网络协议分析技术

网络协议分析技术（共10篇）

网络协议分析技术 篇1

无线传感器网络是由大量传感器节点通过无线通信技术自组织构成的网络,可实现数据的采集量化、处理融合和传输应用,它是信息技术中的一个新的领域,在军事和民用领域均有着非常广阔的应用前景。无线传感器网络由于其组织结构、通信方式、网络管理等方面的特点,使得它在安全方面存在诸多的隐患,尤其是其网络协议是众多攻击的目标。

1 MAC协议

MAC协议处于协议栈的最底层,是报文在无线信道上发送和接收的直接控制者。MAC协议的设计和复杂性受网络体系结构、通信模型和硬件配置的影响。MAC协议的目标通常是低时延、低能量损耗、高信道利用率。

Ad Hoc网络的无线信道具有多跳性。当一个节点发送报文时,只有在它覆盖范围内的节点才能够收到。这一特征使得发送节点覆盖范围外的节点可以同时发送报文,提高了信道的空间复用度,但也使得报文冲突与节点所处的地理位置相关。在Ad Hoc网络中,报文冲突是局部事件,并非所有节点都可以感知到。也就是说,发送节点和接收节点感知到的信道状况不一定相同,从而带来隐终端、暴露终端和入侵终端等一系列的问题。

1.1 信道划分

信道划分机制包括频分、时分、码分、空分以及以上方法的组合[1]。时分将时间划分为时隙,具有较好灵活性,可以方便将多个时隙分配给单个用户,节点可在不发送数据时转入休眠来减少能耗,但是需要预留保护时间间隔来维护时隙同步。频分将系统带宽划分为不交叠的信道,实现简单,但不够灵活。FDMA减少了时间保护和同步所需的开销,但也需要保护频带以防止干扰,并且节点始终处于工作状态,增加了能耗。CDMA不仅有较强的抗干扰性和适应性,而且有灵活的信道接入能力。只要不同节点采用不同的伪码序列,就容许多个节点同时占用公共信道。但是,码分对接收器的要求较高,实现较复杂。CDMA通过使用定向波束天线或智能天线技术来增加系统容量,理想情况下可以使所有用户在同一信道同时通信,缺点是高复杂性和高成本。

1.2 随机接入

随机接入协议中,用户通过竞争方式共享信道资源。CDMA在单跳环境下可以很好工作,但是多跳共享的无线信道造成的隐终端使其不能有效地检测和避免冲突,此外暴露终端会降低信道利用率。很多MAC协议,如MACAW和IEEE 802.11,采用握手机制来解决隐终端和暴露终端,增加了系统开销和能量耗费。如果节点长时间无法获得信道,会使缓存溢出而丢失分组。随机接入协议实现简单,不需要了解网络拓扑和实施全局控制,但是传输冲突较多,没有过多考虑能量使用效率问题。

1.3 调度

当用户具有较连续的业务流量时,随机接入协议性能较差。调度机制能够更有效地为用户分配信道,并能保证每个节点发送/接收分组而不与邻居节点发生冲突。蜂窝网络中可以采用简单的集中式调度机制,而Ad Hoc网络中的分布式调度通常是NP完全问题,并且问题的复杂性随系统规模的增加而迅速增加。即使采用调度机制,在网络的初始化阶段也需要某种随机接入协议的支持,用于提供初始化交互和为后续的数据传输建立合适的调度表。例如,分组预约多址接入协议(PRMA)[2]结合了预约ALOHA和TDMA方法,可以同时支持数据和话音用户。

1.4 混合式MAC协议

混合协议结合了媒体访问控制协议和调度协议,基本思想是为节点固定分配一个TDMA传输调度,同时允许节点通过随机竞争来回收/重用空闲的时隙。ADAPT协议在TDMA调度协议中集成了基于握手机制的竞争协议来解决隐终端问题。每个时隙被划分为3个阶段,在第一个阶段,节点通过与目的节点进行握手来声明它要使用的时隙;在第二个阶段节点可以竞争未分配的时隙;第三个阶段用来传送分组。ADAPT可以提高信道利用率,但是不支持多播。ABROAD协议[3]对ADAPT进行改动以满足多播要求,并采用一种负反馈响应机制来减少竞争阶段控制分组的冲突。

2 路由协议

路由协议的主要作用是迅速准确地计算到达目的节点的路由,同时通过监控网络拓扑变化来更新和维护路由。Ad Hoc网络的独特性使得常规路由协议(如RIP、OSPF等)不再适用,因为动态变化的网络拓扑使得常规路由协议难以收敛,无法有效利用单向信道,周期性广播会耗费大量带宽和能量,严重降低系统性能。

Ad Hoc网络路由协议目标是快速、准确、高效、可扩展性好[4],能对网络拓扑动态变化做出快速反应,能提供准确的路由信息,支持单向信道,尽量避免路由环路,计算和维护路由的控制消息尽量少,尽量提供最佳路由,并支持节点休眠。

2.1 路由信息获取方式

依据路由信息的获取方式,Ad Hoc路由协议大致可分为先验式、反应式和混合式路由协议[5]。在先验式路由协议中,每个节点维护到达其他节点的路由信息的路由表。当检测到网络拓扑变化时,节点在网络中发送更新消息,收到更新消息的节点将更新路由表,以维护一致的、准确的路由信息。源节点一旦要发送报文,可以立即获得到达目的节点的路由。因此这种路由协议的时延较小,但开销较大。反应式路由协议不需要维护路由信息,当需要发送数据时才查找路由。与先验式路由相比,反应式路由的开销较小,但传送时延较大。在高速动态变化的Ad Hoc网络中,使用先验式路由会产生大量控制报文,如果单独采用反应式路由,则需要为每个报文查找路由。结合先验式和反应式路由的混合式路由协议是一种较好的折衷:在局部范围使用先验式路由,维护准确的路由信息,缩小路由消息的传播范围;当目标节点较远时,按需查找路由。这样既可以减少路由开销,也可以改善时延特性。

2.2 拓扑结构组织方式

按照拓扑结构组织方式,Ad Hoc路由协议可分为平面式路由协议和分级式路由协议[6]。在平面结构中,所有节点地位平等,通信流量平均分散在网络中,路由协议的鲁棒性好。但当网络规模很大时,每个节点维护的路由信息量很大,路由消息可能会充斥整个网络,且消息的传递也将花费很长时间,网络的可扩展性差,故它主要用在小型网络中。

规模较大的网络,分级式路由是较好的选择。对于分级路由,网络的逻辑视图是层次性的。层次的划分可以基于信道频率、协同关系和地理位置等多种因素,最常见的是由骨干网和分支子网组成的两层网络结构。分级网络结构常借助某种分簇算法得到,分支子网是由普通节点构成的簇,而骨干网由簇头和网关构成。同一个簇内的节点之间可以自主通信,并通常采用先验式路由;不同簇的节点之间的通信需要跨越骨干网,往往采用反应式路由。层次结构路由的协议开销小,可扩展性较好,适合大规模的Ad Hoc网络;缺点是需要维护分级网络结构,骨干网节点的可靠性和稳定性对全网性能影响较大,并且得到的路由往往不是最佳路由。

3 传输层协议

目前Ad Hoc网络的传输层基本上还是采用传统有线网络中的TCP和UDP。TCP假定链路传输出错率很低并且链路是准静态的,无法区分网络拥塞、路由失效和链路错误造成的分组丢失,而将分组丢失都看成网络拥塞的结果,从而启动拥塞控制过程:超时重传未确认的分组,重传定时器指数退避并减小窗口,甚至进入慢启动阶段。即传统的TCP协议在Ad Hoc网络中常会引起不必要的重传和吞吐量的下降,此外它也没有考虑节点移动和无线多跳路由对传输层协议造成的影响。

传统无线网络中对TCP协议的改进大都利用了基站,假设无线链路是单跳链路,并且没有考虑节点移动引起的链路失效或重路由。因此,这些协议通常不能直接用于Ad Hoc网络,但可借鉴其中一些设计思想。一种最直观的方法是使用显式反馈机制来通知链路故障或路由失效引起的分组丢失,从而使TCP能够做出合适的动作以改善协议性能。无线信道使得分组丢失较频繁,但可通过增强链路可靠性来缓解此问题。更加严重的问题是经常发生并且无法预测的路由失效,在路由恢复或重建时间内,分组无法到达目的节点,从而引起分组排队或丢失。为此,TCP-F协议采用显式反馈机制来通知路由失效事件,从而使源端暂时关闭定时器并停止发送分组。当路由恢复后,通过路由建立消息通知源端,然后源端重新启动定时器并发送分组。显式反馈机制有助于抑制拥塞控制并能以网络能够支持的速率恢复分组发送,显著提高了Ad Hoc网络中TCP的吞吐量。但TCP-F依赖于路由节点检测路由失效、重建路由和反馈信息的能力,并且中间节点需要记录源节点ID。TCP-BUS协议结合了路由反馈和分组缓存机制来提高TCP协议的性能,使用反馈消息来通知路由失效和重建事件。节点在路由失效和重建期间缓存分组,并且通过被动确认来保证控制消息的可靠传输。此外,源节点可以定期发送探测分组来查询是否找到可行路由,减少分组的重传,并通过加倍定时器的方法减少了超时情况的出现。

4 结语

Ad Hoc网络因为其无中心、自组织和动态拓扑等特点,有着广泛的应用潜能,日益受到业界的重视。但这些特点也使得现存的许多协议和机制无法直接用于Ad Hoc网络,必须对它们进行改造或设计和开发新的协议以适应网络环境和应用的要求。

摘要：无线传感器网络是由大量传感器节点通过无线通信技术自组织构成的网络,可实现数据的采集量化、处理、融合和传输应用。本文分析了Ad Hoc网络涉及的重要协议,包括MAC协议、路由协议等,从总体上把握Ad Hoc网络协议关键技术及面临的挑战。

关键词：无线传感器网络,协议,分析

参考文献

[1]Teerawat Issariyakul,Ekram Hossain.Medium access control protocols for wireless mobile ad hoc networks,WIRELESS COMMUNICATIONS AND MOBILE COMPUTING,2003,4(3):935～958.

[2]Goodman D J.Packet Reservation Multiple Access for Local Wireless Communications,IEEE Trans on Commun,1989,37(8):885～890.

[3]I Chlamtac.ADAPT:A Dynamically Self-Adjusting Media Access Control Protocol for Ad Hoc Networks.Proc.IEEEGLOBECOM’99,Rio De Janeiro,Brazil,Dec,1999:11～16.

[4]S.Corson,J.Macker.Routing Protocol Performance Issues and Evaluation Considerations,IETF RFC2501,Jan1999.

[5]Elizabeth M.Royer.A Review of current routing protocols for Ad hoc mobile wireless network,IEEE Personal Communica-tions April1999.

[6]A.Iwata.C.-C.Chiang.Scalable Routing Strategies for Ad Hoc Wireless Networks.IEEE Journal on Selected Areas in Com-munications,1999,17(6):1466～1487.

网络协议分析技术 篇2

第一章

1、TCP四层模型与OSI七层模型之间的对应关系？各层完成的功能？

2、一个路由器最基本的功能（书后P12第七题）

第二章

1、PPP帧格式

2、PPP帧类型

3、PPP认证协议有哪两种类型？哪种安全?哪种不安全？

第三章

1、ARP协议的工作流程？

2、ARP欺骗的原理是什么？最终效果如何？如何防范

3、书上P34第二题

第四章

1、为何要进行分片？分片的依据是什么？

2、IP包头的校验和针对什么进行校验？

3、书上P41图4-7分片示例？

5、查看本机路由表的两条命令？

6、以太网IP包的最大长度？包头长度？

第五章

1、ICMP包封装在哪个协议中？

2、ICMP协议有几种类型？

3、ICMP协议经常用的两个命令？

第六章

1、UDP包头校验和的特点？UDP包头的固定长度？

2、书P72习题第七、八题？

3、知名端口范围？自定义端口范围？

第七章

1、TCP三次握手建立连接过程？

2、TCP四次握手断开连接过程？

3、关闭TCP连接有几种方法？

4、TCP的确认重传机制？何时重传某序号的数据包？

5、TCP的流量控制机制？

6、TCP的拥塞控制？

7、TCP包各字段的含义？PSH？URG?

8、书P93第十四题、第十六题？

第八章

1、定长子网掩码的划分

计算机网络通信协议的分析研究 篇3

【关键词】：计算机网络协议网络模型应用研究

目前，计算机网络应用已遍及人类生活、学习、工作等活动的一切领域。这一切网络的应用都是通过网络协议实现的。

一计算机网络协议概述

1计算机网络协议的定义

网络协议(有时也称为通信协议)是指在计算机与计算机之间进行通信必须遵循的一些事先约定好的规则。网络协议必须遵循标准化的体系结构，目前主要有ISO的OSI标准和TCP／IP协议组标准。通信涉及的所有部分都必须认同一套用于信息交换的规则。

在OSI／RM层次模型中，把网络协议规定成7层模型。

一是物理层，给出了一个通信信道的物理媒体上传输原始的二进制数据流(也称比特流)时的协议(IS02110，IEEE802J IEEE802，2)二是数据链路层。给出了把二进制数据流划分成数据帧，并依照一定规则传送与处理的协议(SLIP，CSLIP，PPP，AR P，RARP，MTU)；三是网络层把数据帧划分成更小的“分组”，规定分组的格式，给出使分组经过通信子网正确的从源传送到目的地的协议。网络层是控制通信子网正常运行的协议，它提供两类典型的数据分组传送服务方式(IP，ICMP，RIP，OSPF，BGP，IGMP)l四是传输层，根据高层用户的请求建立起有效的网络通信连接，处理端到端之间通信的差错控制、恢复处理和流量控制问题，也可以方便的撤消与拆除网络连接(TCP，UDP)；五是会话层，允许不同主机上的各种进程之间进行会话；六是表示层，为应用层提供传输的信息在表示方面的规则与协议；七是应用层，为各类不同的网络应用提供使用网络环境的手段，具体规定了在用户级别需要的、带有通信任务的许多常用信息服务的规则和协议。

2计算机网络协议的分类

(1)局域网协议。局域网协议定义了在多种局域网介质上的通信。目前，常用的局域网协议主要有NetBEUI、IPX／SPX及其兼容协议和TCP／IP三类。

(2)广域网协议。广域网协议是在OSI参考模型的最下面三层操作。定义了在不同的广域网介质上的通信。主要用于广域网的通信协议比较多，如：高级数据链路控制协议、点到点协议(PPP)、数字数据网(DDN)、综合业务数字网(ISDN)、数字用户线(xDSL)、X.25协议等等。

(3)路由选择协议。路由选择协议是网络层协议，它负责路径的选择和交换。路由选择协议还分为内部路由协议(它是在一个自治系统内部交换路由信息的路由协议)和外部路由协议(它是为连接两个或多个自治系统的路由协议)。

二网络协议中ping程序及其应用

这个程序用来检铡一帧数据从当前主机传送到目的主机所需要的时间。当网络运行中出现故障时，采用这个实用程序来预测故障和确定故障源是非常有效的。如果执行ping不成功，则可以预测故障出现在以下几个方面：网线是否连通，网络适配器配置是否正确，IP地址是否可用等；如果执行ping成功而网络仍无法使用，那么问题很可能出在网络系统的软件配置方面，ping成功只能保证当前主机与目的主机间存在一条连通的物理路径。它还提供了许多参数，如-t使当前主机不断地向目的主机发送数据，直到使用Ctrl-c中断；-n可以自己确定向目的主机发送的数据帧数等等。

我们称发送回显请求的ping程序为客户，而称被ping的主机为服务器。大多数的TCP／IP央现都在内核中直接支持Ping服务器。ICMP回显请求和回显应答报文如图所示。

对于其他类型的ICMP查询报文，服务器必须响应标识符和序列号字段。另外，客户发送的选项数据必须回显，假设客户对这些信息都会感兴趣。

UNIX系统在实现Ping程序时是把ICMP报文中的标识符字段置成发送进程的ID号。这样即使在同一台主机上同时运行了多个Ping程序实例，Ping程序也可以识别出返回的信息。

序列号从0开始，每发送一次新的回显请求就加1。Ping程序打印出返回的每个分组的序列号，允许我们查看是否有分组丢失、失序或重复。IP是一种最好的数据报传递服务，因此这三个条件都有可能发生。旧版本的Ping程序曾经以这种模式运行，即每秒发送一个回显请求，并打印出返回的每个回显应答。但是，新版本的实现需要加Ac-s选项才能以这种模式运行。默认情况下，新版本的Ping程序只发送一个回显请求。

三网络协议应用的分析

TCP／IP的应用层协议有多个，HTTP协议是一个面向连接的协议。选用IRIS V4，07作为协议分析工具。这操作系统是WINDOWS XPSP2。运行IRIS的主机位于以太网内，具有内网的IP。

运行IRIS，用热键CTRL+B弹出IRIS地址表。在表中填写机器的IP地址，这里我们运行IRIs的主机IP为102，34，12，113，为了对抓取的包看得更清楚不要添主机的名字(name)，设置好关闭此窗口。回到IRIS的主窗口，点击Kilters菜单项，在下拉的菜单中

选择only-http，ftl项。这是IRIS提供的过滤设置，此设置只抓取HTTP协议的数据包。在IRIS的主窗口，点击工具栏中的开始按钮，开始抓包。转到浏览器界面，输入任意一个常用的网址，待此页面在浏览器中完成后回到IRIS主窗口，可以看到抓取的多个包。如果此时没有再抓取新包，可以关闭WEB浏览器，再转到IRIS主窗口按下停止按钮。

为了更好的分析协议，我们先描述一下上述例子数据的传输步骤。第一、应用软件即WEB浏览器向DNS服务器发出请求，要求提供发往它的Web地址的相应的IP地址。第二、DNS服务器收到请求后，发回相应的IP地址。第三、TCP用所获得的IP向WEB服务器发出连接请求。双方建立连接。第四、WEB服务器向目的主机传送数据。第五、目的主机向WEB服务器发送数据传送完成确认。这是TCP建立数据传输通道的三次握手过程。TCP的数据包是靠IP协议来传输的。但IP协议提供的是无连接的服务，只管把数据送出去，不能保证IP数据报能成功地到达目的地，保证数据的可靠传输是靠TCP协议来完成的。当接收端收到来自发送端的信息时，接收端将发送一条应答信息，向对方表示已收到你的信息了。这三组数据将能看到这个过程。TCP是一个面向连接的协议。无论哪—方向另一方发送数据之前，都必须先在双方之间建立一条连接。建立连接的过程就是三次握手的过程。

网络协议分析技术 篇4

相对于检测系统静态配置或系统异常行为而言，基于模式匹配检测所具有的易扩充、简单、符合CIDF(公共入侵检测框架)规范而被大多数入侵检测系统(IDS)所采用。据有关部门的报告，国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品，大多数属于采用简单的模式匹配方法基于网络的入侵检测系统(NIDS)。

评价一个入侵检测系统最常用的指标是漏报率和误报率。漏报率是指攻击事件没有被入侵检测系统检测出的概率。误报率则是指入侵检测系统将正常事件识别为攻击事件并对此行为报警的次数比例。

模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，来发现违背安全策略的入侵行为。基于这样的假设，一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进行判断，检测准确率和效率也相当高。但是，该技术需要不断地升级模式库，以对付不断出现的攻击手法，并且不能检测未知攻击。

模式匹配IDS存在的问题：1.一个基于模式匹配的IDS不能智能地判断看似不同字符串或命令串的真实含义和最终效果。在模式匹配系统中，每一个这样的变化都要求攻击特征数据库增加一个特征记录。这种技术运算规则的内在缺陷使得所谓的庞大特征库实际上是徒劳的，最后的结果往往是付出更高的计算负载，而且会导致更多的丢包率，也就产生遗漏更多攻击的可能，黑客们往往利用这种缺陷进行攻击。2.基于模式匹配技术的IDS的根本问题在于它把数据包作为一系列随机变换的字节流，它假设数据包的结构不可知。模式匹配软件最初就是为分析数据影像和音频信息而开发的，但很明显，分析数据影像和分析网络通信协议是截然不同的。3.持续该运算法则所需的计算量极其巨大。对于满负载的100Mbps以太网，需要的计算量：攻击特征字节数×数据包字节数×每秒的数据包数×数据库的攻击特征数。假设一个攻击特征有20字节，平均数据包大小为300字节，每秒30000个数据包，数据库有2000个攻击特征，我们每秒就需要有360000000000字节的计算量，计算速率远远超过当今技术允许的范围，折中的方法就是在匹配过程中能够进行不必要字符匹配的跳跃。

由此可见，简单模式匹配的特征检测方法所带来的高漏报率和高误报率是不可避免的。

（二）协议分析技术

1. 协议分析的基本思想

协议分析技术包括协议解码、命令解析等技术，协议分析的方法利用RFC (Request for Comments) 来定义攻击的特征，寻找违背协议定义规则的数据包。协议分析需要对数据包根据其所属协议的类型，将其解码后再分析。简单地说，就是让系统能够读懂协议，知道在数据包的什么位置能够得到什么内容，并且判断出这些内容的真实含义。

(1)协议解码：协议解码的过程，就是数据包从协议栈由底向上升，同时去掉各层附加的报文首部的过程。协议解码带来了效率上的提高，因为系统沿着协议栈向上分析，可以使用当前层已知的协议信息，来排除本层和上层的不属于此协议结构的其他类型的攻击。

(2)命令解析：URL串第一个字节的位置被提交给解析器。解析器是一个命令解释程序，入侵检测引擎包括了多种不同的命令语法解析器，因此，它能对不同的高层协议—Telnet, FTP, HTTP, SMTP, SNMP, DNS等的用户命令进行详细的分析。命令解析器具有读取攻击串及所有可能的变形，发掘其本质含义的能力。解析器将“/./phf"和“/phf”，或者用其他“/.”所做的变换视为同一个攻击，也就是“/phf”攻击。这样，在攻击特征库中只需要一个特征，就能检测这一攻击所有可能的变形，系统只需要一个较小的特征库就能检测较大范围的攻击。

2. 协议分析的过程

协议分析能够检测出违反协议规范的入侵行为，协议分析方法把各个协议的攻击特征分类，然后把捕获的一条数据报文与各个协议的攻击特征相比较，如果匹配，则证明此报文具有入侵行为特征，执行相应的结果处理。各个协议的攻击特征的逻辑结构用树来表示，通常叫做协议树。如图1所示。

在各个叶子结点存放针对结点中协议的入侵行为的特征。比如，在ICMP结点中存放所有针对ICMP攻击的所有攻击特征，同样HTTP, FTP等叶子结点也存放针对它们各自协议的攻击特征。

协议分析方法检测一条数据报文的过程如下： (1) 数据报文解析数据报文的结构是网络协议的层次结构，解析是对该条数据报文进行处理的过程。数据报文解析按照网络协议的层次结构，依次分解出各层协议的首部，然后确定其上一层协议，直到解析到应用层协议为止。这样每解析出一条协议，就相当于在遍历协议树上找到一个相应的分支。解析到应用层协议，也就遍历到协议树的叶子结点。 (2) 报文匹配叶子结点所定义的针对该种协议的入侵特征库，一个数据报文前面通常是协议的首部，而后面才是数据字段。所以最后入侵检测的方法是拿数据字段的相应部分来匹配叶子结点所描述的入侵特征。

（三）基于简单协议分析检测设计

网络通信的核心协议就是TCP协议和IP协议，由于它们的这种格式定义只与协议相关，与网络的结构、类型并无关系，所以协议树分析具有很强的通用性。本文协议树分析就以TCP/IP为基础的以太网为例进行描述。根据以太网的帧结构的定义，在以太帧的第13字节处包含了两个字节的第三层协议标识，0800表示为IP协议，0806为ARP协议，8138为NOVELL协议等。在IP数据包的格式定义中，第10个字节为第四层协议标识，例如：TCP为06, UDP为11, ICMP为01等。而TCP数据包的第3、第4个字节为应用层协议标识 (端口号) 。如：80为HTML协议，21为FTP协议，23为TELNET协议等。根据以上特点，可以把简单协议分析用一棵树来表示，该协议树的结构如下面的图2所示。

简单协议分析步骤如下：1.读取以太帧的第13字节处的2字节协议标识，根据RFC所规定协议规范可以判断这个网络数据包是否为IP包。2.读取IP数据包的第10个字节，可以判断第四层的协议，如果是06，则可以断定这个数据包是TCP数据包。3.读取TCP数据包的第3、第4这两个字节如果为80，则该数据包是一个HTTP协议的数据包，如果是21的话，则是一个FTP协议的数据包。4.其它协议类型的分析可以依此类推而得到。

由此可以看出，简单协议分析的分析过程就是一个从根到某个节点或叶子的路径，而每个叶子、节点就是某一种攻击类型的分析机。在每个分析机的数据结构中包含以下信息：协议名称、协议代号以及对应的攻击检测函数。协议名称是该协议唯一的标识，协议代号是为了提高分析速度用的编号。为了提高检测的准确率，可以在协议树中加入自定义的协议节点，以此来细化分析。

（四）简单协议分析应用

以下是基于简单协议分析的入侵检测系统所捕获的数据包(如图3所示)及检测引擎对数据包的处理过程：

1. 跳过前面12个字节，读取13字节处的2字节协议标识：

0800。根据协议规定可以判断该网络数据包是IP包。

2. IP协议规定以太包的第24字节处有一个1字节的第四层协议标识。

因此系统跳过的15到24字节而直接读取第四层协议标识：06，由此可以得知该数据包是一个TCP数据包。

3. TCP协议在第35字节处有一个2字节的应用层协议标识 (端口号) 。

于是系统可以跳过第25到34字节而直接读取第35字节的端口号：00 50 (转化为十进制即为80) 。由此又可以判断出该数据包是根据HTTP协议传送的数据包。

4. HTTP协议规定第55字节是URL的开始处，我们要检测攻击特征“GET/cgi-bin/.

/phf”。因此只要详实地检测这个URL，就能达到检测入侵攻击的目的。这个URL比原来的数据包长度缩减了很多，而起到的作用则是一样的。由此可见，利用协议分析可以大大减小模式匹配的计算量，提高匹配的精确度，减少误报率。

每种协议数据包的分析过程都由相关的攻击分析程序模块 (函数) —协议分析机来完成。在协议分析机中，采用模式匹配的算法来分析攻击。协议分析机的实现流程如图4所示。

从上面的流程图中可以看出，协议树分析模块的扩张性很好，根据需要可以增加其它协议类型的协议分析机。

（五）结束语

从以上的入侵分析过程来看，简单协议分析检测方法可以根据协议信息精确定位检测域，利用协议分析方法，有针对性地使用详细具体的检测手段，使得攻击的分析过程简单、直观而且使程序具有层次性，可读性强。从而提高了检测的全面性、准确性和效率。针对不同的异常和攻击，可以灵活地定制不同的处理函数来加强检测能力，识别变体攻击等较难检测的攻击;协议分析方法还可用于其它的网络应用系统中，如协议分析器、网络协议栈的开发等。

此外，使用简单协议分析检测方法虽然可以有效准确地检测大量异常和攻击，但是仍有很多复杂攻击不能凭借单一的数据包来检测，需要联合多个数据包中的信息，根据协议执行过程进行识别，并将一个会话的所有流量作为一个整体来考虑，通过研究状态协议分析检测方法，此方法是充分利用了协议运行信息来检测协议相关的异常和多步骤攻击、分布式攻击等复杂攻击，从而提高入侵检测系统能够识别更复杂的攻击。同时，我们也可以融合传统特征模式匹配技术的优点和协议分析技术，为用户提供更加完善、优秀的入侵检测与防护系统。

摘要：在入侵检测系统中, 模式匹配技术是常用的入侵检测分析方法。网络协议分析是网络入侵检测中的一种关键技术, 文章对网络层和传输层协议进行分析, 最后给出一个例子来说明协议分析的实现过程。

关键词：入侵检测,模式匹配,协议分析

参考文献

[1]Ilgun K, Kemmerer R A, Porras P A.State transition analysis:a rule-based intrusion detection approach[J].Software Engineering IEEE Transactions, 1995, 21 (3) :181-199.

[2]唐屹.CIDF框架上的入侵检测规则扩充[J].计算机应用, 2002, 22 (11) :43-46.

[3]唐正军.网络人侵检测系统的设计与实现[M].北京:电子工业出版社, 2002.

[4]戴英侠, 连一峰, 王航.系统安全与人侵检测[M].北京清华大学出版社, 2002.

网络协议分析技术 篇5

摘 要：随着我国信息科学技术的快速发展，各种网络通信设备得到了大范围的推广和使用。如果某些通信协议存在安全隐患，很可能在网络应用中被其他恶意用户攻击。安全通信协议在信息传输过程中可以实现保密功能，并且为通信双方确认身份提供了便利。因此，在网络应用中保障通信协议安全十分关键。本文以密码技术为基础对网络安全通信协议进行了研究和探讨。

关键词：密码技术；网络安全；通信协议

人们将日常生活中容易理解的内容通过一定的转换或者变化，让这些内容变为不能通过常规思维理解的信息，这就是密码技术。密码技术从本质来看属于数学应用，其应用过程可以分为加密、传递和解密三步[1]。为了便于执行通信过程中的加密和解密操作，进而保障网络通信安全，人们制定了安全通信协议，该协议规定了通信双方执行各项操作的顺序与规范。安全通信协议的参与方在两个或以上，参与者在执行各步操作过程中应该按照规定依此完成，不可跳过和漏项。安全通信协议在信息传输过程中可以实现保密功能，并且为通信双方确认身份提供了便利。安全协议可以在满足网络安全的基础上，减少网络通信中影响运行效率的各种因素。本文以密码技术为基础对网络安全通信协议进行了研究和探讨。密码技术在网络通信协议中的应用

网络通信系统中可以使用密码技术对传输的信息进行加密，并且设置必要的身份鉴别，同时也可以运用授权和控制访问存取的方式保障通信安全。网络通信中的密码技术主要是对数据进行加密，在信息的传输、存储方面应用较多。从网络通信数据加密的方式来看，常见的有节点加密、链路加密等[2]。这些加密方法在应用过程中各有特点，在传输密级程度较高的信息过程中，应该综合运用多种加密方式。在实际运用过程中应该结合通信安全的需求，考虑加密技术是否会增加网络运行过程中的负荷等。由于在不同的情况下每一个通信实体具有的网络结构存在很大差异，因此实际应用过程中应该根据不同的网络结构设置安全通信协议。目前常用的安全通信协议有密钥协商、身份认证和加密等[3]。

在网络通信安全防护阶段可以综合运用信息加密、身份验证和鉴别等多种密码保护技术，以此保障网络通信安全。管理人员可以运用密码技术限制非授权用户进入系统，可综合运用身份识别、口令机制等达到目的。如果入侵者进入系统的方式比较特殊，可以运用访问控制和验证等方式达到保密信息的目的。如果入侵者能够通过特殊的方式获取保密信号，管理者应该根据实际情况对信息进行不同程度的加密。

企业级别网络可以分为商务服务网、办公网和内部信息网三部分，每一个子网对信息的安全需求不同，应该结合实际使用不同的密码技术，在降低投入成本的同时满足整体安全需求。商务服务网可以使用控制细粒度访问的方式，对用户和服务器等进行身份验证。企业内部信息网不仅需要防止非法入侵以及外部用户的非法访问，也需要对内部用户进行管理，适当控制内部用户的对外访问。办公网是企业网络的核心，禁止信息从网络向外部流动，并且在用户和服务器之间设置安全通道，在安全通道中设置身份认证等，避免外部用户进入办公网络中。基于密码技术的网络安全通信协议对策

在深入分析企业级网络通信协议的安全需求后，我们可以充分结合密码技术以及现有的设备和技术，在网络系统中保障安全保密技术和保密模式的一致性，将密码、秘钥等集中起来进行统一管理，密码的处理使用专用的硬件，以此保障企业级网络系统的安全。常用的网络通信安全协议对策有：

⑴将VPN设备接入内网的路由器节点中，构建一个VPN的专用安全通道，对VPN通道中的信息进行认证和加密，以IPSEC作为参考。虚拟专用网络（VPN）是信息网络中的一项新技术，在企业网络中设置独立的VPN设备，可以在不提高运营成本的前提下保障各种信息数据的交换安全，运用这种方式也可以避免在WAN中投入过多的成本，并且能够充分利用各种信息资源。VPN的专用安全通道可以对各种数据进行封装传输，并且各种信息均经过密钥处理，可以在公共网络上安全地传输和通信。

⑵在网络的重要服务器配置或者用户终端设置密码机，将端端加密和节点加密等密码技术应用于特殊系统中，在系统标准应用方面提供加密或者身份认证等服务。在通信网络中建立密码逻辑管理中心，对用户密码机、专用密钥等进行分配与管理，以此更好地管理各种网络安全设备或者密钥等。

⑶将安全授权、设备控制应用于企业网络各子网的重要节点上，实现接入口的身份认证和用户授权，制定并合理配置各种细粒度安全策略，让加密和鉴别等为网络通信细粒度访问控制把关。在内外信息网络中设置网络防火墙，有效隔离企业网络中的业务子网络，对网络中的出入路由器进行控制，较粗粒度地进行进出数据控制，确保数据传输和通信过程中的保密性，在不同层次的安全访问控制过程中使用较粗粒度控制。结语

在计算机信息网络应用范围不断扩展的同时，网络通信安全问题也变得更为严峻。因此，在网络中综合利用密码技术以及各种安全通信技术，能够避免网络通信信息受到侵害，保障信息数据的传输安全，这对于促进信息化的发展具有十分重要的意义。

[参考文献]

网络协议分析技术 篇6

IPv4网络遭遇了越来越多的问题, 特别是网络安全漏洞以及地址空间危机。IPv6将32位IP地址增加到128位, 从而解决了IP地址的危机, 目前有很多工作已经过渡到IPv6以及网络安全的维护。IPv6和IPv4的兼容性是极其有限的, 当前对于IPv4向IPv6过渡机制的研究非常广泛深入, 主要包括:双协议栈技术和隧道技术两种方案。本文在阐述过渡机制原理的的基础上, 通过测试常用的IPv6过渡机制的性能, 并进行了对比分析。因此我们认为IPv6协议可以提供更高的安全性, 主要由于其128-bit的地址空间能够很好防御蠕虫病毒。

1 过渡机制

1.1 双协议栈技术

双协议栈是指在完全过渡到IPv6之前, 使一部分主机或路由器装有两个协议栈, 一个IPv4和一个IPv6。双协议栈主机或路由器既能够和IPv6的系统通信, 又能够和IPv4的系统通信。双协议栈主机在和IPv6主机通信时采用IPv6地址, 在和IPv4主机通信时采用IPv4地址。双协议栈主机能通过对域名系统DNS的查询知道目的地主机是采用哪一种地址。若DNS返回的是IPv4地址, 双协议栈的源主机就使用IPv4地址。但当DNS返回的是IPv6地址时, 源主机就使用IPv6地址。

1.2 隧道技术

向IPv6过渡的另一种方法是使用隧道技术。这种方法的要点就是在IPv6数据报要进入IPv4网络时由实现了双协议栈的路由器将IPv6数据报封装成为IPv4数据报, 使得整个IPv6数据报变成了IPv4数据报的数据部分。然后IPv6数据报就在IPv4网络的隧道中传输。当IPv4数据报离开IPv4网络中的隧道时, 再由实现了双协议栈的路由器将其数据部分, 即原来的IPv6数据报交给IPv6协议栈。

1.2.1 6to4隧道

6to4 (RFC3056) 机制被定义在站点之间进行IPv6通讯, 每个站点必须至少有一台“6to4”路由器作为出入口, 使用特需的地址格式, 地址前缀为 (2002:开头) , 并将路由器的IPv4地址夹入IPv6地址中, 因此位于不同6to4 site内的主机彼此通讯时即可自动抽出IPv4地址在路由器之间建立Tunnel。

透过6to4 router, 不同6to4 site内的主机可互相通讯, 当需与一般IPv6主机通讯时, 则必须过6to4 relay router。6to4 relay router必须同时具备6to4及IPv6接口, 同时提供这些接口的封包转送。

6to4需要一个全球合法的IPv4地址, 所以对解决IPv4地址短缺没有太大帮助。但它不需要申请IPv6地址, 通过它可使站点迅速升级到IPv6。

1.2.2 ISATAP隧道

ISATAP和6to4都是目前比较流行的自动建立隧道的过渡技术, 都可以连接被IPv4隔绝的IPv6孤岛, 都是通过将IPv4地址嵌入到IPv6地址当中, 并将IPv6封包封装在IPv4中传送, 在主机相互通信中抽出IPv4地址建立tunnel。但具体实现的流程, IPv6地址和应用范围不尽相同。

ISATAP (draft-ietf-ngtrans-isatap-23.txt) 的全名是Intra-Site Automatic Tunnel Addressing Protocol, 它将IPv4地址夹入IPv6地址中, 当两台ISATAP主机通讯时, 可自动抽取出IPv4地址建立Tunnel即可通讯, 且并不需透过其它特殊网络设备, 只要彼此间IPv4网络通畅即可。

双栈主机支持isatap后会自动在该隧道接口上生成本地链路的前缀 (fe80::开头) 和64位的接口标识符::0:5EFE:X.X.X.X (这里的X.X.X.X是双栈主机的IPv4单播地址) , 这样就可以和同一子网内其他isatap客户机进行ipv6通讯了;如果需要和其他网络的isatap客户机或者IPv6网络通信, 必须通过ISATAP路由器拿到全球单播地址前缀 (2001:, 2002:, 3ffe:开头) , 通过路由器与其他IPv6主机和网络通信。

ISATAP过渡技术不要求隧道端节点必须具有全球惟一的IPv4地址, 只要双栈主机具有IPv4单播地址即可, 不管该地址公有的还是私有的都可以。

2 性能测试设计与分析

本文主要进行了吞吐量和往返时延的测试:在双协议栈过渡机制下, 对比分析IPv6与IPv4网络的吞吐量和往返时延。ISATAP和6to4两种隧道过渡机制的性能指标, 并进行对比分析。

2.1 测试结构的设计

本文主要测试分析了双协议栈、ISATAP和6to4三种过渡机制下网络的吞吐量和往返时延, 其三种过渡机制的测试结构如图1所示。

在图1中, PC1和PC2分别为测试的发送端和接收端, 装有Windows操作系统。由于条件限制, 路由器由装有Windows操作系统的高性能PC模拟。测试采用主动测试, 即由PC1经过网络向PC2发送特定强度的数据包进行测试。

2.2 测试分析

2.2.1 吞吐量

本实验中采用了TCP协议测试吞吐量, 测试数据包有效载荷大小从64字节到1408字节, 每组测试取10次测试的平均值。图2为双协议栈机制下IPv6网络吞吐量及与IPv4网络吞吐量的对比。图3为双协议栈机制下、ISATAP隧道机制下和6to4隧道机制下的IPv6网络吞吐量对比。

由图2可以看出, 在双协议栈机制下, TCP/IPv6吞吐量随着数据包有效载荷大小的增大而增大, 且比相同条件下测得的TCP/IPv4吞吐量大。由图3可以看出, 在相同测试条件下, 6to4隧道机制下的吞吐量和ISATAP隧道机制下的吞吐量相差不大, 但双协议栈机制下的吞吐量要比6to4和ISATAP隧道机制下的吞吐量大。

2.2.2 往返时延

本实验中IPv6网络、IPv4网络的双向时延测试分别采用ICMPv6和ICMP协议, 测试数据包大小为1024字节且每组测试结果取100次测试的平均值。图4为双协议栈机制下测试得到的50组IPv6网络、IPv4网络的往返延迟结果。图5为双协议栈机制下、ISATAP隧道机制下和6to4隧道机制下的IPv6网络双向时延对比。

由图4可以看出, 在双协议栈机制下, 在相同的网络负载及数据包大小的条件下, IPv6网络往返时延平均比IPv4网络往返时延小。由图5可以看出, 在相同测试条件下, 6to4隧道机制下的往返延迟和ISATAP隧道机制下的往返延迟相差不大, 但双协议栈机制下的往返延迟要比6to4和ISATAP隧道机制下的往返延迟小。

需要指出的是, 以上实验结果都是在小型Ethernet局域网环境下测试得到的, 具有一定的局限性和特殊性, 还应当在广域网中进行实验, 开展近一步的研究。

3 结论

本文在分析IPv6过渡机制原理的基础上, 采用主动测量方法对过渡机制下IPv6网络性能进行了测试研究, 并编写了测试程序, 对双协议栈、6to4隧道、ISATAP隧道三种过渡机制下的IPv6网络性能进行了实验测试。结果表明, 双协议栈机制下IPv6网络的性能优于双协议栈机制下IPv4网络的性能;双协议栈机制下IPv6网络的性能优于6to4隧道和ISATAP隧道机制下IPv6网络的性能。

参考文献

[1]Grosse, E.and Lakshman, Y. (2003) .Network processors applied to IPv4/IPv6 transition, IEEE Network, 17 (4) , pp.35-39.

[2]Ali, A. (2012) .Comparison study between IPv4&IPv6, International Journal of Computer Science Issues (IJCSI) , 9 (3) , pp.314-317

[3]D.P.Pezaros, D.Hutchison, F.J.Garcia R.D.Gardner, and J.S.Sventek, “Service Quality Measurementsfor IPv6 Inter-networks, ”in12th IEEE IWQo S, Jun.2004.

[4]张池军, 赵洪波.基于IPv4网络的IPv6过渡解决方案[J]长春工业大学学报 (自然科学版) , 2006, (03) .

[5]刘丽君.IPv4到IPv6的过渡技术介绍[J]科技促进发展, 2008, (11) .

[6]张乐, 夏昕, 陈萌.IPv4向IPv6过渡策略研究综述[J]科技广场, 2008, (12) .

[7]K.Cho, M.Luckie, and B.Huffaker, “Identifying IPv6 Network Problems in the Dual-Stack World, ”in ACM Sig Comm Network Troubleshooting Workshop, Sep.2004.

[8]芮忠宁.基于校园网的IPv4向IPv6平滑过渡技术的研究与实现[D]南京理工大学, 2007.

网络安全协议IPSec分析 篇7

1 IPSec协议体系结构

IPsec被设计成为能够为IPv4和IPv6提供可交互操作的高质量的基于IP层的加密的安全。IPSec包括认证头协议(AH)、封装安全载荷协议(ESP)、密钥管理协议(IKE)[2]和一些认证及加密算法等,主要用了8个RFC文档来定义[3]。其体系结构图如图1。

AH协议用来增加IP数据报的安全性。AH协议提供无连接的完整性、抗重放保护服务和数据源认证,不提供任何保密性服务。

ESP协议用于提高IP协议的安全性。ESP协议可为IP提供数据源验证、抗重放、数据完整性以及机密性等安全服务。

AH和ESP协议都支持两种使用模式:传输模式,隧道模式。传输模式只用于两台主机之间的安全通信,协议为高层提供基本的保护;只要IPSec双方有一方是安全网关或路由器,就必须使用隧道模式,协议使IP包通过隧道传输,隧道模式的特点是数据包最终目的地不是安全终点。

SA(Security Association,安全关联)是两个通信实体之间经协商建立起来的一种约定,包括保护数据包安全的安全协议(AH协议或者ESP协议)、转码方式、密钥及密钥的有效存在时间等。SA是构成IPSec的基础。

IKE是一种混合型协议,负责密钥的产生、分发与交换,它由SA和密钥管理协议(Internet Security Association Key Managemen Protocol,简称ISAKMP)以及两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上,沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术,还定义了它自己的两种密钥交换方式:主要模式和积极模式。

2 AH安全性分析

AH由RFC2402定义,对IP层的数据使用密码学中的验证算法,AH所提供的安全保障完全依赖于它采用的认证算法,因此认证算法是实现IP安全的重要因素。这个验证算法是密码学中MAC(Message Authentication Codes)报文验证码算法,它将一段任意长度的报文和一个密钥作为输入,产生一个固定长度的称之为报文摘要的输出报文。常见的有MD5和DES。

AH在使用默认的算法(如MD5和DES)时不提供不可否认业务[4]。AH协议本身不提供业务流分析的安全保护,可能造成信息的泄露。IPSec机制抵抗拒绝服务攻击的机制不完善。

3 IKE协议分析及改进

3.1 IKE工作原理

IKE协议定义了密钥交换的两个阶段和Diffie-Hellman密钥交换密码组。第一阶段指两个ISAKMP实体建立一个安全、验证过的信道来进行通信。这被称为ISAKMP安全联盟(SA)。第一阶段通过“主模式”和“积极模式”(或“野蛮模式”)完成。“主模式”和“积极模式”只能在第一阶段中使用。主模式或积极模式中都允许四种不同的验证方法———数字签名,公共密钥加密的两种验证形式,或者共享密钥。

第二阶段指协商代表服务的安全联盟,这些服务可以是IPsec或任何其它需要密钥材料或者协商参数的服务。第二阶段通过一个“快速模式”来完成。

单个第一阶段协商可以用于多个第二阶段的协商。而单个第二阶段协商可以请求多个安全联盟。IKE第二阶段的安全性在很大程度上依赖于第一阶段密钥材料的安全性,因此文中仅就IKE第一阶段进行重点探讨。

3.2 IKE的消息交换

有两中基本方法可以用来建立经过验证密钥交换:主模式和积极模式。它们都通过短暂的Diffie-Hellman交换来产生经过验证的密钥材料。主模式必须要实现;积极模式最好也实现。

在主模式交换方式下,在发起者和响应者之间交换6条消息才可以建立IKE SA。前两个消息进行Cookie交换和协商策略,包括加密算法、散列算法及认证方法等;接着两个消息用于交换必要的辅助数据(如伪随机数Nonce)和Diffie_Hellman共享密钥;最后的两个消息认证身份信息和Diffie_Hellman交换。其内容由前4条消息建立的密码算法和密钥来保护。

积极模式是ISAKMP积极交换的实现,只用到主模式一半的消息。头两个消息协商策略,交换Diffie-Hellman公共值以及必要的辅助数据,还有身份。另外,第二个消息还要对响应者进行验证。第三个消息对发起者进行验证,并提供参与交换的证据。积极模式在安全联盟协商中有一定的局限性。当要利用IKE能协商大量属性的能力时,就需要使用主模式了。

以主模式共享密钥验证为例,探讨IKE的消息交换过程,如下:

其中HDR是每个IKE消息的ISAKMP通用头部。HDRj*表示对载荷加密。SAi和SAr分别表示协商的安全关联载荷。KE表示Diffie-Hellman的交换载荷。Ni和Nr是两者的随机数负载。IDii和IDir分别表示第一阶段发起者和响应者的身份负载。HASH_I和HASH_R分别表示发起者和响应者的认证散列。当第4步交换完成后,将产生最新的共享密阴SKEYID,它是后续所有密钥的建立基础。SKEYID=prf(预共享密钥,Ni|Nr)式中的prf为随机函数,通常是协商好的散列函数的一个HMAC版本。生成了SKEYID之后,可依次生成其余的密钥原料。

以及达成了用于保护通信的一致的策略。上面的值0,1,2由单个字节的值来代表。用于加密的密钥值根据具体的算法从SKEYID_e中衍生出来。式中g^xy是Diffie-Hellman的共享秘密;CKY_I,CKY_R分别是通信发起方和响应方的小甜饼。

前4条交换的消息都没有被认证,为了验证交换中的双方,最后两条消息通过发送HASH_I和HASH_R实现的。协议的发起者产生HASH_I,响应者产生HASH_R,其中:

经过6条消息的交换后发起者和响应者就分别建立了各自IKE SA,并在各自的IKE关联数据库IKE SADB中增加一项,它由〈CKY_I,CKY_R〉来标识。

3.3 IKE可能会遇到的攻击方式与改进方法

3.3.1 中间人攻击

中间人攻击是指通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。然后入侵者把这台计算机模拟一台或两台原始计算机,使“中间人”能够与原始计算机建立活动连接并允许其读取或篡改传递的信息,然而两个原始计算机用户却认为他们是在互相通信,因而这种攻击方式并不很容易被发现。中间人攻击是一种很强的攻击方式,又称为主动攻击。

一种改进方法是适当修改HASH_I和HASH_R能够提前查出攻击者存在,节省交换的步数。

3.3.2 Do S攻击

DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,DoS攻击就是利用合理的服务请求来占用过多的服务资源,致使服务超载,使计算机或网络无法提供正常的服务。DOS攻击可分为两类:第一类攻击者发送伪造的请求包,Cookie主要用来防止这种攻击者。第二类攻击者在把沉重的计算代价强加给接收者。

对于第二类攻击的一个防止方法是增加发起者的计算量,减少响应者的计算量。这样当发起者发起拒绝服务攻击的话,耗费目标主机CPU资源的同时,攻击者自己的CPU资源也会被耗尽。因此,起到主动防御的目的。

3.3.3 重放攻击

所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。重放攻击会迫使系统被迫处理大量不必要的操作。

一种抗重放攻击攻击方法,通过对IKE消息包头的分析发现消息ID字段未使用,将IKE消息包头中的消息ID字段用作计数器来防止重放,与此同时用滑动窗口机制来配合,使IKE交换能够有效地抵御重放攻击的威胁。

4 结束语

IPsec是个极其复杂的混合协议,为网络带来安全性的同时,给理解和实践也带来很大困难。本文描述了Ipsec的体系结构,对IPsec的重要组成部分IKE进行了详细的探讨,包括IKE的工作原理、消息交换过程,对IKE可能受到的攻击进行了分析,并给出了相应的改进方式。Ipsec本身也在不断的完善和发展。Ipsec还有很多值得深入研究的地方。

摘要：该文阐述了IPSec体系结构,分析了IPSec协议的安全性,指出了IKE常遇到的攻击方式,总结了几个改进的方法。

关键词：IPSec,密钥交换协议,安全性

参考文献

[1]Kent S,Atkinson R.RFC2401:Security Architecture for the Internet Protocol,1998-11.

[2]Harkins D,Carrel D.RFC2409:The Internet Key Exchange(IKE)[Z].1998-11.

[3]范明钰,王光卫.网络安全协议理论与技术[M].北京:清华大学出版社,2009.

网络协议分析技术 篇8

(一) 安全漏洞的定义和产生。

安全漏洞指的是在网络硬件、软件或协议中, 其系统安全策略在设计或应用时潜藏的安全隐患, 这些隐患可能导致网络系统在受到恶意攻击时发生问题, 导致网络系统瘫痪或重要数据丢失。任何一种新兴技术的应用都可能产生网络安全漏洞, 除此之外, 网络系统中的应用软件结构过于复杂也可能导致安全漏洞的数量增多。

(二) 安全漏洞的具体分类。

现阶段具有一定破坏性的网络漏洞共有120个大类, 在大类中, 又可进一步划分出835个小类, 网络漏洞可根据划分方式的不同出现多种类型, 可以按产生阶段分为设计类和实现类;也可以按危害程度分为功能类和安全类;还可以按照宿主类别分为操作系统类、软件产品应用系统类以及协议类, 现阶段普遍使用第三种方法对网络安全漏洞进行分类。

(三) 以SQL注入为例对安全漏洞具体分析。

SQL注入是现阶段一种比较流行的网站侵入模式, 具有操作简单、易上手等特点, 因此, 比较容易在网络系统中发生。在具体操作时将特定的代码加独到目标字符串中, 将其作为原有的数据参数传输到服务器中, 使服务器产生不当处理, 攻击者可以借此避开网络数据库中的权限控制系统, 轻松获得网络系统中的所有数据[1]。

二、Fuzzing测试技术及其具体应用

(一) Fuzzing概述。

Fuzzing又被业界普遍成为Fuzz Testing, 运用网络安全漏洞的检查程序, 将指定数据传输给相应组件, 或修复指定的残缺格式, 可以通过外部传输的有关数据对网络系统内部的一些行为进行控制, 对安全漏洞数量较多的网络系统测试效果尤其明显, 是目前比较先进的自动化软件测试技术。

(二) Fuzzing测试思想与工作流程。

Fuzzing测试的主要目的是用于检查计算机软件的应用性, 利用用户身份, 对计算机的大多数相关程序进行无规律的尝试, 以制造半有效数据, 之后将这些数据输入到需要进行测试的程序中, 根据该程序对其处理的过程, 分析系统中是否存在安全漏洞。而Fuzzing的工作流程如下:首先, 确定需要进行测试的程序;其次, 谨慎挑选进行测试的交互点;第三, 编写Fuzzing相关测试数据;第四, 将得到的有效数据传输到交互点中;第五, 对测试程序的状态进行实时监测;最后, 找出系统安全漏洞。

(三) Fuzzing测试工具。

Fuzzing的测试工具叫Fuzzer, 由数据生成、程序运用、目标监测三部分组成, 从程序设计方向可分为Record and Replay Type Fuzzer和Model-Based Type Fuzzer两种类型;而从数据产生方向上可分为Mutationbased Fuzzer和Generation-based Fuzzer两类。

三、以Fuzzing为基础的网络协议安全测试大体方案

(一) 网络协议概述。

网络协议是一种存在于两个或多个通信实体间的网络行为规范, 规定了两者或多者之间的相关责任和义务, 对网络系统交互做出保障, 一份网络协议的制定需要对协议规范、协议编址和寻址以及协议数据包进行重点把握。

(二) 网络协议Fuzzer设计与实现。

Fuzzing测试的主要针对对象为FTP、HTTP以及SMTP, 而网络协议Fuzzer的设计需要满足以下四种功能:其一, 在测试时可以提供出本地及远程两种Fuzzing测试方案;其二, 可以构建出若干种Fuzzing模式以供客户选择;其三, 对系统进行测试时可实时监控;其四, 满足多种协议需求。

(三) 网络协议安全性测试方案。

该方案需要安全漏洞测试、监控以及评析等相关工具, 在测试时, 首先建立与测试程序的联系, 之后编制Fuzzing数据, 然后将数据传输至指定目标, 并对测试程序进行实时监测, 收集有异常现象的信息, 之后针对异常对数据进行合理调整, 最后对安全漏洞做出评估, 完成整个网络安全协议的安全性测试过程。

结论

本文基于模糊测试技术, 对网络协议的安全性进行了分析, 论述了该技术的具体应用, 为网络协议未来的发展提供了依据。

摘要：现阶段的网络协议普遍存在不同程度的安全漏洞, 本文通过对安全漏洞的简述, 引出Fuzzing测试技术, 并分析该技术的具体应用, 最后给出以Fuzzing为基础的网络协议安全测试的大体方案, 以期网络协议可以更好的为信息化时代服务。

关键词：模糊测试技术,网络协议,安全性,测试

参考文献

网络协议分析技术 篇9

1 安全漏洞的概述

1.1 安全漏洞的定义和产生

安全漏洞指的是在网络硬件、软件或协议中, 其系统安全策略在设计或应用时潜藏的安全隐患, 这些隐患可能导致网络系统在受到恶意攻击时发生问题, 导致网络系统瘫痪或重要数据丢失。任何一种新兴技术的应用都可能产生网络安全漏洞, 除此之外, 网络系统中的应用软件结构过于复杂也可能导致安全漏洞的数量增多。安全漏洞主要产生于以下两种情况:非法改变程序的执行地址以及读取或输入数据的地址不合法。

1.2 安全漏洞的具体分类

现阶段具有一定破坏性的网络漏洞共有120个大类, 在大类中, 又可进一步划分出835个小类, 网络漏洞可根据划分方式的不同出现多种类型, 可以按产生阶段分为设计类和实现类;也可以按危害程度分为功能类和安全类;还可以按照宿主类别分为操作系统类、软件产品应用系统类以及协议类, 现阶段普遍使用第三种方法对网络安全漏洞进行分类。

1.3 以SQL注入为例对安全漏洞具体分析

SQL注入是现阶段一种比较流行的网站侵入模式, 具有操作简单、易上手等特点, 因此, 比较容易在网络系统中发生。在具体操作时将特定的代码加独到目标字符串中, 将其作为原有的数据参数传输到服务器中, 使服务器产生不当处理, 攻击者可以借此避开网络数据库中的权限控制系统, 轻松获得网络系统中的所有数据[1]。

2 Fuzzing测试技术及其具体应用

2.1 Fuzzing概述

Fuzzing又被业界普遍成为Fuzz Testing, 运用网络安全漏洞的检查程序, 将指定数据传输给相应组件, 或修复指定的残缺格式, 可以通过外部传输的有关数据对网络系统内部的一些行为进行控制, 对安全漏洞数量较多的网络系统测试效果尤其明显, 是目前比较先进的自动化软件测试技术。

2.2 Fuzzing测试思想与工作流程

Fuzzing测试的主要目的是用于检查计算机软件的应用性, 利用用户身份, 对计算机的大多数相关程序进行无规律的尝试, 以制造半有效数据, 之后将这些数据输入到需要进行测试的程序中, 根据该程序对其处理的过程, 分析系统中是否存在安全漏洞。而Fuzzing的工作流程如下:确定需要进行测试的程序;谨慎挑选进行测试的交互点;编写Fuzzing相关测试数据;第四, 将得到的有效数据传输到交互点中;第五, 对测试程序的状态进行实时监测;最后, 找出系统安全漏洞。

2.3 Fuzzing测试工具

Fuzzing的测试工具叫Fuzzer, 由数据生成、程序运用、目标监测三部分组成, 从程序设计方向可分为RecordandReplayType Fuzzer和Model-Based Type Fuzzer两种类型;而从数据产生方向上可分为Mutation-based Fuzzer和Generation-based Fuzzer两类[2]。

3 以Fuzzing为基础的网络协议安全测试大体方案

3.1 网络协议概述

网络协议是一种存在于两个或多个通信实体间的网络行为规范, 规定了两者或多者之间的相关责任和义务, 对网络系统交互做出保障, 一份网络协议的制定需要对协议规范、协议编址和寻址以及协议数据包进行重点把握。

3.2 网络协议Fuzzer设计与实现

Fuzzing测试的主要针对对象为FTP、HTTP以及SMTP, 而网络协议Fuzzer的设计需要满足以下四种功能:在测试时可以提供出本地及远程两种Fuzzing测试方案;可以构建出若干种Fuzzing模式以供客户选择;对系统进行测试时可实时监控;其四, 满足多种协议需求[3]。

3.3 网络协议安全性测试方案

该方案需要安全漏洞测试、监控以及评析等相关工具, 在测试时, 首先建立与测试程序的联系, 之后编制Fuzzing数据, 然后将数据传输至指定目标, 并对测试程序进行实时监测, 收集有异常现象的信息, 之后针对异常对数据进行合理调整, 最后对安全漏洞做出评估, 完成整个网络安全协议的安全性测试过程。

摘要：随着全球化进程的日益加快与互联网技术的普及, 人类的对信息的存储方式也由纸张书写转变为数据信息存储, 而信息数据存储之所以可以正常运转, 全都有赖于网络协议, 但是现阶段的网络协议普遍存在不同程度的安全漏洞, 文章通过对安全漏洞的简述, 引出Fuzzing测试技术, 并分析该技术的具体应用, 最后给出以Fuzzing为基础的网络协议安全测试的大体方案, 以期网络协议可以更好地为信息化时代服务。

关键词：模糊测试技术,网络协议,安全性,测试

参考文献

[1]孙哲, 刘大光, 武学礼, 文伟平.基于模糊测试的网络协议自动化漏洞挖掘工具设计与实现[J].信息网络安全, 2012, 8 (26) :179-180

网络协议分析技术 篇10

扰乱无线网络正常运行的常用方法是大功率压制干扰,这种方法的缺点是能耗高和被检测到的概率大。无线网络一般都采用标准的通信协议,攻击者能够通过各种手段获得链路层和网络层的协议格式。如果充分利用有关协议信息,则有可能用较低的能量和较低的被检测到的概率,达到与压制干扰类似甚至更好的干扰效果,实现对网络的智能干扰。

IEEE802.11MAC协议是在无线网络领域广泛采用的基于竞争模式的链路层协议。这个协议也在Ad Hoc网络中大量采纳。因为协议的时序、大小、控制和数据包的序列简单,而且公开。因此可以根据协议的信息,提高干扰效率以保证其较长的工作时间和较低的被检测概率,使得攻击能够更精细,而且更加难于防护。

1 相关领域的研究情况

在拒绝服务(DOS)攻击里,对于攻击者来说,数据链路层的干扰比无线层更有吸引力。通过利用数据链路层协议的语义信息制定干扰策略进行干扰,比盲目地仅仅干扰无线电信号能够获得更高的效率。

文献[1]提出了干扰准则,包括:能量有效、被检测到的概率低、隐身、强的DOS,必要时完全拒绝服务、执行的操作与标准协议一致或接近、对于纠错算法有效、对于物理层技术,如:FHSS、DSSS、CDMA有效。文献[1]详细分析了传感器网络在网络协议栈的各个层次可能受到的攻击方法和主要防御手段。

文献[3]提出了4种通用的干扰机模型:① 连续干扰;② 欺骗干扰;③ 随机干扰;④ 反应式干扰。根据作者描述,连续式干扰机、欺骗式干扰机、反应式干扰机是有效的干扰机,能够使数据包的发送率下降到0,或者接近于0。然而这种干扰机也是耗费能量的,意味着在网络中会很快将能量耗尽。在能量耗尽以后,网络又能够正常工作了。

2 IEEE802.11MAC描述

无线局域网IEEE802.11MAC协议的分布式协调(DCF)工作模式采用带冲突避免的载波侦听多路访问(CSMA/CA)协议,它可以作为基于竞争MAC协议的代表。

DCF机制被广泛应用于移动自组网,是基于CSMA/CA机制的协议,采用单一共享信道的模式,通过RTS-〉CTS-〉DATA-〉ACK的握手机制完成分布式数据业务的接入过程,并基本解决了隐藏终端和暴露终端的问题。

为减少节点间使用共享无线信道的碰撞概率,预留机制要求源节点和目标节点在发送数据帧之前交换简短的控制帧,即发送请求帧RTS和清除帧CTS。从RTS(或CTS)开始到ACK帧结束的这段时间,信道将一直被这次数据交换过程占用。RTS帧和CTS帧包含有关于这段时间长度的信息。每个站点维护一个定时器,记录网络分配向量NAV,指示信道被占用的剩余时间。一旦收到RTS或CTS帧,所有节点都必须更新它们的NAV值。只有在NAV减至0,节点才能发送信息。通过这种方式,RTS帧和CTS帧尾节点的数据传输预留了无线信道。

IEEE802.11定义了4种帧间间隔(IFSS):SIFS、PIFS、DIFS和EIFS。SIFS是4种帧间间隔中最短的,它用来在四握手过程中发送CTS、DATA和ACK分组,提供最高的接入优先级。在DCF机制下,当信道空闲时,一个节点在传输任何一个分组前都要等待DIFS时长的延迟。RTS和CTS字段都包含DURATION域,该域规定了开始占用信道的持续时间,以微秒为单位表示,由传输数据的时间或管理帧的时间、传输CTS帧的时间加上ACK帧时间和SIFS时间组成,如图1所示。

根据CSMA/CA协议,当一个节点要传输一个分组时,首先侦听信道状态。如果信道空闲,而且经过一个帧间间隔DIFS后,信道仍然空闲,则站点立即开始发送信息。如果信道忙,则站点一直侦听信道直到信道的空闲时间超过DIFS。当信道最终空闲下来时,节点进一步使用二进制退避算法进入退避状态来避免发生碰撞。

3 基于MAC协议的智能干扰技术

3.1 技术途径分析

Ad Hoc网络的节点分布在一定的地域内,每个节点都有可能被包含在某一条路由里,参与通信联络。因此对Ad Hoc网络的智能干扰,应立足于作用到每一个网络节点,保持在尽可能长的时间内,尽可能多的节点无法申请到信道,同时干扰节点所需要的干扰能量和节点数量应尽可能小。

可以将智能干扰进一步分为智能阻塞干扰和欺骗干扰。在智能阻塞干扰方式,干扰节点在特定的时隙发射伪噪声信号,阻断网络传送的数据包;在欺骗干扰方式,干扰节点发送可以正常解调的数据流,正常节点在接收到该数据流后,能够理解其中的含义并作出相应的响应。

3.2 单个干扰节点攻击方式

3.2.1 伪造欺骗的RTS消息

干扰节点首先对周围的节点通信进行监听,收集各节点地址的信息。在信道空闲时,干扰节点发出欺骗的RTS信号,被呼叫的节点将回复CTS,在约定的时间段内,所有其他节点都不能占用信道,必须经过这段时间后再进行信道竞争;在参数的设置上在RTS的Duration域设置最大的时间等待间隔,则周围的节点在这段时间内都不能申请占用信道。

覆盖的区域如图2所示。干扰节点J向节点D发射伪造的RTS消息,节点D在接收到该消息后将回复CTS消息,回复的CTS消息能够同时被节点E和节点F接收到,于是这2个节点在消息规定的时间内不得使用信道。这样在这段时间内节点A、B、C、D、E、F共6个节点不能占用信道。

3.2.2 改造4种智能干扰方式的发射消息

对文献[1]的几种智能干扰方式进行修改,利用网络的特点,提高干扰效率。包括以下几种方式:① CTS扰乱干扰,干扰机等待任意的RTS包,一旦发现RTS,从RTS结束开始计数SIFS的一段时间,构造一段虚假的CTS控制包,信号到达相对于发射RTS节点为隐藏终端的节点,这些节点在接收到CTS干扰信号后,要按照CTS中Duration约定的时间,静默一段时间才能够竞争信道,扩展了干扰有效作用区域和有效时间;② ACK扰乱干扰,在DATA传送后,在扰乱ACK包时,发射RTS信号,对一个相邻的节点进行呼叫,使周围的节点不能申请信道,同时实现了对接收ACK包的干扰。相邻节点对RTS消息进行回复,使更远区域内的节点等待Duration域规定的时间,增强了干扰效果;③ DATA扰乱干扰。在接收到CTS后或接收到较长的数据时,能够判别发送的是数据包。发送RTS,干扰接收,同时使隐藏终端等待信道;④ DIFS等待干扰。干扰机在感知到媒质空闲DIFS时间后,发送一个短脉冲,扰乱RTS或CSMA/CA数据包。此处直接发送RTS消息,如果与其他节点的数据包碰撞,则形成干扰的效果;若没有发生碰撞,则形成RTS欺骗呼叫干扰的效果。

3.3 多节点分布式智能干扰方式

根据多个干扰节点能否协同工作分为2种情况:

① 多个干扰节点各自独立工作,相互间没有协同关系。在这种情况,每个干扰节点独立工作。若干个干扰节点均匀布撒在网络节点的活动区域内,每个干扰节点负责一个区域,多个节点同时干扰,实现对网络内主要节点的干扰破坏;

② 多个干扰节点之间具有协同关系,可以协同干扰。在一个网络内布设多个干扰节点,这些节点之间利用单独的隐蔽信道交换必要的信息,多个干扰节点协同干扰。

每个干扰节点首先对网络进行侦听,收集邻居节点的信息,获得局部的网络拓扑结构。然后与兄弟干扰机交换信息,综合得到更广阔的网络结构,根据侦听得到的网络拓扑结构和节点分布情况,分析网络的关键路径和关键节点。

在干扰时进行协同干扰,源节点与目的节点进行通信时,只对关键节点进行干扰,节省了干扰机的资源,同时源数据经过了多个节点转发,也耗费了每个正常节点的网络资源。

3.4 干扰效果的比较分析

不同干扰方式的干扰效果可以通过单个干扰节点能够平均干扰正常节点的数量和单次干扰的作用持续时间两个指标来衡量。单个干扰节点平均干扰数量指每个干扰节点在发射干扰的条件下,受影响不能申请信道的节点数量。单次干扰的作用持续时间定义为在单次干扰信号发出后,周围节点开始进行竞争信道活动需要的时间。

假设一个干扰节点辐射功率覆盖的区域内分布的网络通信节点平均数量为M;发送RTS欺骗消息,远方的节点回复CTS,使更远的节点不能竞争信道,设在干扰节点覆盖范围之外的节点数量为P;则采用智能阻塞干扰和欺骗干扰2种方式干扰节点数量和干扰作用的持续时间比较如表1所示。

J个干扰节点对网络进行分布式智能干扰,能够覆盖的节点数量约为M*J个,多点独立欺骗干扰覆盖的节点数量约为(M+P)*J个;每个节点的平均工作寿命为T0。采用协同干扰方式,只需要对关键节点的通信进行干扰,关键节点的数量为Q,每次干扰时只有干扰效果最佳的一个节点参加干扰,协同干扰的工作寿命为J*M*TO/Q,工作寿命大大延长。

4 结束语

本文采用的方法可以推广应用到其他的通信标准,包括有些军事标准,尽管采用了加密保护、纠错和时间分散编码,如果知道控制包的结构特征,那么就能够知道根据协议进行智能攻击必要的时序,从而能够进行智能攻击。

参考文献

[1]ACHARYA M,THUENTE D.Intelligent Jamming Attacks,Counterattacks and(Counter)2Attacks in802.11b Wireless Networks[C].USA:in Proceedings of the OPNETWORK-2005Conference,2005:1-12.

[2]YEE Wei-law,LODEWI J K.Energy Efficient Link Layer Jamming Attacks against Wireless Sensor Network MAC Protocols[C].USA:Proceedings of the3rd ACMworkshop on Security of Ad Hoc and Sensor Networks,2005:76-88.

[3]XU W,TRAPPE W,ZHANG Y,et al.The Feasibility of Launching and Detecting Jamming Attacks in Wireless Networks[C].USA:Proceedings of the6th ACMInternational Symposium on Mobile Ad Hoc Networking and Computing,2005:46-57.