IP分片重组算法(RFC815)的实现及其改进

分片与重组是IP机制之一。IP数据报可以在网关处被分片,各分片分别送达。目的主机的IP层将接收到的所有分片重装成一个完整的数据报。介绍了IP分片重组的原理,在此基础上介绍了RFC815算法的实现,并对重组算法做了优化改进,在保证安全性的同时提高算法的效率。

IP分片重组Cache实现的测试与分析

IP碎片攻击是网络攻击的主要方式之一,攻击者利用系统对IP数据包分片重组实现上的漏洞,构造大量特殊的分片发送给目的主机,导致目的主机由于重组错误而造成拒绝服务、系统崩溃等。IP分片重组Cache的实现包括IP分片的重组算法、超时处理、替换策略等。文章从分析Linux操作系统IP分片重组Cache实现的策略入手,提出了一种测试IP分片重组Cache实现的方法,并在此基础上推测出Windows系统实现IP分片重组Cache的方法。

IP分片算法研究及其在嵌入式系统中的应用

分片重组是IP协议层的主要功能之一。该文介绍分片重组算法的原理,并在RFC815及Linux系统下实现该算法,提出一种在嵌入式系统中实现该算法的方案,同时进行测试。实验结果表明,该方案是可行的。

利用IP分片技术探测Honeyd虚拟蜜罐

分析了作为主动安全技术而广泛使用的虚拟蜜罐框架Honeyd的IP分片重组技术的漏洞,并编写了一个概念性探测软件来验证这个安全漏洞。测试表明利用该漏洞可以有效地侦测出基于Honeyd的虚拟蜜罐的存在和布置范围,进而提出了相应的弥补漏洞的办法。

基于FPGA的IP分片重组的实现

针对计算机网络中常出现的IP分片问题,依据RFC791中描述的IP协议分片重组的基本原理,在＂快速判断分片属于哪个数据报＂和＂快速判断分片重组过程是否完成＂两方面提出了改进措施,并在FPGA平台上设计实现了IP分片重组硬件系统。该系统以包预处理器、资源管理器和DDR出入端口为核心单元,充分利用了FPGA的高速逻辑运算能力,实现了高速网络数据流中IP分片的重组,吞吐率最高可达1.2 Gbit/s。

复合包标记IP追踪算法研究

在压缩边分段采样算法研究改进基础上,分析攻击路径距离、路由器节点流量统计对标记概率的影响,提出一种复合包标记方法。该方法可以优化算法收敛性,降低运算复杂度和重构路径的差错率,使受害者在最短时间内推测出主要攻击路径,能够很好地应用于多个分布式拒绝服务攻击的攻击源追踪中。

一种面向IP/GMPLS over WDM网络的优化综合路由算法

为了优化利用IP层和WDM层网络资源,在WDM网络集成辅助图模型的基础上,提出了一种面向IP/GMPLS over WDM网络的基于代价的优化综合路由算法,即CIR(Cost-based Integrated Routing)。该算法将IP层和WDM层资源可用信息以代价函数形式给出,并将因网络拓扑结构和网络负载分布不均衡等产生的瓶颈链路以及带宽碎片问题也统一纳入考虑,由此将LSP建立问题转化为在集成辅助图上找出一条源、目的节点之间的最短通路问题。仿真结果表明:CIR算法有效地实现了IP和WDM两层资源的联合优化,提高了网络资源利用,降低了网络阻塞率。

分布式IP分片处理问题的研究

传统的IP分片处理技术只适用于单检查点网络。但随着分布式网络应用的飞速发展,这种传统的TCP/IP协议的基础技术越来越不能适应新的网络环境,而且给网络新技术的推广和应用带来了阻碍。该文在分布式HASH算法的基础上提出了在分布式环境下,多点间协同处理IP分片问题的解决办法,将IP分片赋予某个特定的HASH函数值并由相应的检查点来处理。除此之外还利用折叠异或法提高了HASH算法的计算速度,并且利用前插链表法提高了HASH算法解决冲突问题的效能。通过仿真试验表明该算法可以应用于分布式的网络环境,并且拥有较好的网络适应性和稳定性。

一种新的IP追踪的分片标记方法

拒绝服务攻击(DoS)是难以解决的网络安全问题。IP追踪技术是确定DoS攻击源的有效方法。针对用于IP追踪的压缩边分片采样算法(CEFS)存在的不足,提出了新分片标记算法(NFMS),该算法通过扩大标记空间和采用自适应概率的方法,减少了重构路径所需数据包数,并通过给分片加标注,减少了重构路径的计算量和误报率,并且将点分片(路由器分片)、边分片(该路由器分片与同偏移值的下游相邻路由器分片的异或值)分开存放,可验证重构路径时所得攻击路径中节点的正确性。分析和仿真结果表明NFMS算法的性能较优。

抗IP分片逃避技术的设计与实现

通过对目前NIDS的检测技术、IP分片形成以及重组机制的分析,发现常用的NIDS的检测方法不能很好地检测包含在IP分片中的攻击特征,这是由于不同的系统对于分片的处理策略是不同的,不能根据NIDS的处理结果推断终端主机的处理结果,从而包含攻击特征的IP分片可以轻松地逃避NIDS的检测。为此,提出了一种针对于抵抗IP分片攻击的方法,通过在NIDS的前端串行地加入一个流量预处理引擎TPE,对IP分片进行预定的规则处理。实验结果表明,此种方法能够有效地抵御90%以上的IP分片攻击。

高效IP分片重组的设计与实现

IP分片重组是TCP/IP协议栈中IP层所需要实现的不可缺少的功能之一,首先分析了网络中产生IP分片的原因和IP分片重组的过程,然后论述了采用伸展树这种数据结构实现高效IP分片重组的算法,最后,给出了有关IP分片重组的一些应用。

基于FPGA的IP碎片重组模块

为了更好地支持网络安全,IP碎片重组是IDS/IPS中一个必不可少的操作。由于采用软件实现IP碎片重组的速度很低,很难达到高速接口的线速处理要求,所以在高速IDS/IPS上应采用硬件处理的机制。本文实现了一个基于Altera FPGA的IP碎片重组模块,可解决IDS/IPS处理IP碎片重组遇到的性能瓶颈问题,同时提供了一种IP碎片攻击的预警机制,其特点是可以根据设备资源的使用情况,提供不同程度的警报信息。借助于QuatusII综合布线工具,经面向硬件电路的仿真验证,本文的方法可实现OC-48接口(2.5Gb/s)上线速分组的IP碎片重组,并具有硬件开销小,可扩展性好的特点。

针对IP分片攻击的IDS反欺骗技术研究

针对当前入侵检测系统(IDS)在处理IP分片时存在易被欺骗的问题,提出一种应对这类攻击的反欺骗方案。通过在IDS前端加入一个预分析器,对捕获的数据包进行分析,预测信息源端的行为特征,从而有效识别IDS欺骗行为。测试表明,采用这种方案能有效检测出针对IDS实施的分片期骗攻击。

一种基于业务流的IP分片实时识别方法

基于业务流识别的技术领域中,少有文章专门针对IP分片识别进行研究,本文专门对此技术进行深入分析,提出一种高速有效、实时性强的"首片法"。其特点是:利用TCP/IP体系特征及IP分片自身的特点,不需用组装所有分片,只对首片进行深度识别,对后续分片只查找一个特殊哈希表,即得知自己的业务类别,极大减少识别时间。该方法非常适用于实时性要求高的路由器。此文中的"首片法"属于原创。

IP报文分片技术及其在故障分析中的应用

TCP/IP协议采用分片机制来解决传输层报文与MTU的适配问题及适应传输链路上MTU的变化,但传输层大包产生的连续分片会引起与分片相关的新问题,在网络建设和运行中这类问题往往被忽视。结合某专有网络实际应用中的典型分片相关故障,在对IP报文分片的机理和不同网络设备的分片处理机制差异性简单介绍的基础上,重点分析了故障机理并给出了相应处理措施。测试结果表明:这些措施可有效解决和预防与分片有关的故障,提高了网络的可用性。

嵌入式系统中IP的实现

介绍了嵌入式系统中IP的一种实现方法,该方法应用于嵌入式系统中，其主要功能是由一个IP线程来完成的。该实现方法具有简洁、代码可移植性强等特点。它既可作为操作系统的一部分，对诸如浏览器等应用程序提供底层网络协议支持，又可移植至路由器上使用。

入侵检测系统中的协议分析子系统的设计和实现

对于一个网络入侵检测系统,协议分析主要有三方面的作用:为检测引擎提供输入,提高检测的有效性,提高检测效率。对于这些功能,该文论述的协议分析子系统对应有三个功能模块:基本协议数据解析模块,包括对数据包各个头部字段的解析;上下文相关的数据关联模块,包括IP分片合并和TCP会话重组;应用层协议分析模块,包括对常见应用协议数据的关键字段的提取和分析。文章的最后给出了系统的应用层协议分析的性能测试数据。

一次性可变概率分片标记及其压缩标记

提出了一次性可变概率分片标记方法,即对每一数据包从接入到受害主机的传输路径上的所有路由器至多对其进行一次标记,由此能够避免对任一数据包的重复标记;路由器根据数据包在网络上传输的距离d以概率1/(33-d)对其进行可变概率标记,使受害主机可等概率地收集到攻击路径中各个路由器标记的数据包.在此基础上,根据传输路径上IP信息的相似性冗余,提出了压缩一次性可变概率分片标记方法.实验结果表明,提出的方法能够消除可变概率标记方法对数据包的重复标记问题,并显著减少反向追踪攻击源所需数据包的数目,提高了对攻击源定位的准确性和实时性.

改进的压缩边分段采样算法

针对Savage等人的压缩边采样算法,提出一种改进的压缩边采样算法,该算法利用IP包头与分段相关的字段作为重载字段,增加了边信息存储所需要的空间,降低了重构过程的计算复杂度,并采用64位Hash作为误差效验以显著降低多个攻击者同时存在时重构路径的虚警率,而且通过对重构过程的算法优化进一步降低了计算复杂度.对重构路径所需要的包数、计算量和重构路径的虚警率进行比较,结果证明,改进算法远远超过原算法.将原算法重构路径所需要的计算量(所需要计算的Hash次数)从m8降低到3m2(其中m为在相同距离的攻击源个数)以下.在同时有20个攻击者时,原算法虚警率已经高达0.99,使其不可用.而改进算法在同时有1 000个攻击者的情况下的虚警概率仍然近似为0.因此改进的压缩边采样算法能够很好地应用到大规模DDoS攻击源追踪中.

一个网络监控系统NMBPD的设计与实现

为了提高网络管理人员对广播网络的监控能力,提出一个基于NDIS协议驱动程序的网络监控(Network Monitoring Based on NDIS Protocol Driver,简称为NMBPD)系统模型.通过实现一个基于NDIS协议驱动程序的数据包捕获驱动程序,能高效地捕获原始数据包,此外,设计并实现一个轻量级的协议栈以及能处理4种最流行的应用层协议的解析器,并通过实验对NMBPD系统进行了测试.NMBPD系统可以监控广播网络上的所有主机的活动,降低了网络管理难度.