引用格式:王斌,李琪,张宇,等.一种多机制融合的可信网络探测认证技术[J].网络安全与数据治理,2024,43(6):23-32.
引言
在现代计算机网络中,网络拓扑结构描述了设备间的逻辑和物理连接,是网络的关键资产之一。泄露的网络拓扑信息可能被攻击者利用,以发起更为精准的APT(Advanced Persistent Threat)攻击。为了防止网络拓扑信息泄露,网络管理员通常会采取一些预防措施,如丢弃具有较小TTL(Time to Live)值的数据包或禁用ICMP(Internet Control Message Protocol)数据包。这些措施虽然在提升网络安全性方面起到了积极作用,但同时也可能带来一些负面影响,比如降低网络的灵活性和妨碍与合作伙伴或其他组织的通信,从而影响网络的可调性和可用性。
目前,已有多种基于IP地址[1-4]、令牌[5-11]以及哈希链[12-22]的可信认证技术被提出,用于增强网络安全。然而,针对类Traceroute网络拓扑探测流量可信认证的研究尚处于起步阶段。
为了在确保网络拓扑信息安全的同时,最大限度地保持网络的灵活性和可调性,本文提出了一种多机制融合的可信探测认证技术,旨在对类Traceroute的拓扑探测流量进行认证。该技术通过基于IP地址的可信认证、基于令牌的可信认证以及基于哈希链的可信认证三种机制融合,实现了效率与安全的平衡。通过这种方法,网络管理员可以在不阻断合法拓扑探测的前提下,保护网络拓扑信息,并保留网络可调性。
本文基于Traceroute工具的原理,开发了一种支持该可信探测认证技术的拓扑探测工具,并利用Netfilter技术在Linux主机上以防火墙的形式实现了这一技术。此外,本文对该技术的功能和性能进行了验证,实验结果表明,该技术可有效识别可信探测,与传统的Traceroute工具相比,延迟略有提升。
本文详细内容请下载:
http://www.chinaaet.com/resource/share/2000006044
作者信息:
王斌,李琪,张宇,史建焘,朱国普
(哈尔滨工业大学网络空间安全学院,黑龙江哈尔滨150001)