NAT环境下基于连接跟踪信息的策略路由

针对网络地址转换(NAT)环境下多出口园区网络存在的路由选择问题,提出了利用连接跟踪信息来指导路由判断的方案。通过搭建两个出口的实验环境,对该方案进行了一系列的测试,测试结果验证了基于连接跟踪信息的策略路由的正确性和可行性。

基于Linux防火墙连接跟踪机制的应用层协议过滤方法的研究

论文首先对Linux防火墙的连接跟踪机制进行了简要分析,在此基础上提出了一种基于连接跟踪机制的高效的应用层协议过滤方法,并给出了以此方法为核心的过滤系统的简单实现。

基于连接跟踪的P2P协议识别方法研究

随着计算机网络的迅速发展,新一代网络技术P2P得到了广泛应用,由于P2P技术所带来的诸多问题比如大量占用网络带宽,加重网络负担等等,因此对P2P应用流量的准确识别对于网络管理员、研究人员以及服务提供商、用户都具有十分重要的意义。本文首先对Linux防火墙的连接跟踪机制进行简要的分析,在此基础上提出了一种基于连接跟踪机制的高效的P2P协议识别算法,并给出该算法的实现,最后通过实验对算法进行了验证。

Linux2.4内核防火墙的连接跟踪技术

从理论上深入论述了防火墙的实现原理和Linux操作系统下内核防火墙Netfilter的框架实现,以及防火墙的包过滤和状态检测等技术。针对网络存在的安全隐患,制定了相应的安全策略。通过对防火墙技术发展趋势的研究,并结合实际工作中碰到的一些问题,提出了防火墙系统的设计要求,增强了防火墙的易管理和快速响应性。

Linux下基于Netfilter连接跟踪技术的研究与应用

结合Netfilter防火墙框架深入研究了linux平台下连接跟踪技术的实现过程,并采用用户空间配置工具i-ptables编写了一个ftp连接跟踪的应用实例。

基于Netfilter连接跟踪机制的BitTorrent协议监测

利用Linux2.4内核中防火墙平台中的连接跟踪机制,设计并实现了对BitTorrent协议的监测控制,从而有效的利用网络的带宽。

LINUX下网络数据包连接跟踪的技术分析及应用

Netfilter是linux下功能强大、扩展性强的防火墙。本文分析了Netfilter的连接跟踪功能的实现机制,举例介绍了两种基于连接跟踪的实际应用。实验证明利用Netfilter的连接跟踪可以配置出功能更加强大、更加灵活的防火墙。

天线极化对低轨卫星跟踪连接的影响

本文主要利用极化空间的理论和Poincare极化球的概念，结合非通讯工程中的实际情况，分析了孔径天线的极化对低轨卫星连接时的影响。

基于连接状态和SDN的混合蜜网TCP连接转移方案

蜜罐作为一种主动性防御手段,在对攻击手段的研究和业务网络的保护上都具有非常重要的作用。业界中结合高、低交互蜜罐优点而提出的混合蜜网系统,存在流量过滤和连接转移等方面的问题。因此,利用软件定义网络灵活的流量控制能力,通过连接状态跟踪和对TCP握手包的反向构造,提出了一种混合蜜网中高、低交互蜜罐之间的连接转移方案,具有良好的稳定性,使得蜜网的部署更加灵活。

平面曲线的光电自动跟踪处理方法

光电跟踪自动处理技术可用于实现曲线加工等领域．作者基于计算机图形图象处理技术实现对平面曲线的光电跟踪，采用改进的ＨＩＬＤＩＴＣＨ细化方法对输入图形图线进行处理，然后提出并探讨了对细化骨架进行跟踪连接从而使曲线还原的方法．它为实现平面曲线的实时跟踪还原并自动控制加工提出了一种新的途径，在模具加工、材料切割、刺绣、雕刻等方面很有应用价值．

Netfilter框架下IPv6防火墙的设计与实现

针对目前缺乏IPv6环境下的高性价比的防火墙的现状,分析了Linux下Netfilter框架的实现防火墙的基本原理,结合IPv6协议的实现讨论了在Linux环境下基于Netfilter框架的IPv6防火墙系统中包过滤、连线跟踪、状态检测、包处理等关键功能的原理和实现。在实验环境下测试该防火墙,当规则集数量小于600条时,其性能可保持线性增长,能满足中小型用户需求,并为进一步改进查找算法、提高处理性能,满足更高性能的要求打下基础。

基于Linux系统的校园网多出口策略路由实现

校园网有多个出口时,出口路由设备对服务器发出的数据包必须要进行策略路由处理.提出基于Linux系统的校园网多出口策略路由实现方案,通过在路由处理前检查连接跟踪的信息,更细致地区分校园网内服务器发出的数据包,对校园网发出的数据包进行正确的路由处理,比仅仅依靠源地址判断的策略路由实现更灵活和方便.

基于Netfilter的P2P流量测量系统

分析了P2P流量的特征,讨论了当前有关P2P流量识别与测量的研究现状。在分析一个通过应用层匹配来识别P2P流量的模块IPP2P基础上,给出了一个基于Netfilter的P2P流量测量系统。该系统通过高速的内核字符串匹配来识别P2P数据流,在此基础上运用连接跟踪技术进行高效的流量统计,实现对P2P流量的实时测量。

基于Netfilter的流量检测与控制系统

P2P流量已成为互联网流量的重要组成部分,由于其占用大量带宽,严重影响了其他网络业务的运行,因此如何有效地检测和控制网络流量已成为目前面临的一个重要难题。基于Linux的Netfilter防火墙和连接跟踪机制,结合应用层协议识别工具L7-filter和流量控制器TC设计并实现了一个简单而高效的流量控制系统。该系统首先对数据包进行应用层协议识别并分类,然后对有限的网络带宽进行合理分配,实现流量控制。实验证明此系统能有效地检测和控制网络流量。

基于Netfilter和属性证书的网络设备身份认证

本文提出了一种基于Netfilter/Iptables和属性证书的网络设备身份认证系统,实现对访问安全域设备的身份认证。系统利用Linux的Netfilter防火墙和PMI体系及属性证书,实现网络设备的身份和权限的双项认证,并利用Netfilter的连接跟踪机制对已建立的网络连接进行实时的监测,从而进一步细化了数据访问的安全粒度,大大增强了网络的安全性。

基于协议转换的安全网关原型系统设计与实现

提出了一种IPv4,IPv6混合网络下基于协议转换的安全网关原型系统设计(Hybrid-SG),并基于Linux2.6内核Netfilter框架实现了基本功能。Hybrid-SG在协议转换的基础上跟踪UDP/TCP连接会话,并可实施简单的端到端的安全访问控制策略。实验测试结果表明,Hybrid-SG对端到端数据包传输的时延影响不大,可满足企业组网及安全控制的实际需要。

状态检测防火墙中流量采集的研究与实现

本文提出一种从ip_conntrack模块维护的连接信息表中提取相关数据进行流量采集的方法,并基于该方法实现了状态检测防火墙中的流量采集子系统connstat。测试数据表明,与ulogd相比,使用connstat进行流量采集更加合理,高效和准确。

源端网络检测与抑制DDoS方法的研究

提出了一种源端网络DDoS攻击检测的方法;本方法基于BPF包过滤在源端网络的网关上监控数据包,通过计算网络报文的目的IP地址的信息熵进行可疑流量的检测,最终进一步使用连接跟踪的技术对可疑流量进行判别;本方法可以有效的鉴别出SYN Flood的流量,并在源端网络中直接拦截,节省计算资源。

利用iptables实现SNAT上网

netffiter／iptables的最大优点是它可以配置有状态的防火墙，这是ipfwadm和ipchains等以前的工具都无法提供的一种重要功能。有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时，防火墙所使用的这些状态信息可以增加其效率和速度。