icmp協議范文

導語：如何才能寫好一篇icmp協議，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

引言

無線局域網被認為是下一代IT產業發展的是大推動之一，被IT業賦予了極大的希望。無線局域網802.11系列標準的MAC協議是一樣的，只是在物理層上有差異，因此對802.11MAC協議的開發，不論是在802.11b流行的今天，還是802.11g可能會成為主流的將來，都是很有意義的。當然，ARM以其先進的體系結構已經成為嵌入式市場的RISC標準，因此基于ARM的IEEE802.11MAC協議的開發是很有現實意義的。

我們的開發流程如圖1所示。

PC軟件開發是指脫離硬件的嵌入式軟件開發階段。此階段可以在各種IDE環境下進行開發，并進行軟仿真來驗證軟件的邏輯正確性。然后將開發出來的PC軟件結合硬件所需要的硬件相關代碼向硬件平臺進行移值調試。前兩個階段完成后就得到了開發的最終成品。

1 協議結構

IEEE802.11MAC協議的SDL描述可以分為以下幾個功能模塊，如圖2所示。

*MAC數據服務模塊：向LLC層提供MAC層的數據服務接口。

*MPDU生成模塊：將MSDU（MMPDU）生成MPDU，并對MPDU分段、加密以及進行排隊管理。

*協議控制模塊：完成DCF、PCF下的各種協議控制功能，包括RTS/CTS、ACK、ATIM、CF-ACK等，并根據信道狀態請求退避，在傳送數據挫敗后控制重傳等。該模塊還負責對所有接收到的MAC幀進行分類，按不同的類型送到不同的模塊進行處理。

*發送模塊：將MAC幀以字節流的形式發送到物理層，完成實際的發送過程。這個模塊中要完成對整個發送幀產生CRC校驗，向發送的beacon幀中加入時戳用來進行時間同步。這個模塊還負責處理底層獲得的當前信道的狀態，完成協議要求的隨機退避功能。

*接收模塊：對從物理層接收到的幀進行CRC校驗。如果正確接收的話，則進行地址過濾，丟棄目的地址不是自己的幀。如果數據是經過分段的話，還有進行數據分段的重裝，然后將接收幀送往協議控制模塊進行分類處理。同時，這個模塊還要提取接收幀中的信道保留信息，結合信道上有無載波的狀況綜合判斷信道的狀態，并把信道的狀態送往發送模塊來協調退避功能的完成。

*MAC管理實體模塊：是管理核心，完成所有的管理功能，包括掃描、入網、認證、解認證、關聯、解關聯、重新關聯、beacon幀的發送、站點狀態管理等功能。

*MAC管理服務模塊：提供MAC管理接口，包括MIB庫的管理，對MIB庫的訪問，并將管理接口傳來的管理服務請求送到MLME模塊進行實際處理，將結果返回給管理接口。

2 協議實現

IEEE802.11MAC協議的SDL流程中各模塊之間的交互是通過信號的方式來完成的，模塊之間通過交互信息來協調工作，并且完成各種MAC幀的結構之間的傳遞。我們將信號定義為Signal(PID,SID,Param)參數PID用來標準信號的目的模塊，SID用來標志信號在目的模塊中由哪個函數來處理，參數Param是一個指向存儲區的指針，存儲區里存放的是信號所要傳遞的信息。為了能使整個協議在信號的驅動下運行，需要由一個功能實體來完成信號的處理過程。這里采用的是一個循環隊列來存放產生的信號，由主循環程序來不斷檢測隊列中的信號，根據信號的PID和SID調用相應模塊里的信號處理函數進行處理。

協議中還涉及大量的比較判斷和定時操作，當比較成立或定時到期后，進入相應的處理程序。其實，我們可以認為當比較成立或時間到期產生相應的信號，然后由信號處理機制來完成后續的工作。我們所要做的只是定義一個比較隊列和一個定時隊列，比較操作加到比較隊列中，定時操作加到定時隊列中，由主循環檢測這兩個隊列。當某個比較判斷成立時或某個定時期時從相應的隊列中取出，然后再以信號方式加入到信號隊列中去。因此我們將比較操作和定時操作分別定義為：

Compare(PID,SID,Param11,Param12,Param21,Param22,Param31,Param32);

Timer(PID,SID,Time);

PID、SID標志比較成立或定時到期時產生的信號，Paramil、Parami2(i=1,2,3)為比較操作中需要進行比較的幾對數據。Time為定時操作中設定的定時值。

上面介紹的機制建構了協議框架，然后在這個框架基礎上按照SDL流程編寫相應的信號處理函數就要吧實現整個協議。

前期協議開發了驗證邏輯上的正確性。我們在Microsoft Visual C++環境下進行開發并進行了軟仿真，結果表明所開發的設計在邏輯上是正確可行的。

3 協議向ARM平臺的移植

我們所使用的ARM硬件平臺ARM anywhere II采用的是三星公司的ARM芯片S3C4510B。S3C4510B是采用ARM7TDMI核的高性價比RISC微控制器，特別適用于網絡應用系統。

我們開發了一個軟件模塊PHY來模擬物理層收斂過程子層（PLCP），對于物理介質依賴子層（PMD）我們沒有實現。這并不影響MAC協議的開發。LLC層的數據通過PC串口發送到ARM平臺來模擬，數據經過MAC處理后送到PLCP子層，然后由PLCP子層直接發送。數據發送通過ARM的通用I/O來實現，發送速率由S3C4510B的定時器來控制。

在將802.11MAC協議向ARM平臺的移植方案中，有一部分代碼的執行是依賴于ARM平臺的。這部分代碼的移植工作需要特別注意，包括以下幾個方面：

①定時器。協議中要求的隨機退避過程需要底層周期性的送slot來進行，這個周期性 slot需要用定時器來實現。協議中的網絡分析矢量NAV需要用定時器來實現，以判斷NAV的狀態。協議中定義的幾種幀間隔IFS（SIFS、DIFS、PIFS、EIFS）也需要利用定時器來實現。

②外部中斷。802.11MAC協議中一個重要部分就是載波監聽。當信道狀態變化時（由忙到閑，由閑到忙）都要給負責監聽信道狀態的模塊一個指示（CCA），指示當前的信道狀態。這個過程可以由S3C4510B ARM芯片的外部中斷來很好地實現。由于S3C4510B ARM芯片可以對中斷檢測方式進行配置，可以將中斷檢測方式配置為上升沿和下降沿均觸發中斷，這些就能很好地模塊協議的中物理載波監聽（CS）。

③I/O。模擬PLCP子層的數據收發，一共用到8個I/O端口，一次發送8位。在發送數據時，還使用了一個I/O端口作為發送指示。這個I/O端口通過信道模擬器連接到其它節點的用來監聽信道狀態的外部中斷引腳上。

④UART。我們用UART來實現PC和ARM的通信。一些管理命令，例如掃描、入網、認證、關聯、解認證、解關聯，節點的配置信息例如MAC地址等都可以從串口來發送給ARM。另外，所有發送的數據都會通過串口傳送給ARM進行發送，所有接收到的數據將通過串口回傳給PC。

⑤以太網控制器。以太網控制器在AP中是比較有用的。由于AP之間是通過有線的骨干網（backbone）來進行連接的，從而組成了分布式系統（DS），以太網控制器已經集成了IEEE802.11接口，就為實現這個有線的backbone提供了便利。

4 硬件仿真環境

圖3中，IEEE802.11MAC協議和PLCP子層模擬模塊都都在ARM平臺上，串口通信程序運行在PC上。它和ARM的UART進行通信用于模擬LLC層數據服務和上層的管理服務，同時它還可以顯示節點的運行狀態和當前的網絡狀態。

下面介紹一下我們使用的簡易信道模擬器的原理。信道模擬器對應每個節點（ARM平臺）有一套接口，其中有8個I/O用于數據傳輸。由于無線信道是開放式的，一個節點發送時其它節點都能收到，因此在信道模擬器中每個節點的8個I/O是兩兩相通的，這樣就能保證一個節點發送時其它節點都能收到。另外，由于要模擬信道上的載波監聽過程，我們用到了ARM上的外部中斷用做載波監聽位（CS），然后用一個I/O發送指示（TR）。這樣，信道模擬器上要維持任何一個節點的CS位，都與其它節點的TR有一定的邏輯關系，例如，當一個節點發送時，將其TR置為0（0表示信道變忙，ARM引腳初始電平為高電平1），則這個0應該立即能反映到其它節點的CS位上從而產生中斷，其它節點都會知道信道變忙而開始從信道接收數據。同時，當節點發送完畢后將TR置為1，其它節點就會產生中斷并且檢測到CS位為1從而知道信道變閑，接收結束。

實際的信道模擬支持兩個基本服務區（BSS）組成的分布式系統（DS），每個BBS內支持1個AP和2個普通節點。這內部的邏輯關系用可編程邏輯器件實現。

5 移植過程中的注意事項

PHY軟件模塊模擬PLCP子層，負責完成要求的載波監聽和數據收發時的定時控制。這些功能都是采用中斷方式實現的，因此要求代碼執行速率要快。這里使用匯編語言開發來提供代碼的執行效率。

為了獲得較高的代碼執行速率和快速的中斷響應，要求所有協議代碼和中斷服務程序都在SDRAM中執行。這就涉及到在設計ARM的初始化代碼時要正確配置相應的存儲區控制寄存器，并且完成代碼的搬移和地址的重映射。

圖3

    ARM的初始化代碼包括：

*定義入口點（entry point）。

*定義異常向量表，用來處理各種CPU異常，其中包括中斷。

*配置SDRAM和Flash的地址范圍、時序等參數，以使這些存儲器能正常工作。

*代碼搬移。程序代碼一般應從Flash調入SDRAM中運行，以提高系統的運行速度。同時，系統及用戶堆棧、運行數據也都放在SDRAM中。

*對SDRAM進行地址重映射，從初始時地址空間的高端搬移到0x0開始的位置。

*初始化堆棧。

*初始化存儲區。

*根據需要改變處理器工作模式。

*開中斷。

*到C程序代碼入口點開始執行。

另外，移植過程中還要考慮的一個問題是內存分配的問題。嵌入式系統中對內存的分配，一般來說要求快速可靠并且有效，實際上就是在采用靜態分配內存還是動態分配存的問題。如果系統要求對實時性要求高并且不能容忍分配失敗，這時就需要采用靜態分配內存。采用靜態分配一個不可避免的問題就是系統失去了靈活性，必須在設計階段就預先估計所需要的內存并對其作出分配，并且要考慮到所有可能的情況。我們在移植過程中，考慮到實時生和可靠性是我們的主要目標，并且我們的ARM平臺具有較大的存儲區，因而采用了靜態分配的方式。

篇2

關鍵詞：內網安全 ICMP 主機探測

1引言

隨著計算機網絡的飛速發展，信息網絡已經成為社會發展的重要保證。信息網絡涉及到國家的政府、軍事等諸多領域。提起網絡安全，人們自然就會想到病毒破壞和黑客攻擊，其實不然。常規安全防御理念往往局限在網關級別、網絡邊界（防火墻、漏洞掃描、防病毒、IDS）等方面的防御，重要的安全設施大致集中于機房或網絡入口處，在這些設備的嚴密監控下，來自網絡外部的安全威脅大大減小。相反，來自網絡內部的計算機客戶端的安全威脅卻是眾多安全管理人員所普遍反映的問題。因此，內網安全問題也成為現在網絡建設中不得不考慮的問題。

2相關技術

2.1網絡探針技術

網絡探針是對接入網絡的計算機終端進行接入控制的一種程序，它由網絡探針服務器和網絡探針客戶端兩部分組成。它能夠監測到同一子網內沒有安裝運行指定程序或沒有進行入網授權的計算機，并采取措施自動將其引導至指定服務器下載指定程序或申請入網授權，也可以直接阻斷這些計算機的網絡通信。網絡探針的主要功能有以下2個方面。

1． 網絡探針的輪詢功能

由哪臺計算機終端擔任網絡探針角色是網絡探針服務器在安裝有網絡探針客戶端的計算機終端中自動指定的，不需要網絡管理員的特別指定。網絡探針輪詢功能的優點是只要同一子網內的計算機終端有一臺運行網絡探針客戶端，就可以保證網絡探針對整個網絡探測子網生效。

2． 網絡探針的阻斷計算機終端訪問網絡工作模式

網絡探針可以利用ARP重定向技術阻斷網絡探針檢測到的沒有安裝指定程序或授權的計算機終端試圖訪問網絡的行為。同理，在網絡探針的阻斷計算機終端訪問網絡工作模式下，沒有安裝指定程序或授權的計算機也是無法和內網中的其他計算機終端進行通信的。

2.2活動主機探測技術

活動主機探測[2]是一項探測本地或者遠程主機存活情況的技術，它給端口掃描和操作系統指紋探測提供活動主機。活動主機探測是向目標主機或目標主機的指定端口發送探測數據包，并記錄目標主機的響應通過分析響應的數據包來判斷目標主機是否存活。本文用到的活動主機的探測常用方法是ICMP ping：

ICMP ping[3]

向目標主機發送 ICMP 回顯請求( echo request ICMP 類型為8)報文，期待從運行的主機得到ICM回顯應答( echo reply，ICMP type 0)報文，從而判斷出目標主機的存活狀態。通過采用并行輪轉形式發送大量的ICMP ping 請求，可以用來對一個網段進行大范圍的掃射，由此來確定主機存活情況。盡管并行輪轉探測的準確率和效率都比較高，但是一般的邊界路由器或防火墻都通過阻塞 ICMP 數據報限制ICMP ping探測。ICMP回顯請求是標準的ICMP ping 查詢，除了ICMP 回顯請求以外，在ICMP 掃描技術中也用到Non ECHO ICMP 技術。這種技術中主要用到 ICMP 時間戳請求、ICMP 地址掩碼請求和ICMP 信息請求。雖然這些查詢是用來獲得主機信息如當前時間或地址掩碼，但它們也可以很容易的用于主機發現，即有回應的主機就是活動的主機。當有些主機封鎖了ICMP 回顯請求數據報而忘了封鎖其它的ICMP ping查詢，這時用Non ECHO ICMP技術探測活動主機是很有價值的。

3基于內網安全的ICMP探測工具設計與實現

內網計算機監控系統[4-5]是為了高效安全管理好內網的所有計算機而建立的一種管理系統，是信息化建設、信息安全的重要保障。對于該基于ICMP協議的探針工具，本文采用如下圖1的原理框圖：

該探針工具采用的是發送端加接收端的結構，其中ICMP協議為探測數據包的發送提供協議基礎，而winpcap和socket則分別為發送端和接收端提供通信機制。首先，在處在A網絡的發送端整理好需要探測的目的主機地址或是目的網段網關地址。然后，為每個地址構造擁有偽造的源地址（即B網絡接收端IP地址的）和指定的ICMP報文數據區內容的echo-request請求包并發送。當同時身處A、B兩個網絡的PC主機收到請求后，會以為是B網絡的接收端所在IP對其的請求而予以回應。之后，接收端截獲其所有ICMP數據包并解析其詳細數據區內容。如若發現有與我們預先設置的數據區內容相同的數據包存在，則可根據該包的源地址確定雙網絡主機在A網絡的具體IP地址，從而及時發現雙網絡主機的存在。

4工具測試

測試原理圖：

圖中探測段2對應的主機PC2安裝ICMP探測工具，擔任網絡探針角色。實驗結果表明，在沒有防火墻的情況下，利用“雙探針”配合偽造地址的ICMP請求的方法可以探測到非正常的“雙網絡”PC3的私接。若被探測主機防火墻開啟，則捕獲不到來自被探測主機的ICMP應答報文。

5總結

基于ICMP的“探針”工具在沒有防火墻的情況下可完成對“雙網絡”主機的探測功能，起到檢測內網主機安全性的作用，防止偽造假冒地址主機的欺騙性攻擊，可在內網安全監測中起到一定作用。

參考文獻：

[1]孫大躍，王衛亞．計算機網絡—原理、應用和實現［M］．北京：清華大學出版社，2007：114-116．

[2]張國林，于海英，楊松濤．活動主機探測 ［J］．佳木斯大學學報，2007，25 ( 3)：305-307

[3]杜樹杰．基于ICMP協議的Ping主機探測 ［J］．計算機系統應用，2009，（12）： 212-214.

篇3

【關鍵詞】蜜罐；指紋匹配；相關函數

1 Honeyd軟件介紹

Honeyd是由Niels Provos創建的一種具有開放源代碼的輕型低交互級別的蜜罐，除了具有蜜罐的共性――引誘攻擊者的攻擊外，它自身的設計特點不但可以使Honeyd更有效的完成任務，還能開發出許多新的應用出來。它可以同時模仿400多種不同的操作系統和上千種不同的計算機。

Honeyd有如下特點：

第一，Honeyd可以同時模仿上百甚至上千個不同的計算機，大部分蜜罐在同一時間僅可以模仿一臺計算機，而Honeyd可以同時呈現上千個不同的IP地址。

第二，可以通過簡單的配置文件對服務進行任意配置，可以對虛擬的主機進行ping操作或者進行traceroute，Honeyd可以根據簡單的配置文件對虛擬主機的任何服務進行任意的配置，它甚至可以作為其他主機的。

第三，可以在TCP/IP層模仿操作系統，這就意味著如果有人闖入用戶的蜜罐時，服務和TCP/IP都會模擬操作系統做出各種響應。當前，還沒有任何其他的蜜罐具有這種功能，可以完成的工作包括虛擬nmap和xprobe，調節分配重組策略以及調節FIN掃描策略。

第四，可以模擬任何路由拓撲結構，可以配置等待時間和丟包率。

第五，作為一種開放源代碼的工具，Honeyd可以免費使用，同時也迅速成為了很多安全組織的開發源代碼的一部分。

2 Honeyd邏輯結構

Honeyd結構由以下幾個部件組成：配置數據庫，中心數據包分配器，協議管理器，服務處理單元，特征引擎，可選的路由器部分。Honeyd的邏輯結構如圖1所示：

圖1 Honeyd的邏輯結構

各部分的功能分別為：

路由器：路由數據包到達某個虛擬蜜罐所在的地址，會產生三種情況：沒有找到目的地址而丟棄數據包；沒有找到目的地址，但是可以把數據包交付給下一個路由器；可以直接把數據包交付給目的地址。路由是一個可選擇的邏輯部件。

數據包分配器：該邏輯部件核查IP數據包的長度，對IP數據包進行正確性檢查，核實確認序列號。分配器只對協議管理器分配三種數據包：ICMP、UDP、TCP。其他協議的數據包會被丟棄并且不做任何記錄。

協議管理器：它包括ICMP/UDP/TCP協議管理和服務處理單元。ICMP協議管理支持ICMP請求。默認的，所有的蜜罐配置都響應回射請求和處理目標主機不可達信息；TCP和UDP協議管理器和服務處理單元能夠對外建立特定服務的連接。服務的行為完全依賴于外部應用。TCP協議管理器能夠很好的支持三次握手的建立和FIN或RST的拆卸，但是還不能很好地支持窗口管理和擁塞控制。

特征引擎：將對發送的所有數據包進行指紋匹配，以便在指紋識別工具前能很好地隱蔽。

配置數據庫：它當中包含了一切配置參數，例如虛擬蜜罐的IP地址、默認的ICMP響應，虛擬鏈路的網絡屬性，指紋數據等。

3 關鍵技術

Honeyd能夠虛擬蜜罐，并且能夠利用這些虛擬的蜜罐構建松散的虛擬蜜罐網絡或有層次結構的虛擬蜜罐網絡，這些虛擬的蜜罐網絡中甚至可以包含真實的主機。然而Honeyd要構建虛擬的蜜罐網絡需要面對這樣一些問題：首先是攻擊者利用指紋工具對連接的蜜罐進行識別時該怎么辦；其次，虛擬出的蜜罐網絡如果面對網絡拓撲發現工具時怎么辦。

Honeyd采用了兩種關鍵的技術來欺騙攻擊者，一種是指紋匹配技術，另一種是虛擬蜜罐網絡技術。

4 指紋匹配

為了在被探測的時候表現得跟真實的系統一樣，虛擬蜜罐要模擬給定操作系統的網絡棧行為，這是虛擬蜜罐的一部分特征。不同的特征能被設計成不同的虛擬蜜罐。特征引擎通過改變協議數據包頭部來匹配特定的操作系統，從而表現出相應的網絡協議棧行為，這一過程成為指紋匹配。

Honeyd運用NMAP的指紋數據庫作為TCP和UDP行為特征的的參考；用XPROBE指紋數據庫作為ICMP行為的參考。

下面用NMAP提供的指紋信息來改變蜜罐網絡棧的特征為例來進行說明：

Fingerprint IRIX 6.5.15m on SGI 02

Tseq（Class=TD%gcd=

T1（DF=N%W=EF2A%ACK=S++%Flags=AS%Ops=MNWNNTNNM）

T2（Resp=Y%DF=N%W=O%ACK=S%Flags=AR%Ops=）

T3（Resp=Y%DF=N%W=EF2A%ACK=O%Flags=A%Ops=NNT）

T4（DF=N%W=O%ACK=O%FlagsR%Ops=）

T5（DF=N%W=O%ACK=S++%Flags=AR%Ops=）

T6（DF=N%W=O%ACK=O%Flags=R%Ops=）

T7（DFN%W=O%ACK=S%Flags=R%Ops=）

PU（Resp=n）

T1測試設置了SYN和ECE TCP flags；T5測試僅設置了SYN TCP flags。后面7個測試決定了數據包到達開放的或關閉的端口的網絡棧行為。最后一個分析ICMP對關閉的UDP端口的響應。

Honeyd保持每一個蜜罐的可靠性。包括產生ISN信息可靠性，蜜罐的初始化時間，當前IP數據包的確認號的可靠性。保持狀態有利于我們在指紋修改后發送的數據包產生后續的ISN。

滑動窗口在不同的環境下表現出來的大小同樣也會成為攻擊者進行識別的一部分。當Honeyd為一個新建的連接發送一個數據包時，它會用NMAP指紋去檢測內部窗口的大小，在一個連接建立好以后，Honeyd框架將根據緩沖區中數據的多少調整窗口的大小。

5 指紋匹配相關函數

Honeyd邏輯上的特征引擎是由相關的函數參考配置數據庫中的參數，然后分別對各自的數據包進行指紋處理得到的。這些被處理的數據包主要由TCP數據包、UDP數據包和ICMP數據包。其中tcp _send（），tcp_personality（）負責處理TCP數據包的指紋；udp_send（）負責處理UDP數據包的指紋；icmp_send（）數據包負責處理ICMP數據包的指紋。下面我們重點介紹處理TCP數據包的函數。

tcp_send（）負責發送基于tcp協議的數據包，重要的是，它對即將發送的數據包進行改動，修改報頭，使得看上去和對應的操作系統的特征準確地吻合，以達到欺騙的效果。因而此函數只是在通過查詢特征庫后，得到返回的id（ip報頭的標識字段的值），調整其他參數，封裝成ip包發送。

篇4

【關鍵詞】 嵌入式 TCP/IP協議 以太網

一、引言

嵌入式網絡通信在各個方面都得到了非常廣泛的運用。目前最常見的就是總線和USB數據傳輸方式，傳輸速度即使可以達到較快的水平，但是其并不能夠滿足長距離的數據傳輸。因此，以太網能夠彌補其在數據傳輸方面的缺陷。以太網能夠實現一百米距離點對點的數據傳輸，如果要實現更加遠距離的數據傳輸，則需要使用路由器或者交換機來完成。此文基于對CP2200嵌入式TCP/IP協議進行探究，并實現以太網嵌入式系統設計。

二、嵌入式TCP/IP協議的探究與實現

TCP/IP協議棧從上到下分別是由應用層、運輸層、網絡層和網絡接口層所組成的四層結構，每一層各司其職，都有著不同的網絡協議。依據軟件實際使用的情況，在嵌入式系統當中為了達到網絡通信的目的，需要對TCP/IP協議族進行裁剪。在對軟件進行初始化的時候，也對單片機同時進行了初始化，其中包括對系統時鐘、定時器、端口和串口進行了初始化。當然還有CP2200進行初始化，其中包括對MAC層和物理層進行初始化，并且中斷使能。

在TCP/IP協議棧當中，運用層包含HTTP協議，運輸層包含TCP協議和UDP協議，網絡層包含ARP協議、IP協議和ICMP協議。以下是嵌入式TCP/IP協議的每個模塊的實現流程：

1、HTTP協議模塊。HTTP協議的發送函數http_send（）即是TCP協議的發送函數和數據信息的結合，但是http_ send（）函數主要是實現設計網頁內容，JPEG的圖片和HTML（超文本標記語言）等信息的使用依靠其函數實現。

2、TCP協議模塊。TCP協議的發送函數tcp_send（）是需要發送一個不包含任何數據的TCP報文，其作用是能夠對字節頭和校驗和進行處理。通過對時間功能的設定，TCP協議的重傳函數tcp_retransmit（）能夠實現對數據最多為兩次重傳的傳輸功能，實現傳輸功能的應用程序是依靠傳送頁數據而實現的，即是HTTP服務程序。TCP協議的?；詈瘮祎cp_ inacivity（）是沒半秒運行一次，當連接正在建立的狀態下，?；钇跐M了的時候并且沒能被再次使用，就會中斷連接。TCP協議的接收函數tcp_rcve（）實現對字節頭和校驗和的運算，進而對HTTP服務程序和其連接狀態等情況進行斷定，最后進行TCP有限的狀態機判斷數據包的程序。

3、UDP協議模塊。UDP協議的發送函數udp_send（）能夠實現對字節頭和校驗和進行處理，其接收函數udp_rcve（）是對所接收的UDP報文進行處理，如果沒有受到UDP報文數據，就需要發送ICMP終點不可到達報文。

4、ARP協議模塊。ARP協議的發送函數arp_send（），在發送請求報文的時候，對于不清楚目的物理地址的，則是廣播報文；在發送應答報文的時候，接收的一方的目的物理地址需要添加物理地址。ARP協議的重傳函數arp_retransmit（）能夠實現當其發出ARP請求之后的半秒時間內沒有任何響應，則進行再一次發送的功能，但是當兩次發送沒有得到響應就會對報文進行刪除。ARP協議的緩存更新函數age_ arp_cache（）能夠每一分鐘更新一次。ARP的解析函數arp_ resolve（）能夠對所發送的IP報文目的IP地址進行解析，如果發送IP地址和目的IP地址都不在相同的一個網絡當中，那么此IP地址是網關IP地址，然后在緩存表當中對其進行查找，如果找不到就需要發送ARP請求報文。ARP協議的接收函數arp_rcve（）能夠實現對報文進行接收或者應答，對緩存表需要進行更新和重新定時，如果所接受的報文是應答報文，則需要發送等候地址解析的IP報文，但是所接收到的報文是請求報文 ，則需要發送ARP應答報文。

5、IP協議模塊。IP協議的發送函數ip_send9（）能夠實現對發送IP報文的20字節頭和校驗和進行處理，進而使用網絡接口層進行發送。IP協議接收函數ip_rcve（）能夠根據版本情況和所接收報文的種類轉移到相應的接收函數來處理。

6、ICMP協議模塊。ICMP協議模塊的接收函數icmp_ rcve（）是實現對ping請求的接收進行處理，并且處理ICMP不同種類的報文。其中Ping命令請求信息函數ping_send（）是用來檢測發送接收兩方的接收情況。

三、結言

綜上所述，此文對TCP/IP的網絡結構中的各層協議模塊進行探究，基于網絡控制芯片CP2200的以太網接口和單片機C8051F340，并用編程語言來實現嵌入式以太網通信，同時進一步通過對各個層協議的裁剪，實現嵌入式以太網的數據通信。根據現階段來看，嵌入式網絡通信基本上都是依靠TCP/IP協議來實現的，嵌入式設備和網絡兩者相結合是嵌入式系統今后發展的主要方向。因此，我們要更加深入地對嵌入式TCP/IP協議進行探究以及更深層次的功能實現。

參 考 文 獻

篇5

關鍵詞：木馬關鍵技術；動態嵌入技術；反向連接技術

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 10-0000-01

The Implementation of Trojan Key Technology

Wang Delei

(BeiJin LuHang Institute,Beijing101123,China)

Abstract:With the development of internet technology and the popularization of the global information technology has become a major trend.However,in recent years,hackers,technology continues to mature,network information security face a great challenge.This paper describes the dynamics of Trojans embedded technology,connectivity and reverse ICMP Trojan communications technology.

Keywords:Trojan key technology;Dynamic embedding;Reverse connection technology

一、引言

隨著計算機網絡和程序設計技術的普及和發展，木馬程序的編制技術也不斷地普及和發展，目前，世界上有20多萬個黑客網站在介紹一些攻擊方法和攻擊軟件的使用以及系統的漏洞。

二、木馬技術發展狀況

按其在不同階段使用的典型技術可分為以下幾代木馬：第一代，即簡單的密碼竊取、發送等，如“QQ密碼大盜”。第二代木馬在遠程控制技術上有了很大的進步，“冰河”是當時國內木馬的典型代表之一。第三代木馬在數據傳遞技術上又做了不小的改進，出現了ICMP和反彈端口等類型的木馬，利用畸形報文傳遞數據，增加了殺毒軟件查殺木馬的難度。比較典型的是“網絡神偷”。第四代木馬在進程隱藏方面，采用了內核插入式的嵌入方式，利用遠程插入線程技術，嵌入DLL線程，或者掛接API，從而實現木馬程序的隱藏?，F在第五代木馬正在發展中，具有遠程DLL動態入侵、模塊化升級、智能化通信等新特點。

三、木馬關鍵技術的實現

（一）動態嵌入技術的實現。動態嵌入技術是指木馬采用遠程線程技術或HOOK技術注入其他進程的運行空間等方法導致殺毒軟件無法發現木馬的運行痕跡。（二）反向連接技術的實現。反向連接技術是指木馬為了克服服務端在某一端口上偵聽易被發現這一缺點，而采用服務端主動連接，客戶端偵聽的一種技術。這樣用一般的port scanner或者fport就發現不了服務端。這種反彈端口型木馬的典型例子是國產木馬“網絡神偷”。實現時主要的難點有兩個：一個是客戶端IP地址不能確定，服務端如何找到客戶端。另一個是服務端主動連接客戶端時防火墻也會報警。下面圍繞這兩點探討解決方法。1.解決IP地址問題。一種解決方法是客戶端通過一個有固定IP或者固定域名的第三方自己的IP，比如：事先約定好一個個人主頁的空間，放置一個文本文件，木馬固定多長時間去取一次這個文件，如果文件內容為空就什么都不做，如果有內容就按照文本文件中的數據計算出控制端的IP和端口，反彈一個TCP鏈接回去，這樣每次控制者上線只需要上傳一個文本文件就可以告訴木馬自己的位置。另一種方法是使用RAW socket來收聽ECHO REPLY類型的ICMP包且在ICMP數據包的數據中就包含了客戶端IP?；蛘呤墙孬@其他進程收到的TCP數據或UDP包，然后分析截獲的數據，從中確定是否客戶端發來了一個報告其IP的數據片斷。這種客戶端通過某種方法主動告訴服務端自己的IP和端口的方法可以保證最大的可靠性，安全性和靈活性。2.解決防火墻報警問題。一種方法是上面提到的動態嵌入技術，服務端將自己注入到一個可以合法的與外界進行網絡通訊的進程的地址空間中，然后就可以以一個新線程的形式運行。在新線程內去主動連接客戶端，如果是寄生在IE內就連接客戶端的80端口；如果是寄生在OICQ內，可以連接客戶端的8000端口。另一種方法是木馬服務端使用80端口，將傳送的數據包含在HTTP的報文中，就算是能夠分析報文、過濾TCP/UDP的防火墻，也不可能分辨出通過HTTP協議傳送的究竟是網頁還是控制命令和數據。

（三）ICMP木馬技術的實現。ICMP全稱是Internet Control Message Protocol（互聯網控制報文協議）它是IP協議的附屬協議，用來傳遞差錯報文以及其他的消息報文，例如工具Ping就是通過發送接收ICMP_ECHO和ICMP_ECHOREPLY報文來進行網絡診斷的。ICMP木馬技術的出現正是得到了Ping程序的啟發，ICMP木馬技術利用ICMP報文由系統內核或進程直接處理而不是通過端口的特點，將自己偽裝成一個Ping的進程，系統就會將ICMP_ECHOREPLY（Ping的回包）的監聽、處理權交給木馬進程，木馬進程通過判斷包大小、ICMP_SEQ等特征，來確定是否是自己需要的數據，一旦事先約定好的ICMP_ECHOREPLY包出現，木馬就會接受、分析并從報文中解碼出命令和數據來執行。另外一種辦法是修改ICMP頭的構造，加入木馬的控制字段。由于ICMP_ECHOREPLY包還有對于防火墻和網關的穿透能力，這種技術使得木馬擺脫了端口的限制，突破了防火墻對目標主機的保護。

四、結束語

綜上所述，隨著internet技術的發展和使用的普及，木馬技術也在不斷的成熟和普及，本文僅從一個側面加以討論，希望通過這一探討讓我們對木馬的關鍵技術有一個簡單的認識，同時也為我們防范他人利用木馬非法入侵提供參考。

參考文獻：

[1]張友生,米安然.計算機病毒與木馬程序的剖析[M].北京:科海電子出版社,2003

[2]周明全,呂林濤,李軍懷.網絡信息安全技術[M].西安:電子科技大學出版社,2003

篇6

關鍵詞：ARP欺騙 網絡監聽

網絡監聽給網絡管理員提供了一個觀察網絡運行狀況，數據流動狀況，以及傳輸的明文信息的工具。 網絡監聽可以在網上的任何一個位置實施，如局域網中的一臺主機、網關上或遠程網的調制解調器之間等，但是監聽效果最好的地方是在網關、路由器、防火墻一類的設備處，通常由網絡管理員來操作，其中最方便實現的是在一個以太網中的任何一臺上網的主機上。

ARP協議：IP數據包常通過以太網發送。以太網設備并不識別32位IP地址：它們是以48位以太網地址傳輸以太網數據包的。因此，IP驅動器必須把IP目的地址轉換成以太網網目的地址。在這兩種地址之間存在著某種靜態的或算法的映射，常常需要查看一張表。地址解析協議（Address Resolution Protocol，ARP）就是用來確定這些映象的協議。ARP工作時，送出一個含有所希望的IP地址的以太網廣播數據包。目的地主機，或另一個代表該主機的系統，以一個含有IP和以太網地址對的數據包作為應答。發送者將這個地址對高速緩存起來，以節約不必要的ARP通信。

ARP欺騙：ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發送給錯誤的MAC地址，造成電腦無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在表面看來，就是上不了網了，“網絡掉線了”。

ICMP重定向：ICMP重定向報文是ICMP控制報文中的一種。在特定的情況下，當路由器檢測到一臺機器使用非優化路由的時候，它會向該主機發送一個ICMP重定向報文，請求主機改變路由。路由器也會把初始數據報向它的目的地轉發。

一、網絡監聽的基本原理

在共享介質的以太網中如果所有的主機通過集線器連接到外部網絡，在這樣的網絡中通信主機將所要發送的數據包進行廣播，發往連在一起的所有主機。在包頭中包含著應該接收數據包的主機的正確地址。只有與數據包中目標地址一致的那臺主機才能接收信包。因此任意主機都可以通過將網卡設置為混雜模式來監聽網內的所有通信。當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網時，如果一臺主機處于監聽模式下，利用ARP欺騙和ICMP重定向結合在一起就可以基本實現跨網段欺騙的目的，因此它還能接收到發向與自己不在同一子網（使用了不同的掩碼、IP地址和網關）的主機的那些信包。也就是說，在同一條物理信道上傳輸的所有信息都可以被接收到。

交換式以太網是通過交換機將網內主機相連，交換機將對每個端口收到數據幀進行源和目的MAC地址檢測，然后與內部動態的MAC端口映射表進行比較，若數據幀的源MAC地址不在映射表中，則將該MAC地址和對應接收端口加入映射表中，同時根據映射表中與目的MAC地址對應的端口號，交換機把數據幀僅從該端口發送出去。因此交換機的每個端口可平行、安全、同時地互相傳輸信息，其它端口的主機即使將網卡設置為混雜模式，也只能監聽到連結在同一端口上主機間的數據傳輸。

二、共享介質以太網監聽

如圖1所示，三臺主機

A： ip地址 192.168.0.1 硬件地址 AA：AA：AA：AA：AA：AA

B： ip地址 192.168.0.2 硬件地址 BB：BB：BB：BB：BB：BB

C： ip地址 192.168.0.3 硬件地址 CC：CC：CC：CC：CC：CC

假設一個位于主機B的入侵者想非法進入主機A，可是這臺主機上安裝有防火墻。通過收集資料他知道這臺主機A的防火墻只對主機C有信任關系（開放23端口（telnet））。而他必須要使用telnet來進入主機A，這個時候入侵者必須讓主機A相信主機B就是主機C，如果主機A和主機C之間的信任關系是建立在IP地址之上的。如果單單把主機B的IP地址改的和主機C的一樣，那是不能工作的，至少不能可靠地工作。如果你告訴以太網卡設備驅動程序， 自己的IP是192.168.0.3，那么這只是一種純粹的競爭關系，并不能達到目標。我們可以先研究C這臺機器如果我們能讓這臺機器暫時當掉，競爭關系就可以解除，這個還是有可能實現的。在機器C當掉的同時，將機器B的IP地址改為192.168.0.3，這樣就可以成功的通過23端口telnet到機器A上面，而成功的繞過防火墻的限制。

但是如果主機A和主機C之間的信任關系是建立在硬件地址的基礎上的，上面的方法就失效了。這個時候還需要用ARP欺騙的手段讓主機A把自己的ARP緩存中的關于192.168.0.3映射的硬件地址改為主機B的硬件地址。

我們可以人為的制造一個arp_reply的響應包，發送給想要欺騙的主機，這是可以實現的，因為協議并沒有規定必須在接收到arp_echo后才可以發送響應包.這樣的工具很多，我們也可以直接用snifferpro抓一個arp響應包，然后進行修改。

你可以人為地制造這個包?？梢灾付ˋRP包中的源IP、目標IP、源MAC地址、目標MAC地址。這樣你就可以通過虛假的ARP響應包來修改主機A上的動態ARP緩存達到欺騙的目的。

實現步驟：

1）B發送ARP 查詢報文，獲得主機A 的MAC地址

2）B發送偽造的ARP 報文給A，該報文的源MAC地址為BB：BB：BB：BB：BB：BB，IP 為168.0.0.3 ，因為ARP 表是動態的，為了能進行持續的監聽應該間隔一定時間先欺騙的主機發送偽造的ARP 報文。

3）主機A更新了ARP表中關于主機C的IP-->MAC對應關系。

4）此時可以通過程序進行抓包或包過濾提取來自A發送到C的報文，如果不影響C的正常通信或者隱蔽話，應該將收到的來自A發送到C的包進行轉發到C，使A，C覺察不到數據包經過了B.

三、交換式以太網監聽

如圖2所示A、C位于同一網段而主機B位于另一網段，三臺機器的IP地址和硬件地址如下：

A： IP地址 192.168.0.1 硬件地址 AA：AA：AA：AA：AA：AA

B： IP地址 192.168.1.2 硬件地址 BB：BB：BB：BB：BB：BB

C： IP地址 192.168.0.3 硬件地址 CC：CC：CC：CC：CC：CC

這種情況下B與A在不同的網絡段，顯然用上面的辦法的話，即使欺騙成功，那么由主機B和主機A之間也無法建立telnet會話，因為路由器會發現地址在192.168.0.這個網段之內，而不會把主機A發給主機B的包向外轉發。如果要實現把這樣的數據包轉發出來就必須使用ICMP重定向技術，把ARP欺騙和ICMP重定向結合在一起就可以基本實現跨網段欺騙的目的。

下面是結合ARP欺騙和ICMP重定向進行攻擊的步驟：

1）為了使自己發出的非法ip包能在網絡上能夠存活長久一點，開始修改IP包的生存時間TTL為下面的過程中可能帶來的問題做準備。把TTL改成255. （TTL定義一個IP包如果在網絡上到不了主機后，在網絡上能存活的時間，改長一點在本例中有利于做充足的廣播）

2）尋找主機C的漏洞按照這個漏洞當掉主機C。

3）該網絡中的主機找不到原來的192.0.0.3后，將更新自己的ARP對應表。此時發送一個原IP地址為192.168.0.3硬件地址為BB：BB：BB：BB：BB：BB的ARP響應包。

4）現在每臺主機都更新了自己的ARP表，一個新的MAC地址對應192.0.0.3，一個ARP欺騙完成了，但是，每臺主機都只會在局域網中找這個地址而根本就不會把發送給192.0.0.3的IP包丟給路由。于是他還得構造一個ICMP的重定向廣播。

5）自己定制一個ICMP重定向包告訴網絡中的主機："到192.0.0.3的路由最短路徑不是局域網，而是路由，請主機重定向你們的路由路徑，把所有到192.0.0.3的ip包丟給路由。"

7）主機A接受這個合理的ICMP重定向，于是修改自己的路由路徑，把對192.0.0.3的通訊都丟給路由器。

8）入侵者終于可以在路由外收到來自路由內的主機的IP包了，他可以開始telnet到主機的23端口。

其實上面的想法只是一種理想話的情況，主機許可接收的ICMP重定向包其實有很多的限制條件，這些條件使ICMP重定向變的非常困難。

TCP/IP協議實現中關于主機接收ICMP重定向報文主要有下面幾條限制：

1）新路由必須是直達的

2）重定向包必須來自去往目標的當前路由

3）重定向包不能通知主機用自己做路由

3）被改變的路由必須是一條間接路由

四、總結

本文通過對共享介質的以太網和交換式以太網的監聽原理進行詳細闡述，并進行了試驗能夠進行簡單的監聽。要實現通用方便的監聽工具還要進一步研究，本文的研究證明了以太網監聽工具實現的可行性。

參考文獻

[1]TCP/IP 詳解 卷1：協議 （美）W.Richard Stevens著 范建華 胥光輝 張濤等譯 機械工業出版社 2005 ISBN 7-111-07566-8/TP.1194

篇7

關鍵詞：移動IP；隧道技術；ICMP；封裝；MTU

0 引言

移動通信已成為現代通信領域中發展潛力最大、市場前景最廣闊的熱點技術，它正向高速率、高移動性和大范圍覆蓋發展。隨著Intemet業務的迅猛發展，現有的IPv4地址數目已經十分緊缺，因此采用128位地址長度的IPv6協議，徹底解決了IPv4地址數量不足的難題。通過隧道技術可以有效的實現IPv4和IPv6的互通，IPv6隧道技術即是IPv4報文將IPv6報文封裝在其中，使得IPv6通過IPv4網絡進行通信的技術。目前IPv6技術中的重要應用是移動IP。移動IP是解決節點的移動性問題，它其實也是一種IP的路由機制，使移動節點可以用一個不變的IP地址連接到任何鏈路中。

1.移動IP概述

從通信節點可移動性的定義得到，因為每次都需要把連接斷開，所以當節點移動時只是改變它的地址不能解決移動性問題。但是，當節點移動時改變節點的IP地址確實解決了一個稱為漫游的相關問題。漫游節點在改變它們的接入點前要中止所有通信，但在到達新的接入位置時，它們就會以新地址重新發起通信。目前的因特網協議簇中已經有相應的機制來解決漫游問題了，比如PPP（Point-to-Point）協議的IPCP(IP Control Protocol)。

在現在的因特網中，節點漫游時，另一節點也不可能主動與漫游節點通信，因為它無法知道到底在哪個IP地址上可以找到漫游節點。

事實上，移動IP的一個基本假設是：點到點通信的數據包在選路時與源IP地址無關。它可以看作是一個路由協議，只是與其他幾種路由協議相比，移動IP具有特殊的功能，它的目的是將數據包路由到那些可能一直在快速地改變位置的移動節點上。

2.隧道技術的概念

當一個數據包被封裝在另一個數據包的凈荷中進行傳送時，所經過的路徑稱為隧道。

除了極少數特例，移動節點只用家鄉地址和別的節點通信，即移動節點發出的所有包的源I P地址都是它的家鄉地址，它接收的所有包的目的IP地址也都是它的家鄉地址。這就要求移動節點將家鄉地址寫入DNS中的“IP地址”域，其他節點在查找移動節點的主機名時就會發現它的家鄉地址。通常，一般數據包的分片會在任意一臺路由器上發生（如果MTU受限制），而分片的重組在目的地進行。但是隧道的分片是一個特例，它的重組在隧道出口進行，而隧道出口不是數據包的最終地址。

3.隧道技術的分類

移動IP中的三種隧道技術：IP的IP封裝（IP in IP Encapsulation）、最小封裝（ Minimal Encapsulation）和通用路由封裝GRE(Generic Routing Encapsulation)。一般情況，盡量不用最小封裝技術。

3.1IP的IP封裝

IP的IP封裝非常簡單，第一個IP包放在一個新IP包的凈荷中，會增加開銷20個byte。如果IP包是被轉發過來的，比如是通過某個物理端口進入隧道的，那么隧道入口應將內層的IP報頭的生存時間域減小。同樣在拆封時，如果內部封裝的IP包還要進行轉發，比如從隧道出口轉發到某個物理端口，那么它的生存時間域也要減小。因此，采用IP的IP封裝的隧道對穿過它們的數據包來說就像一條虛擬鏈路。例如，一個包到達第一臺路由器，通過從第一臺路由器開始的隧道到達第二臺路由器，并進一步轉發到它的目的地址，這時這個包的生存時間域會被減小兩次，好像隧道只是連接這兩臺路由器的一條鏈路一樣

在IP over IP的形式中，對ICMP的報文格式需要特殊處理。通過隧道的IP包的相應的ICMP報文只需要送到隧道的入口，而無需要送到包的源。但有時，隧道內產生的ICMP報文到達源也是及其有用的。對ICMP的處理，它并不是直接把隧道內部的ICMP轉發給源，而是在隧道入口進行分析后，再產生一個ICMP然后到達源。例如，當一個包到達家鄉，包的大小大于隧道的MTU，當不允許分片的比特設置為1時，家鄉就不在隧道內部產生ICMP，而是直接給源發送一個自己的ICMP。

綜合上面的分析不難看出，對于IP over IP的封裝形式需要防止遞歸封裝，所謂遞歸封裝，就是由于路由環，使數據離開隧道前，又重新進入了一個隧道。GRE和IPV6有專門機制防止遞歸封裝。在IPV4中用兩個法則來判別，簡單的說就是依據源IP是否與目標IP重復來進行判斷。

3.2 最小封裝

最小封裝的目的是減少實現隧道所需的額外字節數，可通過將IP的IP封裝中內層IP報頭和外層I P報頭的冗余部分去掉來完成。開銷是8或12字節，取決于隧道入口是否是原始數據包的源。

最小封裝不能用于那些已經經過分片的原始數據包。相反，經過封裝的數據包可以進行分片，以便穿過路徑MTU較小的隧道，但是已經分片的原始數據包不可以通過采用最小封裝的隧道。這和IP的IP封裝有顯著的區別。

相對于生存時間和隧道長度，它和IP over IP的封裝也有區別，至少從生存時間的角度，最小封裝使得數據包可以識別從入口到出口的每一條鏈路。也就是說，在采用最小封裝的隧道中，從隧道入口到出口的每一臺路由器都會將原始數據包的生存時間減小。因此，經過最小封裝的包可能不能到達目的地。因為在一條長隧道中，每經過一臺路由器，生存時間域的值就會減小。而對于同樣長的隧道，采用IP的IP封裝的數據包就可以經過該隧道到達目的地，因為這時生存時間域的值只在入口和出口減小。移動節點的實現者應認識到這個事實，并決定在注冊過程中是否采用最小封裝。但是對于ICMP報文的處理和防止遞歸操作的產生，最小封裝和IP over IP的封裝是一樣的。

3.3GRE通用路由封裝

GRE封裝除了支持IP協議外，它還允許一種協議的數據包封裝在另外一種協議的數據包的凈荷中。當兩者都是IP的時候，就可以理解為IP over IP的封裝。另外對于遞歸封裝的防止，GRE提供了特定機制來應對遞歸封裝。GRE報頭中有一個recure域，記錄允許封裝次數。每封裝一次，recure減一。如果recure為0，就不能夠再實現封裝。如果一定要封裝才能夠傳輸，那么這個報文就會被拋棄。

4.隧道技術在真實通信系統中的應用方案

如圖1 所示為基于WiMAX系統的移動IP應用方案的實現圖。其中在兩個Base之間就用到了隧道技術。該移動IP方案的實現避免了簡單IP的MER和移動IP的HA。如果終端在保持業務的情 況下切換到另外一個小區，可以保持IP地址不變。如果在其它小區終端不釋放IP地址，可以保持在原小區的IP地址。如果釋放了，就轉到當前小區下來獲取IP。

圖1 基于WiMAX系統的移動IP應用方案圖

5.結束語

移動 IP 是基于網絡層解決移動問題的方案，IP技術和移動通信技術的完美結合，正使得數據通信發生著深刻的改變。目前雖然移動IP中的隧道技術有了很大的發展，但是如何選擇合適的技術進行設計和實施，才能更好、更順利的保證移動IP的QOS,以及IPv4和IPv6的無縫互操作，也是今后一項值得深入研究的課題。

參考文獻：

[1] 杜根遠，邱穎豫. 基于隧道技術的IPv6 遷移策略[J]. 中國有線電視，2004（1）

[2] 張宏科，蘇偉. IPv6路由協議棧原理與技術[M]．北京：北京郵電大學出版社，2006，7

[3] 汪軍. IPv6 隧道設計方案的研究[J]. 武漢工業學院學報，2007,26(3)

[4] 沈慶偉,張霖. 基于隧道的IPv4/IPv6 過渡技術分析[J].計算機技術與發展，2007,17(5)

[5] 李金攻，張平，陳繼光. 基于NAT—PT簇的集中式動態負載均衡的研究[J]．通信技術2009．第4期

篇8

關鍵詞：網絡管理網間控制報文協議(ICMP)WBM

網絡管理的目的就是確保一定范圍內的網絡及其網絡設備能夠穩定、可靠、高效地運行，使所有的網絡資源處于良好的運行狀態，達到用戶預期的要求。過去有一些簡單的工具用來幫助網管人員管理網絡資源，但隨著網絡規模的擴大和復雜度的增加，對強大易用的管理工具的需求也日益顯得迫切，管理人員需要依賴強大的工具完成各種各樣的網絡管理任務，而網絡管理系統就是能夠實現上述目的系統。

1WBM技術介紹

隨著應用Intranet的企業的增多，同時Internet技術逐漸向Intranet的遷移，一些主要的網絡廠商正試圖以一種新的形式去應用MIS。因此就促使了Web(Web-BasedManagement)網管技術的產生[2]。它作為一種全新的網絡管理模式—基于Web的網絡管理模式，從出現伊始就表現出強大的生命力，以其特有的靈活性、易操作性等特點贏得了許多技術專家和用戶的青睞，被譽為是“將改變用戶網絡管理方式的革命性網絡管理解決方案”。

WBM融合了Web功能與網管技術，從而為網管人員提供了比傳統工具更強有力的能力。WBM可以允許網絡管理人員使用任何一種Web瀏覽器，在網絡任何節點上方便迅速地配置、控制以及存取網絡和它的各個部分。因此，他們不再只拘泥于網管工作站上了，并且由此能夠解決很多由于多平臺結構產生的互操作性問題。WBM提供比傳統的命令驅動的遠程登錄屏幕更直接、更易用的圖形界面，瀏覽器操作和Web頁面對WWW用戶來講是非常熟悉的，所以WBM的結果必然是既降低了MIS全體培訓的費用又促進了更多的用戶去利用網絡運行狀態信息。所以說，WBM是網絡管理方案的一次革命。

2基于WBM技術的網管系統設計

2.1系統的設計目標

在本系統設計階段，就定下以開發基于園區網、Web模式的具有自主版權的中文網絡管理系統軟件為目標，采用先進的WBM技術和高效的算法，力求在性能上可以達到國外同類產品的水平。

本網管系統提供基于WEB的整套網管解決方案。它針對分布式IP網絡進行有效資源管理，使用戶可以從任何地方通過WEB瀏覽器對網絡和設備，以及相關系統和服務實施應變式管理和控制，從而保證網絡上的資源處于最佳運行狀態，并保持網絡的可用性和可靠性。

2.2系統的體系結構

在系統設計的時候，以國外同類的先進產品作為參照物，同時考慮到技術發展的趨勢，在當前的技術條件下進行設計。我們采用三層結構的設計，融合了先進的WBM技術，使系統能夠提供給管理員靈活簡便的管理途徑。

三層結構的特點[2]：1)完成管理任務的軟件作為中間層以后臺進程方式實現，實施網絡設備的輪詢和故障信息的收集；2)管理中間件駐留在網絡設備和瀏覽器之間，用戶僅需通過管理中間層的主頁存取被管設備；3)管理中間件中繼轉發管理信息并進行SNMP和HTTP之間的協議轉換三層結構無需對設備作任何改變。

3網絡拓撲發現算法的設計

為了實施對網絡的管理，網管系統必須有一個直觀的、友好的用戶界面來幫助管理員。其中最基本的一個幫助就是把網絡設備的拓撲關系以圖形的方式展現在用戶面前，即拓撲發現。目前廣泛采用的拓撲發現算法是基于SNMP的拓撲發現算法?；赟NMP的拓撲算法在一定程度上是非常有效的，拓撲的速度也非?？?。但它存在一個缺陷[3]。那就是，在一個特定的域中，所有的子網的信息都依賴于設備具有SNMP的特性，如果系統不支持SNMP，則這種方法就無能為力了。還有對網絡管理的不重視，或者考慮到安全方面的原因，人們往往把網絡設備的SNMP功能關閉，這樣就難于取得設備的MIB值，就出現了拓撲的不完整性，嚴重影響了網絡管理系統的功能。針對這一的問題，下面討論本系統對上述算法的改進—基于ICMP協議的拓撲發現。

3.1PING和路由建立

PING的主要操作是發送報文，并簡單地等待回答。PING之所以如此命名，是因為它是一個簡單的回顯協議，使用ICMP響應請求與響應應答報文。PING主要由系統程序員用于診斷和調試實現PING的過程主要是：首先向目的機器發送一個響應請求的ICMP報文，然后等待目的機器的應答，直到超時。如收到應答報文，則報告目的機器運行正常，程序退出。

路由建立的功能就是利用IP頭中的TTL域。開始時信源設置IP頭的TTL值為0，發送報文給信宿，第一個網關收到此報文后，發現TTL值為0，它丟棄此報文，并發送一個類型為超時的ICMP報文給信源。信源接收到此報文后對它進行解析，這樣就得到了路由中的第一個網關地址。然后信源發送TTL值為1的報文給信宿，第一個網關把它的TTL值減為0后轉發給第二個網關，第二個網關發現報文TTL值為0，丟棄此報文并向信源發送超時ICMP報文。這樣就得到了路由中和第二個網關地址。如此循環下去，直到報文正確到達信宿，這樣就得到了通往信宿的路由。

3.2網絡拓撲的發現算法具體實現的步驟：

(1)于給定的IP區間，利用PING依次檢測每個IP地址，將檢測到的IP地址記錄到IP地址表中。

(2)對第一步中查到的每個IP地址進行traceroute操作，記錄到這些IP地址的路由。并把每條路由中的網關地址也加到IP表中。(3)對IP地址表中的每個IP地址，通過發送掩碼請求報文與接收掩碼應答報文，找到這些IP地址的子網掩碼。

(4)根據子網掩碼，確定對應每個IP地址的子網地址，并確定各個子網的網絡類型。把查到的各個子網加入地址表中。

(5)試圖得到與IP地址表中每個IP地址對應的域名(DomainName)，如具有相同域名，則說明同一個網絡設備具有多個IP地址，即具有多個網絡接口。

(6)根據第二步中的路由與第四步中得到的子網，產生連接情況表。

4結語

本文提出的ICMP協議的拓撲發現方法能夠較好的發現網絡拓撲，但是它需要占用大量的帶寬資源。本系統進行設計時，主要考慮的是對園區網絡的網絡管理，所有的被管理設備和網管系統處于同一段網絡上，也就是說，系統可以直接到達被管理的網絡，所以對遠程的局域網就無能為力了。在做下一步工作的時候，可以添加系統對遠程局域網絡的管理功能。

參考文獻

[1]晏蒲柳.大規模智能網絡管理模型方法[J].計算機應用研究.2005,03.

篇9

關鍵詞：校園網；網絡安全；安全威脅

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2007)12-21545-02

Brief Discussion on the Security Threat Faced by Campus Network in Colleges on Present

ZHONG Ping

(Network and Education Technology Center, Hanshan Normal University, Chaozhou 521041,China)

Abstract:As the fast development of campus network in colleges, various data on the campus network are increasing quickly. However, there are more and more attacks to the campus network, different kinds of security problems prevent the regular running of campus network. It causes security incidents happen continually, and the campus network faces the greatest threat. This essay bases on the features of the campus network security in colleges, and discusses the security threat faced by the campus network in colleges on present and its reasons.

Key words:Campus network;Network security;Security threat

1 引言

隨著計算機網絡技術與多媒體技術的不斷發展，現代教育面臨一系列的改革。尤其是多媒體網絡技術在教育教學過程中的應用越來越普遍，因此，建設校園網絡成為教育信息化發展的重要基礎。同時，網絡設備價格的不斷下降以及國家對教育的投入不斷增加，我國校園網的建設發展非常迅速，各大、中小學紛紛投入到校園網絡的建設中來。相比而言，高校校園網的建設走得要更快一些，目前全國已經超過1000所高校接入了中國教育科研網（CERNET）。大部分高校的校園網基礎設施己初具規模，實現了“千兆到樓，百兆到桌面”，幾乎所有的辦公、教學、宿舍樓都接入了校園網，網絡系統成熟穩定，網絡應用系統更加豐富。

校園網作為互聯網的重要組成部分，是高校信息化進程中最主要的基礎設施，擔負著學校教學、科研、管理和對外宣傳與交流等多種角色，從校園網基礎設施建設、管理信息系統開發、網絡教學及遠程教育應用發展到目前的數字化校園建設，為高校提高辦學水平，管理決策水平等方面起到了決定性的作用。

2 校園網的網絡安全特點

建立校園網是為了實現資源共享、信息服務、網絡教學、遠程接入和網上辦公等，這就決定了校園網安全方面具有如下特點：

(1)開放的網絡環境。由于學校具有教學和科研的特點，所以要求校園網絡的環境是開放的，而且在管理方面較企業網絡來說更寬松一些。在校園網環境下，不可能像企業網絡一樣實施過多的限制，否則一些新的應用、新的技術很難在校園網內部實施。這樣就會留下一些安全隱患；

(2)活躍的用戶群。在高校中，學生通常是最活躍的網絡用戶，而且數量非常龐大，他們對網絡新技術充滿好奇，敢于嘗試。一些學生會嘗試使用從網上學到的或者是自己研究的一些攻擊技術，而這些行為可能對校園網絡造成一定的影響和破壞；

(3)用戶計算機系統無法實施統一管理。高校校園網用戶構成較復雜，數量龐大，用戶的計算機一般是由自己維護的，由于用戶水平參差不齊，一些計算機水平較低的學生和老師無法進行基礎的安全防范如更新系統、安裝和升級防病毒軟件等。另外，用戶大多數是使用盜版軟件或者是在互聯網上下載的一些破解軟件，這些軟件存在很多的問題，例如留有后門、攜帶病毒、嵌入有惡意軟件等，這些都會影響計算機系統的正常運行。在這些情況下要求統一對所有計算機進行管理需要付出很大的財力、人力、物力，并且實施起來相當困難。

以上這些特點是造成校園網容易成為攻擊源的主要原因，同時也造成校園網成為最容易攻擊的目標。

3 校園網面臨的安全威脅

校園網作為學校重要的基礎設施，其網絡安全狀況直接影響著學校的正常運作。在建設初期中，由于安全意識、安全管理等多方面的原因，在網絡安全方面沒有引起足夠的重視，隨著應用的深入，校園網上各種數據急劇增加，網絡的攻擊越來越多，各種各樣的安全問題開始阻礙了校園網的正常運行，造成網絡安全事故不斷發生，使校園網的安全面臨極大的威脅。同時，隨著網絡規模的不斷擴大，復雜性不斷增加，異構性不斷提高，用戶對網絡性能要求的不斷提高，網絡安全管理也逐步成為網絡管理中極為關鍵的任務之一。

從根本上說，校園計算機網絡系統的安全隱患都是利用了網絡系統本身存在的安全弱點，而系統在使用、管理過程中的失誤和疏漏更加劇了問題的嚴重性。威脅高校網絡系統的安全的因素很多，主要表現如下：

3.1 網絡協議漏洞造成的威脅

TCP/IP協議簇是互聯網使用的網絡協議，也是多數高校校園網采用的網絡協議。TCP/IP協議簇具有開放性和通用性等特點，并且在因特網最初的設計中基本沒有考慮安全問題，存在著很大的安全隱患，缺乏強健的安全機制，同時，任何組織或個人都可以研究、分析及使用，因此，TCP/IP協議的任何安全漏洞都可能被利用。主要存在的安全問題有：

(1)數據竊聽(Packet Sniff) ：TCP/IP協議數據流采用明文傳輸，因此數據信息很容易被竊聽、篡改和偽造。攻擊者可以利用Sniffer Pro或網絡分析儀等捕獲網絡上傳輸的數據包，獲取有價值的信息如用戶賬號、口令及其它機密信息等，從而達到攻擊的目的；

(2)源地址欺騙(Source Address Spoofing)：通過偽造某臺主機的IP地址騙取特權從而進行攻擊的技術。由于TCP/IP協議使用IP地址作為網絡節點的唯一標識，但是節點的IP地址又不是固定不變的，因此攻擊者可以冒充某個可信任節點進行攻擊。

(3)源路由選擇欺騙(Source Routing Spoofing)：通過指定路由，以假冒身份與其他主機進行合法通信或發送假報文，使受攻擊主機出現錯誤動作。在TCP/IP協議中，IP數據包為了測試的目的設置了一個選項――IP Source Routing，該選項可以直接指明到達節點的路由，攻擊者可以利用這個選項進行欺騙，進行非法連接。攻擊者通過冒充某個可信任節點的IP地址，構造一個通往某個服務器的直接路徑和返回路徑，利用可信任用戶作為通往服務器的路由中的最后一站，就可以向服務器發送請求，對其進行攻擊。

(4)ARP欺騙（Address Resolution Protocol Spoofing）：ARP協議的作用是在通信過程中將IP地址轉換為MAC地址。在安裝有TCP/IP協議的主機系統中都有一個IP地址與MAC地址的對應轉換表，主機在發送數據幀前會查詢轉換表，將目標MAC地址更改為目標IP所對應的MAC地址。ARP欺騙就是向被攻擊主機發送虛假的IP-MAC對應信息，從而達到欺騙的目的。

(5)鑒別攻擊(Authentication Attacks)：TCP/IP協議只能以IP地址進行鑒別，而不能對節點上的用戶進行有效的身份認證，因此服務器無法鑒別登陸用戶的身份的真實性和有效性。目前主要依靠服務器軟件平臺提供的用戶控制機制，比如用戶名、口令等。雖然口令是以密文存放在服務器上，但是由于口令是靜態的、明文傳輸的，所以無法抵御重傳、竊聽。而且在很多系統中常常將加密后的口令文件存放在一個普通用戶就可以讀到的文件里，攻擊者也可以運行準備好的口令破譯程序來破譯口令，對系統進行攻擊。

(6)TCP序列號欺騙(TCP Sequence Number Spoofing)：由于TCP序列號可以預測，因此攻擊者可以構造一個TCP序列號，對網絡中的某個可信節點進行攻擊。

(7)ICMP攻擊(ICMP Attacks)：ICMP是關于IP差錯與控制的協議，但ICMP中的許多功能可被攻擊者利用來實施攻擊，如攻擊者可利用：ICMP重定向消息(ICMP redirect message)來破壞路由機制和提高偵聽業務流能力；ICMP回應請求/應答消息(ICMP echo request/ reply message)實行拒絕服務攻擊；ICMP目的不可達消息(Destination unreachable message)實現點對點應用的拒絕服務；ICMP的ping命令可以獲得關于一個網絡的設置和可達性等信息。

(8)拒絕服務((DoS)攻擊：這是一種最古老也是最有效的攻擊方法。它可以針對任何加密系統進行攻擊，因為加密并不是沒有代價的，加密和驗證運算都需要消耗大量的資源(包括占用CPU的時問)。如果組織大量數據同時訪問某主機，使得該主機在驗證數據合法性的同時，做大量不相干的事，完全可能使該主機陷入癱瘓，而無法響應正常的數據訪問。

(9)IP棧攻擊(IP Stack Attack)：利用大多數操作系統不能處理有著相同源、目的IP地址(主機名、端口)IP包的缺陷，把偽造的此種類型的IP包發往目標主機，就能導致目標主機系統崩潰。

3.2 操作系統及應用系統的漏洞造成的威脅

操作系統及應用系統漏洞的大量存在是網絡安全問題的嚴峻的重要原因之一。根據國際權威應急組織CERT/CC統計（如表1所示），2006年公布漏洞數8064個，自1995年以來各年來漏洞公布總數30780個，從近幾年統計情況看，發現漏洞數量處于較高水平，并且有逐年增加的趨勢。另外，利用漏洞發動攻擊的速度加快，據Symantec統計，2004年下半年，公布漏洞與相關的漏洞攻擊代碼之間相隔的時間為6. 4天，到了2005年上半年，公布安全漏洞到相關攻擊代碼之間的平均時間由6.4天縮短為6.0天。

表1 CERT漏洞統計報告

近幾年來，利用漏洞開發的計算機病毒在互聯網上泛濫成災，頻頻掀起發作狂潮，并且隨著網絡帶寬和計算機數量的增加，病毒的傳播速度越來越快。以“求職信”、“紅色代碼”、“尼姆達”和“2003蠕蟲王”為代表的蠕蟲病毒，通過Internet在全球范圍內迅速蔓延，造成嚴重的網絡災害。例如，2002年4月中旬，“求職信”惡性網絡病毒襲擊捷克，使其蒙受重大經濟損失，中國大陸及臺灣地區也遭受攻擊。2003年1月25日，新型蠕蟲病毒“2003蠕蟲王”大規模爆發，波及亞洲、美洲和澳洲等地區，致使我國互聯網大面積感染。2003年8月11日，在美國爆發的“沖擊波”蠕蟲病毒開始肆虐全球，并且迅速傳播到歐洲、南美、澳洲、東南亞等地區。據報道，截至8月14日，全球已有25萬臺電腦受到攻擊。我國從11日到13日，短短三天間就有數萬臺電腦被感染，4100多個企事業單位的局域網遭遇重創，其中2000多個局域網陷入癱瘓，嚴重阻礙了電子政務、電子商務等工作的開展，造成巨大的經濟損失。2004年最主要的蠕蟲事件是利用微軟視窗系統LSASS漏洞傳播的“震蕩波”系列蠕蟲，造成大量的用戶計算機被感染。根據CNCERT/CC抽樣監測發現我國有超過138萬個IP地址的主機感染此類蠕蟲。

3.3 攻擊工具獲取容易，使用簡單

在互聯網上，有很多攻擊工具可自由下載，此類攻擊工具設置簡單、使用簡便，即使對網絡不太精通的人都可以利用攻擊工具進行網絡攻擊。大量的廉價卻很好用的攻擊工具充斥于網絡中，自動化攻擊工具大量泛濫。從圖1可以看出，隨著攻擊復雜度的降低，使得一個普通的攻擊者也可以對系統造成巨大的危害。攻擊技術的普及使得高水平的攻擊者越來越多，反而言之，安全管理員面臨著巨大的挑戰，我們的系統面臨的安全威脅也越來越大。

圖1 攻擊復雜度的變化規律

3.4 校園網用戶的安全意識不強，計算機及網絡應用水平有限

校園網用戶網絡安全尚未能充分認識，基本上沒有或很少對所使用計算機作安全防范。校園網用戶更多地側重于各類應用軟件的操作上面，以期望方便、快捷、高效地使用網絡，最大限度地獲取有效的信息資源，而很少考慮實際存在的風險和低效率，很少學習防范病毒、漏洞修復、密碼管理、信息保密的必備知識以及防止人為破壞系統和篡改敏感數據的有關技術。

目前，關于網絡安全的法律法規都已出臺，學校網絡中心也都制定了各自的管理制度，但宣傳教育的力度不夠。許多師生法律意識淡薄，出于好奇或賣弄編程技巧的心理，破壞了網絡的安全。網上活躍的黑客交流活動，也為他們的破壞活動奠定了技術基礎。

4 結束語

綜上，構建一個覆蓋整個校園網絡的全方位、多層次、多種防御手段的網絡安全防范體系，利用網絡安全防范的相關技術，從根本上解決來自校園網絡內外部對網絡安全造成的各種威脅，為高校的教學信息系統、行政管理、信息交流等提供一個安全的環境和完整的平臺。

參考文獻：

[1]胡錚.網絡與信息安全[M].北京:清華大學出版社,2006.5:16-21.

[2]矯健,韓芳溪,毛忠東.網絡攻擊手段及防御系統設計[J].計算機工程與應用,2003(33):168-170.

[3]秦宗全,于詠梅,郭大春.校園網絡安全防范體系研究[J].計算機時代,2007(2):16-18.

篇10

【 關鍵詞 】 IPv6； 互聯網； 安全

Internet Security Research based on IPv6

Ni Hong-biao

（Jilin Police College JilinChangchun 130117）

【 Abstract 】 With the network technology development， the new generation of network protocol—IPv6 obtains the increasing attention. This article will research the network security based on IPv6 protocol. At first， it analyzes IPv6 characteristics and transform between IPV4 and IPv6. In the second place， this paper introduces IPv6 potential safety hazard and the related solution. At last， instrusion detection system is designed based on IPv6 with the key module workflow. This article provides positive significance to the network security workers.

【 Keywords 】 ipv6； internet； security

1 引言

當前，IPv4仍是當前互聯網的重要協議，IPv6協議是在IPv4的基礎上進一步的完善和發展的，被稱為下一代互聯網協議。

自上個世紀末IPv6的提出至今，IPv6協議的框架已經成熟，逐步取代IPV4成為下一代Internet協議，與IPv4相比，IPv6具有幾項新特點：尋址能力得到擴展、分組頭的格式得到簡化、進一步提高了擴展能力、完善認證和加密機制、提供移動服務。

2 IPv4向IPv6的過渡策略

從IPv4到IPv6的過渡方法有三種：雙協議棧技術、隧道技術及翻譯機制。當前比較常用的技術是雙協議棧技術和隧道技術，翻譯機制由于效率比較低，應用的范圍則較少。

（1）雙協議棧技術 該技術的工作原理是將一臺主機同時安裝IPv6和IPv4兩種協議，由于兩者建立在相同的物理平臺之上，且傳輸層協議也沒有任何的區別，那么，主機就可以同時支持兩種協議的通信。該技術可操作性比較強，應用方便，但是卻增加了路由設置，對于網絡中IP地址的耗盡問題仍然無法有效解決。

（2）隧道技術 該技術的方法是將IPv6的數據包封裝在IPv4的數據包中，經過網絡傳輸，到達目的主機后進行解封。這是當前最有效的過渡方法，該技術同樣要求在主機上安裝IPv4及IPv6兩種協議。隧道技術的封裝如圖1所示。

（3）協議轉換技術 該技術是由NAT技術轉換而來，其轉換技術是IPv6與IPv4之間的中間件，對于安裝兩種不同協議的主機來說，不需要對自身做出任何配置工作，就可以保證兩者之間的正常通信。

3 IPv6的安全機制

IPv6協議的安全機制是IPSec，它內置于協議之中，IPSec主要有ESP（封裝安全負載）、AH（認證報頭）、SA（安全連接）和IKMP（網絡密鑰管理協議）四部分組成。其體系結構如圖2所示。

IPv6協議的安全系數要遠遠好于IPv4協議，且安全的算法不再局限于特定的算法，可以有效保證IP數據包的安全。

4 IPv6的安全問題及策略

4.1 IPv6的安全隱患

IPv6協議要優于IPV4協議，但是網絡共享的特點只要還存在，IPv6同樣存在著來自不同方面的威脅，主要有幾個方面。

（1）網絡病毒及木馬 IPv6網絡中的地址數目眾多，但是網絡數據的傳輸要通過關鍵的服務器及路由來進行，所以當這些關鍵的節點受到攻擊時，同樣可到致整個網絡系統崩潰。而木馬和病毒的傳播，受影響最多的節點就是路由和服務器。

（2）Dos攻擊 該方式是通過消耗目的主機資源的方式展開攻擊，在IPv6協議里，地址FF01：：1表示動態分配地址，如果向該地址進行攻擊，會造成整個網絡系統資源的大量損失。而通過IPv6協議的安全驗證機制，一方面加大自身主機的資源損失，另一方面是對合法的數據可能在計算非法數據過程中丟失。

（3）TCP缺陷攻擊 利用TCP協議的三次握手，可以保證數據的安全準確到達，但是當大量的偽造TCP報文向目的主機發送時，會占用大量的緩存空間和連接空間，致使正確的數據無法得到正確的響應和接收。

（4）應用服務威脅 當前，網絡的應用功能越來越完善，應用的范圍也越來越廣，與此同時，在使用具體的應用功能時，攻擊者可能將一些非法的數據或木馬程序移植在應用程序之中，致使網絡的安全受到威脅。

4.2 安全策略

針對上述的問題，我們進行有針對性地防范，主要采取的措施有幾項。

（1）建立安全的可信網絡 對網絡中的節點進行有效的識別，將網絡中可信的、安全的網絡路由和服務器進行匯總，訪問時采取優先訪問的原則，而對于無法識別安全性能的網絡節點，則對其數據進行重點防范和及時查殺病毒木馬。

（2）DOS攻擊的防范 由于攻擊者隱藏在無數的網絡節點之中，而且根本沒有推測攻擊發起的時間和具體攻擊的對象，因此，對于DOS攻擊只能采取積極的防范。當前針對該攻擊主要采取的方法有報文過濾、資源共享、信任鏈路等有效措施。

5 基于IPv6的入侵檢測系統

對于IPv6協議的防范，可以通過入侵檢測系統來完成，對于系統來說，主要分為三部分，分別是數據輸入、處理和輸出。

系統設計的硬件平臺為：若干臺可以連接互聯網的PC機，配置為：CPU Pentium 4 2.8G、內存2G、硬盤160G，兩塊網卡Intel（R） PRO/100 VE Network Connection，一塊作為IPv4網絡的接口，一塊作為IPv6網絡的接口。

本文所設計的入侵檢測系統的設計、開發軟件環境為：使用Windows XP操作系統，它是一個雙協議棧主機，IPv4協議棧操作系統自帶，IPv6協議棧在Windows XP中已經集成，可以直接安裝，開發工具使用Microsoft Visual C++ 6.0，Windows XP Device Drivers Kit（Windows XP DDK）。

系統主要是數據的處理部分，該部分由七個模塊組成，分別是存儲模塊、響應模塊、分析檢測模塊、規則處理模塊、協議解決模塊、數據包捕捉模塊和特征庫組成。

核心代碼如下所示：

u_char this_xieyi；

this_xieyi = （u_char）bao_type；

struct map_jilu *faxian_elm=NULL；

//處理TCP/UDP/ICMP

if（this_xieyi==XIEYI_TCP）{

faxian_elm=maptb.FaxianFromOuter（*（（u_short *）

retrieve_kuanjia（huancun.WZ_DST_TCPPORT）），

retrieve_kuanjia（huancun.WZ_SRC_IP），

*（（u_short *）retrieve_kuanjia（huancun.WZ_SRC_TCPPORT）），

this_xieyi）；

}

Else if （this_xieyi== XIEYI_UDP）{

faxian_elm=maptb.FaxianFromOuter（*（（u_short *）

retrieve_kuanjia（huancun.WZ_DST_UDPPORT）），

retrieve_kuanjia（huancun.WZ_SRC_IP），

*（（u_short *）retrieve_kuanjia（huancun.WZ_SRC_UDPPORT）），

this_xieyi）；

}

Else if （（this_xieyi== XIEYI_ICMP）&&isicmpreply（huancun））{

faxian_elm=maptb.FaxianFromOuter（*（（u_short *）

retrieve_kuanjia（huancun.WZ_ICMP_ID）），

retrieve_kuanjia（huancun.WZ_SRC_IP），

*（（u_short *）retrieve_kuanjia（huancun.WZ_ICMP_ID）），

this_xieyi）；

}

if（faxian_elm==NULL） //如果沒有找到

{

*pIPv6_address=in6addr；

*pIPv6_port=0；

Return NO_MAPPING；

}else{ //找到合適的映射表條目

*pIPv6_address=faxian_elm->inner_ip；

*pIPv6_port= faxian_elm->inner_port；

對于IPv6和IPv4網絡之間進行通信，以保證數據準確的、實時到達，通過Ping對其進行時延測試，測試結果如表1所示。

6 結束語

目前，我國純IPv6協議的網絡只是在局部的范圍內應用，在相當長的一段時間內，還需要IPv4與IPv6協議彼此共存，對于兩種協議之間的轉換，當前國際上并沒有統一的標準，在不斷深入研究的過程中，會不斷地改進。純IPv6協議的安全系數相對較高，但IPv4與IPv6兩者進行通信，數據包的丟失現象還存在，需要進一步地研究。

參考文獻

[1] 熊英. IPv4/IPv6代溝協議轉換技術的設計. 通信世界，2003.9.

[2] 蘇金樹，涂睿，王寶生，劉亞萍.互聯網新型安全和管理體系結構研究展望.計算機應用研究，2009.10.

[3] 黃曉榕. 對新一代IP協議IPv6的分析.西南財經大學，2001.5.

[4] 楊云江，高鴻峰.IPv6技術與應用[M]. 清華大學出版社，2010.2.

基金項目：

項目編號：吉林警察學院院級科研課題yjky201311。