可信的基于Linux的端口碰撞模型設(shè)計與實現(xiàn).pdf

1、互聯(lián)網(wǎng)技術(shù)已經(jīng)融入我們生活40多年了,用戶在享受互聯(lián)網(wǎng)帶來的便捷時,也承擔(dān)著遭受病毒、木馬、黑客入侵等惡意行為的威脅。真正意義上的安全系統(tǒng)是與外界完全隔絕的,而想要同時與外界隔絕并能夠使用因特網(wǎng)幾乎是不可能的,我們能做的就是采取一定的措施來保護系統(tǒng)。
　　防火墻就是一種常用的為了對抗網(wǎng)絡(luò)中攻擊和威脅的安全解決方案,它通過判斷網(wǎng)絡(luò)數(shù)據(jù)包的源 IP地址和其他重要特征,有選擇性的接收或丟棄數(shù)據(jù)包,不過由于種種原因,防火墻仍不是一個完全可

2、靠的安全方案。
　　端口碰撞是一種建立在防火墻之上的安全方案,它為已有的安全系統(tǒng)添加了一個新的保護層。端口碰撞技術(shù)會將系統(tǒng)上的所有端口關(guān)閉,并會阻擋所有未經(jīng)合法授權(quán)的用戶訪問,這相比那些開放端口的安全實現(xiàn)方案而言,無疑是個明顯的改進。但是每項技術(shù)都有其局限性,端口碰撞在實施過程中,由于無法對網(wǎng)絡(luò)傳輸進行控制,碰撞序列很容易遭受到中間人攻擊,并且由于構(gòu)造上的缺陷,使得數(shù)據(jù)傳輸速率過低,也容易觸發(fā)IDS的警告,這些都會限制端口碰撞技術(shù)

3、在實際應(yīng)用中的作用。
　　本文介紹了端口碰撞的基本原理,并分析了其在構(gòu)造上的缺陷以及在使用中可能遭受到的威脅,在此基礎(chǔ)上,本文將授權(quán)的以太網(wǎng)嗅探器與默認丟棄的數(shù)據(jù)包過濾器相結(jié)合,設(shè)計了一種能夠較好的解決上述問題的實現(xiàn)方案,它不僅能很好的應(yīng)對重放攻擊和偽造數(shù)據(jù)包攻擊,而且在NAT地址轉(zhuǎn)換、數(shù)據(jù)傳輸速率等方面也提供了切實可行的改進措施,證明了其是一個更加健壯的技術(shù),該實現(xiàn)方案是一個輕量級的安全方案,它不需要用戶掌握復(fù)雜的規(guī)則設(shè)置或是精