引言

在現(xiàn)代計算機網(wǎng)絡(luò)中，網(wǎng)絡(luò)拓撲結(jié)構(gòu)描述了設(shè)備間的邏輯和物理連接，是網(wǎng)絡(luò)的關(guān)鍵資產(chǎn)之一。泄露的網(wǎng)絡(luò)拓撲信息可能被攻擊者利用，以發(fā)起更為精準的APT（Advanced Persistent Threat）攻擊。為了防止網(wǎng)絡(luò)拓撲信息泄露，網(wǎng)絡(luò)管理員通常會采取一些預(yù)防措施，如丟棄具有較小TTL（Time to Live）值的數(shù)據(jù)包或禁用ICMP（Internet Control Message Protocol）數(shù)據(jù)包。這些措施雖然在提升網(wǎng)絡(luò)安全性方面起到了積極作用，但同時也可能帶來一些負面影響，比如降低網(wǎng)絡(luò)的靈活性和妨礙與合作伙伴或其他組織的通信，從而影響網(wǎng)絡(luò)的可調(diào)性和可用性。

目前，已有多種基于IP地址［1-4］、令牌［5-11］以及哈希鏈［12-22］的可信認證技術(shù)被提出，用于增強網(wǎng)絡(luò)安全。然而，針對類Traceroute網(wǎng)絡(luò)拓撲探測流量可信認證的研究尚處于起步階段。

為了在確保網(wǎng)絡(luò)拓撲信息安全的同時，最大限度地保持網(wǎng)絡(luò)的靈活性和可調(diào)性，本文提出了一種多機制融合的可信探測認證技術(shù)，旨在對類Traceroute的拓撲探測流量進行認證。該技術(shù)通過基于IP地址的可信認證、基于令牌的可信認證以及基于哈希鏈的可信認證三種機制融合，實現(xiàn)了效率與安全的平衡。通過這種方法，網(wǎng)絡(luò)管理員可以在不阻斷合法拓撲探測的前提下，保護網(wǎng)絡(luò)拓撲信息，并保留網(wǎng)絡(luò)可調(diào)性。

本文基于Traceroute工具的原理，開發(fā)了一種支持該可信探測認證技術(shù)的拓撲探測工具，并利用Netfilter技術(shù)在Linux主機上以防火墻的形式實現(xiàn)了這一技術(shù)。此外，本文對該技術(shù)的功能和性能進行了驗證，實驗結(jié)果表明，該技術(shù)可有效識別可信探測，與傳統(tǒng)的Traceroute工具相比，延遲略有提升。

本文詳細內(nèi)容請下載：

http://forexkbc.com/resource/share/2000006044

作者信息：

王斌，李琪，張宇，史建燾，朱國普

（哈爾濱工業(yè)大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，黑龍江哈爾濱150001）