引用格式:王斌,李琪,張宇,等.一種多機制融合的可信網絡探測認證技術[J].網絡安全與數據治理,2024,43(6):23-32.
引言
在現代計算機網絡中,網絡拓撲結構描述了設備間的邏輯和物理連接,是網絡的關鍵資產之一。泄露的網絡拓撲信息可能被攻擊者利用,以發起更為精準的APT(Advanced Persistent Threat)攻擊。為了防止網絡拓撲信息泄露,網絡管理員通常會采取一些預防措施,如丟棄具有較小TTL(Time to Live)值的數據包或禁用ICMP(Internet Control Message Protocol)數據包。這些措施雖然在提升網絡安全性方面起到了積極作用,但同時也可能帶來一些負面影響,比如降低網絡的靈活性和妨礙與合作伙伴或其他組織的通信,從而影響網絡的可調性和可用性。
目前,已有多種基于IP地址[1-4]、令牌[5-11]以及哈希鏈[12-22]的可信認證技術被提出,用于增強網絡安全。然而,針對類Traceroute網絡拓撲探測流量可信認證的研究尚處于起步階段。
為了在確保網絡拓撲信息安全的同時,最大限度地保持網絡的靈活性和可調性,本文提出了一種多機制融合的可信探測認證技術,旨在對類Traceroute的拓撲探測流量進行認證。該技術通過基于IP地址的可信認證、基于令牌的可信認證以及基于哈希鏈的可信認證三種機制融合,實現了效率與安全的平衡。通過這種方法,網絡管理員可以在不阻斷合法拓撲探測的前提下,保護網絡拓撲信息,并保留網絡可調性。
本文基于Traceroute工具的原理,開發了一種支持該可信探測認證技術的拓撲探測工具,并利用Netfilter技術在Linux主機上以防火墻的形式實現了這一技術。此外,本文對該技術的功能和性能進行了驗證,實驗結果表明,該技術可有效識別可信探測,與傳統的Traceroute工具相比,延遲略有提升。
本文詳細內容請下載:
http://www.rjjo.cn/resource/share/2000006044
作者信息:
王斌,李琪,張宇,史建燾,朱國普
(哈爾濱工業大學網絡空間安全學院,黑龍江哈爾濱150001)
