào)文，然后等待目的機(jī)器的應(yīng)答，直到超時(shí)。如收到應(yīng)答報(bào)文，則報(bào)告目的機(jī)器運(yùn)行正常，程序退出。

路由建立的功能就是利用IP頭中的TTL域。開始時(shí)信源設(shè)置IP頭的TTL值為0，發(fā)送報(bào)文給信宿，第一個(gè)網(wǎng)關(guān)收到此報(bào)文后，發(fā)現(xiàn)TTL值為0，它丟棄此報(bào)文，并發(fā)送一個(gè)類型為超時(shí)的ICMP報(bào)文給信源。信源接收到此報(bào)文后對(duì)它進(jìn)行解析，這樣就得到了路由中的第一個(gè)網(wǎng)關(guān)地址。然后信源發(fā)送TTL值為1的報(bào)文給信宿，第一個(gè)網(wǎng)關(guān)把它的TTL值減為0后轉(zhuǎn)發(fā)給第二個(gè)網(wǎng)關(guān)，第二個(gè)網(wǎng)關(guān)發(fā)現(xiàn)報(bào)文TTL值為0，丟棄此報(bào)文并向信源發(fā)送超時(shí)ICMP報(bào)文。這樣就得到了路由中和第二個(gè)網(wǎng)關(guān)地址。如此循環(huán)下去，直到報(bào)文正確到達(dá)信宿，這樣就得到了通往信宿的路由。

3.2網(wǎng)絡(luò)拓?fù)涞陌l(fā)現(xiàn)算法具體實(shí)現(xiàn)的步驟：

(1)于給定的IP區(qū)間，利用PING依次檢測每個(gè)IP地址，將檢測到的IP地址記錄到IP地址表中。

(2)對(duì)第一步中查到的每個(gè)IP地址進(jìn)行traceroute操作，記錄到這些IP地址的路由。并把每條路由中的網(wǎng)關(guān)地址也加到IP表中。(3)對(duì)IP地址表中的每個(gè)IP地址，通過發(fā)送掩碼請(qǐng)求報(bào)文與接收掩碼應(yīng)答報(bào)文，找到這些IP地址的子網(wǎng)掩碼。

(4)根據(jù)子網(wǎng)掩碼，確定對(duì)應(yīng)每個(gè)IP地址的子網(wǎng)地址，并確定各個(gè)子網(wǎng)的網(wǎng)絡(luò)類型。把查到的各個(gè)子網(wǎng)加入地址表中。

(5)試圖得到與IP地址表中每個(gè)IP地址對(duì)應(yīng)的域名(DomainName)，如具有相同域名，則說明同一個(gè)網(wǎng)絡(luò)設(shè)備具有多個(gè)IP地址，即具有多個(gè)網(wǎng)絡(luò)接口。

(6)根據(jù)第二步中的路由與第四步中得到的子網(wǎng)，產(chǎn)生連接情況表。

4結(jié)語

本文提出的ICMP協(xié)議的拓?fù)浒l(fā)現(xiàn)方法能夠較好的發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)?，但是它需要占用大量的帶寬資源。本系統(tǒng)進(jìn)行設(shè)計(jì)時(shí)，主要考慮的是對(duì)園區(qū)網(wǎng)絡(luò)的網(wǎng)絡(luò)管理，所有的被管理設(shè)備和網(wǎng)管系統(tǒng)處于同一段網(wǎng)絡(luò)上，也就是說，系統(tǒng)可以直接到達(dá)被管理的網(wǎng)絡(luò)，所以對(duì)遠(yuǎn)程的局域網(wǎng)就無能為力了。在做下一步工作的時(shí)候，可以添加系統(tǒng)對(duì)遠(yuǎn)程局域網(wǎng)絡(luò)的管理功能。

參考文獻(xiàn)

[1]晏蒲柳.大規(guī)模智能網(wǎng)絡(luò)管理模型方法[J].計(jì)算機(jī)應(yīng)用研究.2005,03.

篇9

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；安全威脅

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2007)12-21545-02

Brief Discussion on the Security Threat Faced by Campus Network in Colleges on Present

ZHONG Ping

(Network and Education Technology Center, Hanshan Normal University, Chaozhou 521041,China)

Abstract:As the fast development of campus network in colleges, various data on the campus network are increasing quickly. However, there are more and more attacks to the campus network, different kinds of security problems prevent the regular running of campus network. It causes security incidents happen continually, and the campus network faces the greatest threat. This essay bases on the features of the campus network security in colleges, and discusses the security threat faced by the campus network in colleges on present and its reasons.

Key words:Campus network;Network security;Security threat

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與多媒體技術(shù)的不斷發(fā)展，現(xiàn)代教育面臨一系列的改革。尤其是多媒體網(wǎng)絡(luò)技術(shù)在教育教學(xué)過程中的應(yīng)用越來越普遍，因此，建設(shè)校園網(wǎng)絡(luò)成為教育信息化發(fā)展的重要基礎(chǔ)。同時(shí)，網(wǎng)絡(luò)設(shè)備價(jià)格的不斷下降以及國家對(duì)教育的投入不斷增加，我國校園網(wǎng)的建設(shè)發(fā)展非常迅速，各大、中小學(xué)紛紛投入到校園網(wǎng)絡(luò)的建設(shè)中來。相比而言，高校校園網(wǎng)的建設(shè)走得要更快一些，目前全國已經(jīng)超過1000所高校接入了中國教育科研網(wǎng)（CERNET）。大部分高校的校園網(wǎng)基礎(chǔ)設(shè)施己初具規(guī)模，實(shí)現(xiàn)了“千兆到樓，百兆到桌面”，幾乎所有的辦公、教學(xué)、宿舍樓都接入了校園網(wǎng)，網(wǎng)絡(luò)系統(tǒng)成熟穩(wěn)定，網(wǎng)絡(luò)應(yīng)用系統(tǒng)更加豐富。

校園網(wǎng)作為互聯(lián)網(wǎng)的重要組成部分，是高校信息化進(jìn)程中最主要的基礎(chǔ)設(shè)施，擔(dān)負(fù)著學(xué)校教學(xué)、科研、管理和對(duì)外宣傳與交流等多種角色，從校園網(wǎng)基礎(chǔ)設(shè)施建設(shè)、管理信息系統(tǒng)開發(fā)、網(wǎng)絡(luò)教學(xué)及遠(yuǎn)程教育應(yīng)用發(fā)展到目前的數(shù)字化校園建設(shè)，為高校提高辦學(xué)水平，管理決策水平等方面起到了決定性的作用。

2 校園網(wǎng)的網(wǎng)絡(luò)安全特點(diǎn)

建立校園網(wǎng)是為了實(shí)現(xiàn)資源共享、信息服務(wù)、網(wǎng)絡(luò)教學(xué)、遠(yuǎn)程接入和網(wǎng)上辦公等，這就決定了校園網(wǎng)安全方面具有如下特點(diǎn)：

(1)開放的網(wǎng)絡(luò)環(huán)境。由于學(xué)校具有教學(xué)和科研的特點(diǎn)，所以要求校園網(wǎng)絡(luò)的環(huán)境是開放的，而且在管理方面較企業(yè)網(wǎng)絡(luò)來說更寬松一些。在校園網(wǎng)環(huán)境下，不可能像企業(yè)網(wǎng)絡(luò)一樣實(shí)施過多的限制，否則一些新的應(yīng)用、新的技術(shù)很難在校園網(wǎng)內(nèi)部實(shí)施。這樣就會(huì)留下一些安全隱患；

(2)活躍的用戶群。在高校中，學(xué)生通常是最活躍的網(wǎng)絡(luò)用戶，而且數(shù)量非常龐大，他們對(duì)網(wǎng)絡(luò)新技術(shù)充滿好奇，敢于嘗試。一些學(xué)生會(huì)嘗試使用從網(wǎng)上學(xué)到的或者是自己研究的一些攻擊技術(shù)，而這些行為可能對(duì)校園網(wǎng)絡(luò)造成一定的影響和破壞；

(3)用戶計(jì)算機(jī)系統(tǒng)無法實(shí)施統(tǒng)一管理。高校校園網(wǎng)用戶構(gòu)成較復(fù)雜，數(shù)量龐大，用戶的計(jì)算機(jī)一般是由自己維護(hù)的，由于用戶水平參差不齊，一些計(jì)算機(jī)水平較低的學(xué)生和老師無法進(jìn)行基礎(chǔ)的安全防范如更新系統(tǒng)、安裝和升級(jí)防病毒軟件等。另外，用戶大多數(shù)是使用盜版軟件或者是在互聯(lián)網(wǎng)上下載的一些破解軟件，這些軟件存在很多的問題，例如留有后門、攜帶病毒、嵌入有惡意軟件等，這些都會(huì)影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行。在這些情況下要求統(tǒng)一對(duì)所有計(jì)算機(jī)進(jìn)行管理需要付出很大的財(cái)力、人力、物力，并且實(shí)施起來相當(dāng)困難。

以上這些特點(diǎn)是造成校園網(wǎng)容易成為攻擊源的主要原因，同時(shí)也造成校園網(wǎng)成為最容易攻擊的目標(biāo)。

3 校園網(wǎng)面臨的安全威脅

校園網(wǎng)作為學(xué)校重要的基礎(chǔ)設(shè)施，其網(wǎng)絡(luò)安全狀況直接影響著學(xué)校的正常運(yùn)作。在建設(shè)初期中，由于安全意識(shí)、安全管理等多方面的原因，在網(wǎng)絡(luò)安全方面沒有引起足夠的重視，隨著應(yīng)用的深入，校園網(wǎng)上各種數(shù)據(jù)急劇增加，網(wǎng)絡(luò)的攻擊越來越多，各種各樣的安全問題開始阻礙了校園網(wǎng)的正常運(yùn)行，造成網(wǎng)絡(luò)安全事故不斷發(fā)生，使校園網(wǎng)的安全面臨極大的威脅。同時(shí)，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，復(fù)雜性不斷增加，異構(gòu)性不斷提高，用戶對(duì)網(wǎng)絡(luò)性能要求的不斷提高，網(wǎng)絡(luò)安全管理也逐步成為網(wǎng)絡(luò)管理中極為關(guān)鍵的任務(wù)之一。

從根本上說，校園計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全隱患都是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點(diǎn)，而系統(tǒng)在使用、管理過程中的失誤和疏漏更加劇了問題的嚴(yán)重性。威脅高校網(wǎng)絡(luò)系統(tǒng)的安全的因素很多，主要表現(xiàn)如下：

3.1 網(wǎng)絡(luò)協(xié)議漏洞造成的威脅

TCP/IP協(xié)議簇是互聯(lián)網(wǎng)使用的網(wǎng)絡(luò)協(xié)議，也是多數(shù)高校校園網(wǎng)采用的網(wǎng)絡(luò)協(xié)議。TCP/IP協(xié)議簇具有開放性和通用性等特點(diǎn)，并且在因特網(wǎng)最初的設(shè)計(jì)中基本沒有考慮安全問題，存在著很大的安全隱患，缺乏強(qiáng)健的安全機(jī)制，同時(shí)，任何組織或個(gè)人都可以研究、分析及使用，因此，TCP/IP協(xié)議的任何安全漏洞都可能被利用。主要存在的安全問題有：

(1)數(shù)據(jù)竊聽(Packet Sniff) ：TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸，因此數(shù)據(jù)信息很容易被竊聽、篡改和偽造。攻擊者可以利用Sniffer Pro或網(wǎng)絡(luò)分析儀等捕獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，獲取有價(jià)值的信息如用戶賬號(hào)、口令及其它機(jī)密信息等，從而達(dá)到攻擊的目的；

(2)源地址欺騙(Source Address Spoofing)：通過偽造某臺(tái)主機(jī)的IP地址騙取特權(quán)從而進(jìn)行攻擊的技術(shù)。由于TCP/IP協(xié)議使用IP地址作為網(wǎng)絡(luò)節(jié)點(diǎn)的唯一標(biāo)識(shí)，但是節(jié)點(diǎn)的IP地址又不是固定不變的，因此攻擊者可以冒充某個(gè)可信任節(jié)點(diǎn)進(jìn)行攻擊。

(3)源路由選擇欺騙(Source Routing Spoofing)：通過指定路由，以假冒身份與其他主機(jī)進(jìn)行合法通信或發(fā)送假報(bào)文，使受攻擊主機(jī)出現(xiàn)錯(cuò)誤動(dòng)作。在TCP/IP協(xié)議中，IP數(shù)據(jù)包為了測試的目的設(shè)置了一個(gè)選項(xiàng)――IP Source Routing，該選項(xiàng)可以直接指明到達(dá)節(jié)點(diǎn)的路由，攻擊者可以利用這個(gè)選項(xiàng)進(jìn)行欺騙，進(jìn)行非法連接。攻擊者通過冒充某個(gè)可信任節(jié)點(diǎn)的IP地址，構(gòu)造一個(gè)通往某個(gè)服務(wù)器的直接路徑和返回路徑，利用可信任用戶作為通往服務(wù)器的路由中的最后一站，就可以向服務(wù)器發(fā)送請(qǐng)求，對(duì)其進(jìn)行攻擊。

(4)ARP欺騙（Address Resolution Protocol Spoofing）：ARP協(xié)議的作用是在通信過程中將IP地址轉(zhuǎn)換為MAC地址。在安裝有TCP/IP協(xié)議的主機(jī)系統(tǒng)中都有一個(gè)IP地址與MAC地址的對(duì)應(yīng)轉(zhuǎn)換表，主機(jī)在發(fā)送數(shù)據(jù)幀前會(huì)查詢轉(zhuǎn)換表，將目標(biāo)MAC地址更改為目標(biāo)IP所對(duì)應(yīng)的MAC地址。ARP欺騙就是向被攻擊主機(jī)發(fā)送虛假的IP-MAC對(duì)應(yīng)信息，從而達(dá)到欺騙的目的。

(5)鑒別攻擊(Authentication Attacks)：TCP/IP協(xié)議只能以IP地址進(jìn)行鑒別，而不能對(duì)節(jié)點(diǎn)上的用戶進(jìn)行有效的身份認(rèn)證，因此服務(wù)器無法鑒別登陸用戶的身份的真實(shí)性和有效性。目前主要依靠服務(wù)器軟件平臺(tái)提供的用戶控制機(jī)制，比如用戶名、口令等。雖然口令是以密文存放在服務(wù)器上，但是由于口令是靜態(tài)的、明文傳輸?shù)模詿o法抵御重傳、竊聽。而且在很多系統(tǒng)中常常將加密后的口令文件存放在一個(gè)普通用戶就可以讀到的文件里，攻擊者也可以運(yùn)行準(zhǔn)備好的口令破譯程序來破譯口令，對(duì)系統(tǒng)進(jìn)行攻擊。

(6)TCP序列號(hào)欺騙(TCP Sequence Number Spoofing)：由于TCP序列號(hào)可以預(yù)測，因此攻擊者可以構(gòu)造一個(gè)TCP序列號(hào)，對(duì)網(wǎng)絡(luò)中的某個(gè)可信節(jié)點(diǎn)進(jìn)行攻擊。

(7)ICMP攻擊(ICMP Attacks)：ICMP是關(guān)于IP差錯(cuò)與控制的協(xié)議，但I(xiàn)CMP中的許多功能可被攻擊者利用來實(shí)施攻擊，如攻擊者可利用：ICMP重定向消息(ICMP redirect message)來破壞路由機(jī)制和提高偵聽業(yè)務(wù)流能力；ICMP回應(yīng)請(qǐng)求/應(yīng)答消息(ICMP echo request/ reply message)實(shí)行拒絕服務(wù)攻擊；ICMP目的不可達(dá)消息(Destination unreachable message)實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)應(yīng)用的拒絕服務(wù)；ICMP的ping命令可以獲得關(guān)于一個(gè)網(wǎng)絡(luò)的設(shè)置和可達(dá)性等信息。

(8)拒絕服務(wù)((DoS)攻擊：這是一種最古老也是最有效的攻擊方法。它可以針對(duì)任何加密系統(tǒng)進(jìn)行攻擊，因?yàn)榧用懿⒉皇菦]有代價(jià)的，加密和驗(yàn)證運(yùn)算都需要消耗大量的資源(包括占用CPU的時(shí)問)。如果組織大量數(shù)據(jù)同時(shí)訪問某主機(jī)，使得該主機(jī)在驗(yàn)證數(shù)據(jù)合法性的同時(shí)，做大量不相干的事，完全可能使該主機(jī)陷入癱瘓，而無法響應(yīng)正常的數(shù)據(jù)訪問。

(9)IP棧攻擊(IP Stack Attack)：利用大多數(shù)操作系統(tǒng)不能處理有著相同源、目的IP地址(主機(jī)名、端口)IP包的缺陷，把偽造的此種類型的IP包發(fā)往目標(biāo)主機(jī)，就能導(dǎo)致目標(biāo)主機(jī)系統(tǒng)崩潰。

3.2 操作系統(tǒng)及應(yīng)用系統(tǒng)的漏洞造成的威脅

操作系統(tǒng)及應(yīng)用系統(tǒng)漏洞的大量存在是網(wǎng)絡(luò)安全問題的嚴(yán)峻的重要原因之一。根據(jù)國際權(quán)威應(yīng)急組織CERT/CC統(tǒng)計(jì)（如表1所示），2006年公布漏洞數(shù)8064個(gè)，自1995年以來各年來漏洞公布總數(shù)30780個(gè)，從近幾年統(tǒng)計(jì)情況看，發(fā)現(xiàn)漏洞數(shù)量處于較高水平，并且有逐年增加的趨勢。另外，利用漏洞發(fā)動(dòng)攻擊的速度加快，據(jù)Symantec統(tǒng)計(jì)，2004年下半年，公布漏洞與相關(guān)的漏洞攻擊代碼之間相隔的時(shí)間為6. 4天，到了2005年上半年，公布安全漏洞到相關(guān)攻擊代碼之間的平均時(shí)間由6.4天縮短為6.0天。

表1 CERT漏洞統(tǒng)計(jì)報(bào)告

近幾年來，利用漏洞開發(fā)的計(jì)算機(jī)病毒在互聯(lián)網(wǎng)上泛濫成災(zāi)，頻頻掀起發(fā)作狂潮，并且隨著網(wǎng)絡(luò)帶寬和計(jì)算機(jī)數(shù)量的增加，病毒的傳播速度越來越快。以“求職信”、“紅色代碼”、“尼姆達(dá)”和“2003蠕蟲王”為代表的蠕蟲病毒，通過Internet在全球范圍內(nèi)迅速蔓延，造成嚴(yán)重的網(wǎng)絡(luò)災(zāi)害。例如，2002年4月中旬，“求職信”惡性網(wǎng)絡(luò)病毒襲擊捷克，使其蒙受重大經(jīng)濟(jì)損失，中國大陸及臺(tái)灣地區(qū)也遭受攻擊。2003年1月25日，新型蠕蟲病毒“2003蠕蟲王”大規(guī)模爆發(fā)，波及亞洲、美洲和澳洲等地區(qū)，致使我國互聯(lián)網(wǎng)大面積感染。2003年8月11日，在美國爆發(fā)的“沖擊波”蠕蟲病毒開始肆虐全球，并且迅速傳播到歐洲、南美、澳洲、東南亞等地區(qū)。據(jù)報(bào)道，截至8月14日，全球已有25萬臺(tái)電腦受到攻擊。我國從11日到13日，短短三天間就有數(shù)萬臺(tái)電腦被感染，4100多個(gè)企事業(yè)單位的局域網(wǎng)遭遇重創(chuàng)，其中2000多個(gè)局域網(wǎng)陷入癱瘓，嚴(yán)重阻礙了電子政務(wù)、電子商務(wù)等工作的開展，造成巨大的經(jīng)濟(jì)損失。2004年最主要的蠕蟲事件是利用微軟視窗系統(tǒng)LSASS漏洞傳播的“震蕩波”系列蠕蟲，造成大量的用戶計(jì)算機(jī)被感染。根據(jù)CNCERT/CC抽樣監(jiān)測發(fā)現(xiàn)我國有超過138萬個(gè)IP地址的主機(jī)感染此類蠕蟲。

3.3 攻擊工具獲取容易，使用簡單

在互聯(lián)網(wǎng)上，有很多攻擊工具可自由下載，此類攻擊工具設(shè)置簡單、使用簡便，即使對(duì)網(wǎng)絡(luò)不太精通的人都可以利用攻擊工具進(jìn)行網(wǎng)絡(luò)攻擊。大量的廉價(jià)卻很好用的攻擊工具充斥于網(wǎng)絡(luò)中，自動(dòng)化攻擊工具大量泛濫。從圖1可以看出，隨著攻擊復(fù)雜度的降低，使得一個(gè)普通的攻擊者也可以對(duì)系統(tǒng)造成巨大的危害。攻擊技術(shù)的普及使得高水平的攻擊者越來越多，反而言之，安全管理員面臨著巨大的挑戰(zhàn)，我們的系統(tǒng)面臨的安全威脅也越來越大。

圖1 攻擊復(fù)雜度的變化規(guī)律

3.4 校園網(wǎng)用戶的安全意識(shí)不強(qiáng)，計(jì)算機(jī)及網(wǎng)絡(luò)應(yīng)用水平有限

校園網(wǎng)用戶網(wǎng)絡(luò)安全尚未能充分認(rèn)識(shí)，基本上沒有或很少對(duì)所使用計(jì)算機(jī)作安全防范。校園網(wǎng)用戶更多地側(cè)重于各類應(yīng)用軟件的操作上面，以期望方便、快捷、高效地使用網(wǎng)絡(luò)，最大限度地獲取有效的信息資源，而很少考慮實(shí)際存在的風(fēng)險(xiǎn)和低效率，很少學(xué)習(xí)防范病毒、漏洞修復(fù)、密碼管理、信息保密的必備知識(shí)以及防止人為破壞系統(tǒng)和篡改敏感數(shù)據(jù)的有關(guān)技術(shù)。

目前，關(guān)于網(wǎng)絡(luò)安全的法律法規(guī)都已出臺(tái)，學(xué)校網(wǎng)絡(luò)中心也都制定了各自的管理制度，但宣傳教育的力度不夠。許多師生法律意識(shí)淡薄，出于好奇或賣弄編程技巧的心理，破壞了網(wǎng)絡(luò)的安全。網(wǎng)上活躍的黑客交流活動(dòng)，也為他們的破壞活動(dòng)奠定了技術(shù)基礎(chǔ)。

4 結(jié)束語

綜上，構(gòu)建一個(gè)覆蓋整個(gè)校園網(wǎng)絡(luò)的全方位、多層次、多種防御手段的網(wǎng)絡(luò)安全防范體系，利用網(wǎng)絡(luò)安全防范的相關(guān)技術(shù)，從根本上解決來自校園網(wǎng)絡(luò)內(nèi)外部對(duì)網(wǎng)絡(luò)安全造成的各種威脅，為高校的教學(xué)信息系統(tǒng)、行政管理、信息交流等提供一個(gè)安全的環(huán)境和完整的平臺(tái)。

參考文獻(xiàn)：

[1]胡錚.網(wǎng)絡(luò)與信息安全[M].北京:清華大學(xué)出版社,2006.5:16-21.

[2]矯健,韓芳溪,毛忠東.網(wǎng)絡(luò)攻擊手段及防御系統(tǒng)設(shè)計(jì)[J].計(jì)算機(jī)工程與應(yīng)用,2003(33):168-170.

[3]秦宗全,于詠梅,郭大春.校園網(wǎng)絡(luò)安全防范體系研究[J].計(jì)算機(jī)時(shí)代,2007(2):16-18.

篇10

【 關(guān)鍵詞 】 IPv6； 互聯(lián)網(wǎng)； 安全

Internet Security Research based on IPv6

Ni Hong-biao

（Jilin Police College JilinChangchun 130117）

【 Abstract 】 With the network technology development， the new generation of network protocol—IPv6 obtains the increasing attention. This article will research the network security based on IPv6 protocol. At first， it analyzes IPv6 characteristics and transform between IPV4 and IPv6. In the second place， this paper introduces IPv6 potential safety hazard and the related solution. At last， instrusion detection system is designed based on IPv6 with the key module workflow. This article provides positive significance to the network security workers.

【 Keywords 】 ipv6； internet； security

1 引言

當(dāng)前，IPv4仍是當(dāng)前互聯(lián)網(wǎng)的重要協(xié)議，IPv6協(xié)議是在IPv4的基礎(chǔ)上進(jìn)一步的完善和發(fā)展的，被稱為下一代互聯(lián)網(wǎng)協(xié)議。

自上個(gè)世紀(jì)末IPv6的提出至今，IPv6協(xié)議的框架已經(jīng)成熟，逐步取代IPV4成為下一代Internet協(xié)議，與IPv4相比，IPv6具有幾項(xiàng)新特點(diǎn)：尋址能力得到擴(kuò)展、分組頭的格式得到簡化、進(jìn)一步提高了擴(kuò)展能力、完善認(rèn)證和加密機(jī)制、提供移動(dòng)服務(wù)。

2 IPv4向IPv6的過渡策略

從IPv4到IPv6的過渡方法有三種：雙協(xié)議棧技術(shù)、隧道技術(shù)及翻譯機(jī)制。當(dāng)前比較常用的技術(shù)是雙協(xié)議棧技術(shù)和隧道技術(shù)，翻譯機(jī)制由于效率比較低，應(yīng)用的范圍則較少。

（1）雙協(xié)議棧技術(shù) 該技術(shù)的工作原理是將一臺(tái)主機(jī)同時(shí)安裝IPv6和IPv4兩種協(xié)議，由于兩者建立在相同的物理平臺(tái)之上，且傳輸層協(xié)議也沒有任何的區(qū)別，那么，主機(jī)就可以同時(shí)支持兩種協(xié)議的通信。該技術(shù)可操作性比較強(qiáng)，應(yīng)用方便，但是卻增加了路由設(shè)置，對(duì)于網(wǎng)絡(luò)中IP地址的耗盡問題仍然無法有效解決。

（2）隧道技術(shù) 該技術(shù)的方法是將IPv6的數(shù)據(jù)包封裝在IPv4的數(shù)據(jù)包中，經(jīng)過網(wǎng)絡(luò)傳輸，到達(dá)目的主機(jī)后進(jìn)行解封。這是當(dāng)前最有效的過渡方法，該技術(shù)同樣要求在主機(jī)上安裝IPv4及IPv6兩種協(xié)議。隧道技術(shù)的封裝如圖1所示。

（3）協(xié)議轉(zhuǎn)換技術(shù) 該技術(shù)是由NAT技術(shù)轉(zhuǎn)換而來，其轉(zhuǎn)換技術(shù)是IPv6與IPv4之間的中間件，對(duì)于安裝兩種不同協(xié)議的主機(jī)來說，不需要對(duì)自身做出任何配置工作，就可以保證兩者之間的正常通信。

3 IPv6的安全機(jī)制

IPv6協(xié)議的安全機(jī)制是IPSec，它內(nèi)置于協(xié)議之中，IPSec主要有ESP（封裝安全負(fù)載）、AH（認(rèn)證報(bào)頭）、SA（安全連接）和IKMP（網(wǎng)絡(luò)密鑰管理協(xié)議）四部分組成。其體系結(jié)構(gòu)如圖2所示。

IPv6協(xié)議的安全系數(shù)要遠(yuǎn)遠(yuǎn)好于IPv4協(xié)議，且安全的算法不再局限于特定的算法，可以有效保證IP數(shù)據(jù)包的安全。

4 IPv6的安全問題及策略

4.1 IPv6的安全隱患

IPv6協(xié)議要優(yōu)于IPV4協(xié)議，但是網(wǎng)絡(luò)共享的特點(diǎn)只要還存在，IPv6同樣存在著來自不同方面的威脅，主要有幾個(gè)方面。

（1）網(wǎng)絡(luò)病毒及木馬 IPv6網(wǎng)絡(luò)中的地址數(shù)目眾多，但是網(wǎng)絡(luò)數(shù)據(jù)的傳輸要通過關(guān)鍵的服務(wù)器及路由來進(jìn)行，所以當(dāng)這些關(guān)鍵的節(jié)點(diǎn)受到攻擊時(shí)，同樣可到致整個(gè)網(wǎng)絡(luò)系統(tǒng)崩潰。而木馬和病毒的傳播，受影響最多的節(jié)點(diǎn)就是路由和服務(wù)器。

（2）Dos攻擊 該方式是通過消耗目的主機(jī)資源的方式展開攻擊，在IPv6協(xié)議里，地址FF01：：1表示動(dòng)態(tài)分配地址，如果向該地址進(jìn)行攻擊，會(huì)造成整個(gè)網(wǎng)絡(luò)系統(tǒng)資源的大量損失。而通過IPv6協(xié)議的安全驗(yàn)證機(jī)制，一方面加大自身主機(jī)的資源損失，另一方面是對(duì)合法的數(shù)據(jù)可能在計(jì)算非法數(shù)據(jù)過程中丟失。

（3）TCP缺陷攻擊 利用TCP協(xié)議的三次握手，可以保證數(shù)據(jù)的安全準(zhǔn)確到達(dá)，但是當(dāng)大量的偽造TCP報(bào)文向目的主機(jī)發(fā)送時(shí)，會(huì)占用大量的緩存空間和連接空間，致使正確的數(shù)據(jù)無法得到正確的響應(yīng)和接收。

（4）應(yīng)用服務(wù)威脅 當(dāng)前，網(wǎng)絡(luò)的應(yīng)用功能越來越完善，應(yīng)用的范圍也越來越廣，與此同時(shí)，在使用具體的應(yīng)用功能時(shí)，攻擊者可能將一些非法的數(shù)據(jù)或木馬程序移植在應(yīng)用程序之中，致使網(wǎng)絡(luò)的安全受到威脅。

4.2 安全策略

針對(duì)上述的問題，我們進(jìn)行有針對(duì)性地防范，主要采取的措施有幾項(xiàng)。

（1）建立安全的可信網(wǎng)絡(luò) 對(duì)網(wǎng)絡(luò)中的節(jié)點(diǎn)進(jìn)行有效的識(shí)別，將網(wǎng)絡(luò)中可信的、安全的網(wǎng)絡(luò)路由和服務(wù)器進(jìn)行匯總，訪問時(shí)采取優(yōu)先訪問的原則，而對(duì)于無法識(shí)別安全性能的網(wǎng)絡(luò)節(jié)點(diǎn)，則對(duì)其數(shù)據(jù)進(jìn)行重點(diǎn)防范和及時(shí)查殺病毒木馬。

（2）DOS攻擊的防范 由于攻擊者隱藏在無數(shù)的網(wǎng)絡(luò)節(jié)點(diǎn)之中，而且根本沒有推測攻擊發(fā)起的時(shí)間和具體攻擊的對(duì)象，因此，對(duì)于DOS攻擊只能采取積極的防范。當(dāng)前針對(duì)該攻擊主要采取的方法有報(bào)文過濾、資源共享、信任鏈路等有效措施。

5 基于IPv6的入侵檢測系統(tǒng)

對(duì)于IPv6協(xié)議的防范，可以通過入侵檢測系統(tǒng)來完成，對(duì)于系統(tǒng)來說，主要分為三部分，分別是數(shù)據(jù)輸入、處理和輸出。

系統(tǒng)設(shè)計(jì)的硬件平臺(tái)為：若干臺(tái)可以連接互聯(lián)網(wǎng)的PC機(jī)，配置為：CPU Pentium 4 2.8G、內(nèi)存2G、硬盤160G，兩塊網(wǎng)卡Intel（R） PRO/100 VE Network Connection，一塊作為IPv4網(wǎng)絡(luò)的接口，一塊作為IPv6網(wǎng)絡(luò)的接口。

本文所設(shè)計(jì)的入侵檢測系統(tǒng)的設(shè)計(jì)、開發(fā)軟件環(huán)境為：使用Windows XP操作系統(tǒng)，它是一個(gè)雙協(xié)議棧主機(jī)，IPv4協(xié)議棧操作系統(tǒng)自帶，IPv6協(xié)議棧在Windows XP中已經(jīng)集成，可以直接安裝，開發(fā)工具使用Microsoft Visual C++ 6.0，Windows XP Device Drivers Kit（Windows XP DDK）。

系統(tǒng)主要是數(shù)據(jù)的處理部分，該部分由七個(gè)模塊組成，分別是存儲(chǔ)模塊、響應(yīng)模塊、分析檢測模塊、規(guī)則處理模塊、協(xié)議解決模塊、數(shù)據(jù)包捕捉模塊和特征庫組成。

核心代碼如下所示：

u_char this_xieyi；

this_xieyi = （u_char）bao_type；

struct map_jilu *faxian_elm=NULL；

//處理TCP/UDP/ICMP

if（this_xieyi==XIEYI_TCP）{

faxian_elm=maptb.FaxianFromOuter（*（（u_short *）

retrieve_kuanjia（huancun.WZ_DST_TCPPORT）），

retrieve_kuanjia（huancun.WZ_SRC_IP），

*（（u_short *）retrieve_kuanjia（huancun.WZ_SRC_TCPPORT）），

this_xieyi）；

}

Else if （this_xieyi== XIEYI_UDP）{

faxian_elm=maptb.FaxianFromOuter（*（（u_short *）

retrieve_kuanjia（huancun.WZ_DST_UDPPORT）），

retrieve_kuanjia（huancun.WZ_SRC_IP），

*（（u_short *）retrieve_kuanjia（huancun.WZ_SRC_UDPPORT）），

this_xieyi）；

}

Else if （（this_xieyi== XIEYI_ICMP）&&isicmpreply（huancun））{

faxian_elm=maptb.FaxianFromOuter（*（（u_short *）

retrieve_kuanjia（huancun.WZ_ICMP_ID）），

retrieve_kuanjia（huancun.WZ_SRC_IP），

*（（u_short *）retrieve_kuanjia（huancun.WZ_ICMP_ID）），

this_xieyi）；

}

if（faxian_elm==NULL） //如果沒有找到

{

*pIPv6_address=in6addr；

*pIPv6_port=0；

Return NO_MAPPING；

}else{ //找到合適的映射表?xiàng)l目

*pIPv6_address=faxian_elm->inner_ip；

*pIPv6_port= faxian_elm->inner_port；

對(duì)于IPv6和IPv4網(wǎng)絡(luò)之間進(jìn)行通信，以保證數(shù)據(jù)準(zhǔn)確的、實(shí)時(shí)到達(dá)，通過Ping對(duì)其進(jìn)行時(shí)延測試，測試結(jié)果如表1所示。

6 結(jié)束語

目前，我國純IPv6協(xié)議的網(wǎng)絡(luò)只是在局部的范圍內(nèi)應(yīng)用，在相當(dāng)長的一段時(shí)間內(nèi)，還需要IPv4與IPv6協(xié)議彼此共存，對(duì)于兩種協(xié)議之間的轉(zhuǎn)換，當(dāng)前國際上并沒有統(tǒng)一的標(biāo)準(zhǔn)，在不斷深入研究的過程中，會(huì)不斷地改進(jìn)。純IPv6協(xié)議的安全系數(shù)相對(duì)較高，但I(xiàn)Pv4與IPv6兩者進(jìn)行通信，數(shù)據(jù)包的丟失現(xiàn)象還存在，需要進(jìn)一步地研究。

參考文獻(xiàn)

[1] 熊英. IPv4/IPv6代溝協(xié)議轉(zhuǎn)換技術(shù)的設(shè)計(jì). 通信世界，2003.9.

[2] 蘇金樹，涂睿，王寶生，劉亞萍.互聯(lián)網(wǎng)新型安全和管理體系結(jié)構(gòu)研究展望.計(jì)算機(jī)應(yīng)用研究，2009.10.

[3] 黃曉榕. 對(duì)新一代IP協(xié)議IPv6的分析.西南財(cái)經(jīng)大學(xué)，2001.5.

[4] 楊云江，高鴻峰.IPv6技術(shù)與應(yīng)用[M]. 清華大學(xué)出版社，2010.2.

基金項(xiàng)目：

項(xiàng)目編號(hào)：吉林警察學(xué)院院級(jí)科研課題yjky201311。