icmp协议范文

导语：如何才能写好一篇icmp协议，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

引言

无线局域网被认为是下一代IT产业发展的是大推动之一，被IT业赋予了极大的希望。无线局域网802.11系列标准的MAC协议是一样的，只是在物理层上有差异，因此对802.11MAC协议的开发，不论是在802.11b流行的今天，还是802.11g可能会成为主流的将来，都是很有意义的。当然，ARM以其先进的体系结构已经成为嵌入式市场的RISC标准，因此基于ARM的IEEE802.11MAC协议的开发是很有现实意义的。

我们的开发流程如图1所示。

PC软件开发是指脱离硬件的嵌入式软件开发阶段。此阶段可以在各种IDE环境下进行开发，并进行软仿真来验证软件的逻辑正确性。然后将开发出来的PC软件结合硬件所需要的硬件相关代码向硬件平台进行移值调试。前两个阶段完成后就得到了开发的最终成品。

1 协议结构

IEEE802.11MAC协议的SDL描述可以分为以下几个功能模块，如图2所示。

*MAC数据服务模块：向LLC层提供MAC层的数据服务接口。

*MPDU生成模块：将MSDU（MMPDU）生成MPDU，并对MPDU分段、加密以及进行排队管理。

*协议控制模块：完成DCF、PCF下的各种协议控制功能，包括RTS/CTS、ACK、ATIM、CF-ACK等，并根据信道状态请求退避，在传送数据挫败后控制重传等。该模块还负责对所有接收到的MAC帧进行分类，按不同的类型送到不同的模块进行处理。

*发送模块：将MAC帧以字节流的形式发送到物理层，完成实际的发送过程。这个模块中要完成对整个发送帧产生CRC校验，向发送的beacon帧中加入时戳用来进行时间同步。这个模块还负责处理底层获得的当前信道的状态，完成协议要求的随机退避功能。

*接收模块：对从物理层接收到的帧进行CRC校验。如果正确接收的话，则进行地址过滤，丢弃目的地址不是自己的帧。如果数据是经过分段的话，还有进行数据分段的重装，然后将接收帧送往协议控制模块进行分类处理。同时，这个模块还要提取接收帧中的信道保留信息，结合信道上有无载波的状况综合判断信道的状态，并把信道的状态送往发送模块来协调退避功能的完成。

*MAC管理实体模块：是管理核心，完成所有的管理功能，包括扫描、入网、认证、解认证、关联、解关联、重新关联、beacon帧的发送、站点状态管理等功能。

*MAC管理服务模块：提供MAC管理接口，包括MIB库的管理，对MIB库的访问，并将管理接口传来的管理服务请求送到MLME模块进行实际处理，将结果返回给管理接口。

2 协议实现

IEEE802.11MAC协议的SDL流程中各模块之间的交互是通过信号的方式来完成的，模块之间通过交互信息来协调工作，并且完成各种MAC帧的结构之间的传递。我们将信号定义为Signal(PID,SID,Param)参数PID用来标准信号的目的模块，SID用来标志信号在目的模块中由哪个函数来处理，参数Param是一个指向存储区的指针，存储区里存放的是信号所要传递的信息。为了能使整个协议在信号的驱动下运行，需要由一个功能实体来完成信号的处理过程。这里采用的是一个循环队列来存放产生的信号，由主循环程序来不断检测队列中的信号，根据信号的PID和SID调用相应模块里的信号处理函数进行处理。

协议中还涉及大量的比较判断和定时操作，当比较成立或定时到期后，进入相应的处理程序。其实，我们可以认为当比较成立或时间到期产生相应的信号，然后由信号处理机制来完成后续的工作。我们所要做的只是定义一个比较队列和一个定时队列，比较操作加到比较队列中，定时操作加到定时队列中，由主循环检测这两个队列。当某个比较判断成立时或某个定时期时从相应的队列中取出，然后再以信号方式加入到信号队列中去。因此我们将比较操作和定时操作分别定义为：

Compare(PID,SID,Param11,Param12,Param21,Param22,Param31,Param32);

Timer(PID,SID,Time);

PID、SID标志比较成立或定时到期时产生的信号，Paramil、Parami2(i=1,2,3)为比较操作中需要进行比较的几对数据。Time为定时操作中设定的定时值。

上面介绍的机制建构了协议框架，然后在这个框架基础上按照SDL流程编写相应的信号处理函数就要吧实现整个协议。

前期协议开发了验证逻辑上的正确性。我们在Microsoft Visual C++环境下进行开发并进行了软仿真，结果表明所开发的设计在逻辑上是正确可行的。

3 协议向ARM平台的移植

我们所使用的ARM硬件平台ARM anywhere II采用的是三星公司的ARM芯片S3C4510B。S3C4510B是采用ARM7TDMI核的高性价比RISC微控制器，特别适用于网络应用系统。

我们开发了一个软件模块PHY来模拟物理层收敛过程子层（PLCP），对于物理介质依赖子层（PMD）我们没有实现。这并不影响MAC协议的开发。LLC层的数据通过PC串口发送到ARM平台来模拟，数据经过MAC处理后送到PLCP子层，然后由PLCP子层直接发送。数据发送通过ARM的通用I/O来实现，发送速率由S3C4510B的定时器来控制。

在将802.11MAC协议向ARM平台的移植方案中，有一部分代码的执行是依赖于ARM平台的。这部分代码的移植工作需要特别注意，包括以下几个方面：

①定时器。协议中要求的随机退避过程需要底层周期性的送slot来进行，这个周期性 slot需要用定时器来实现。协议中的网络分析矢量NAV需要用定时器来实现，以判断NAV的状态。协议中定义的几种帧间隔IFS（SIFS、DIFS、PIFS、EIFS）也需要利用定时器来实现。

②外部中断。802.11MAC协议中一个重要部分就是载波监听。当信道状态变化时（由忙到闲，由闲到忙）都要给负责监听信道状态的模块一个指示（CCA），指示当前的信道状态。这个过程可以由S3C4510B ARM芯片的外部中断来很好地实现。由于S3C4510B ARM芯片可以对中断检测方式进行配置，可以将中断检测方式配置为上升沿和下降沿均触发中断，这些就能很好地模块协议的中物理载波监听（CS）。

③I/O。模拟PLCP子层的数据收发，一共用到8个I/O端口，一次发送8位。在发送数据时，还使用了一个I/O端口作为发送指示。这个I/O端口通过信道模拟器连接到其它节点的用来监听信道状态的外部中断引脚上。

④UART。我们用UART来实现PC和ARM的通信。一些管理命令，例如扫描、入网、认证、关联、解认证、解关联，节点的配置信息例如MAC地址等都可以从串口来发送给ARM。另外，所有发送的数据都会通过串口传送给ARM进行发送，所有接收到的数据将通过串口回传给PC。

⑤以太网控制器。以太网控制器在AP中是比较有用的。由于AP之间是通过有线的骨干网（backbone）来进行连接的，从而组成了分布式系统（DS），以太网控制器已经集成了IEEE802.11接口，就为实现这个有线的backbone提供了便利。

4 硬件仿真环境

图3中，IEEE802.11MAC协议和PLCP子层模拟模块都都在ARM平台上，串口通信程序运行在PC上。它和ARM的UART进行通信用于模拟LLC层数据服务和上层的管理服务，同时它还可以显示节点的运行状态和当前的网络状态。

下面介绍一下我们使用的简易信道模拟器的原理。信道模拟器对应每个节点（ARM平台）有一套接口，其中有8个I/O用于数据传输。由于无线信道是开放式的，一个节点发送时其它节点都能收到，因此在信道模拟器中每个节点的8个I/O是两两相通的，这样就能保证一个节点发送时其它节点都能收到。另外，由于要模拟信道上的载波监听过程，我们用到了ARM上的外部中断用做载波监听位（CS），然后用一个I/O发送指示（TR）。这样，信道模拟器上要维持任何一个节点的CS位，都与其它节点的TR有一定的逻辑关系，例如，当一个节点发送时，将其TR置为0（0表示信道变忙，ARM引脚初始电平为高电平1），则这个0应该立即能反映到其它节点的CS位上从而产生中断，其它节点都会知道信道变忙而开始从信道接收数据。同时，当节点发送完毕后将TR置为1，其它节点就会产生中断并且检测到CS位为1从而知道信道变闲，接收结束。

实际的信道模拟支持两个基本服务区（BSS）组成的分布式系统（DS），每个BBS内支持1个AP和2个普通节点。这内部的逻辑关系用可编程逻辑器件实现。

5 移植过程中的注意事项

PHY软件模块模拟PLCP子层，负责完成要求的载波监听和数据收发时的定时控制。这些功能都是采用中断方式实现的，因此要求代码执行速率要快。这里使用汇编语言开发来提供代码的执行效率。

为了获得较高的代码执行速率和快速的中断响应，要求所有协议代码和中断服务程序都在SDRAM中执行。这就涉及到在设计ARM的初始化代码时要正确配置相应的存储区控制寄存器，并且完成代码的搬移和地址的重映射。

图3

    ARM的初始化代码包括：

*定义入口点（entry point）。

*定义异常向量表，用来处理各种CPU异常，其中包括中断。

*配置SDRAM和Flash的地址范围、时序等参数，以使这些存储器能正常工作。

*代码搬移。程序代码一般应从Flash调入SDRAM中运行，以提高系统的运行速度。同时，系统及用户堆栈、运行数据也都放在SDRAM中。

*对SDRAM进行地址重映射，从初始时地址空间的高端搬移到0x0开始的位置。

*初始化堆栈。

*初始化存储区。

*根据需要改变处理器工作模式。

*开中断。

*到C程序代码入口点开始执行。

另外，移植过程中还要考虑的一个问题是内存分配的问题。嵌入式系统中对内存的分配，一般来说要求快速可靠并且有效，实际上就是在采用静态分配内存还是动态分配存的问题。如果系统要求对实时性要求高并且不能容忍分配失败，这时就需要采用静态分配内存。采用静态分配一个不可避免的问题就是系统失去了灵活性，必须在设计阶段就预先估计所需要的内存并对其作出分配，并且要考虑到所有可能的情况。我们在移植过程中，考虑到实时生和可靠性是我们的主要目标，并且我们的ARM平台具有较大的存储区，因而采用了静态分配的方式。

篇2

关键词：内网安全 ICMP 主机探测

1引言

随着计算机网络的飞速发展，信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事等诸多领域。提起网络安全，人们自然就会想到病毒破坏和黑客攻击，其实不然。常规安全防御理念往往局限在网关级别、网络边界（防火墙、漏洞扫描、防病毒、IDS）等方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，来自网络内部的计算机客户端的安全威胁却是众多安全管理人员所普遍反映的问题。因此，内网安全问题也成为现在网络建设中不得不考虑的问题。

2相关技术

2.1网络探针技术

网络探针是对接入网络的计算机终端进行接入控制的一种程序，它由网络探针服务器和网络探针客户端两部分组成。它能够监测到同一子网内没有安装运行指定程序或没有进行入网授权的计算机，并采取措施自动将其引导至指定服务器下载指定程序或申请入网授权，也可以直接阻断这些计算机的网络通信。网络探针的主要功能有以下2个方面。

1． 网络探针的轮询功能

由哪台计算机终端担任网络探针角色是网络探针服务器在安装有网络探针客户端的计算机终端中自动指定的，不需要网络管理员的特别指定。网络探针轮询功能的优点是只要同一子网内的计算机终端有一台运行网络探针客户端，就可以保证网络探针对整个网络探测子网生效。

2． 网络探针的阻断计算机终端访问网络工作模式

网络探针可以利用ARP重定向技术阻断网络探针检测到的没有安装指定程序或授权的计算机终端试图访问网络的行为。同理，在网络探针的阻断计算机终端访问网络工作模式下，没有安装指定程序或授权的计算机也是无法和内网中的其他计算机终端进行通信的。

2.2活动主机探测技术

活动主机探测[2]是一项探测本地或者远程主机存活情况的技术，它给端口扫描和操作系统指纹探测提供活动主机。活动主机探测是向目标主机或目标主机的指定端口发送探测数据包，并记录目标主机的响应通过分析响应的数据包来判断目标主机是否存活。本文用到的活动主机的探测常用方法是ICMP ping：

ICMP ping[3]

向目标主机发送 ICMP 回显请求( echo request ICMP 类型为8)报文，期待从运行的主机得到ICM回显应答( echo reply，ICMP type 0)报文，从而判断出目标主机的存活状态。通过采用并行轮转形式发送大量的ICMP ping 请求，可以用来对一个网段进行大范围的扫射，由此来确定主机存活情况。尽管并行轮转探测的准确率和效率都比较高，但是一般的边界路由器或防火墙都通过阻塞 ICMP 数据报限制ICMP ping探测。ICMP回显请求是标准的ICMP ping 查询，除了ICMP 回显请求以外，在ICMP 扫描技术中也用到Non ECHO ICMP 技术。这种技术中主要用到 ICMP 时间戳请求、ICMP 地址掩码请求和ICMP 信息请求。虽然这些查询是用来获得主机信息如当前时间或地址掩码，但它们也可以很容易的用于主机发现，即有回应的主机就是活动的主机。当有些主机封锁了ICMP 回显请求数据报而忘了封锁其它的ICMP ping查询，这时用Non ECHO ICMP技术探测活动主机是很有价值的。

3基于内网安全的ICMP探测工具设计与实现

内网计算机监控系统[4-5]是为了高效安全管理好内网的所有计算机而建立的一种管理系统，是信息化建设、信息安全的重要保障。对于该基于ICMP协议的探针工具，本文采用如下图1的原理框图：

该探针工具采用的是发送端加接收端的结构，其中ICMP协议为探测数据包的发送提供协议基础，而winpcap和socket则分别为发送端和接收端提供通信机制。首先，在处在A网络的发送端整理好需要探测的目的主机地址或是目的网段网关地址。然后，为每个地址构造拥有伪造的源地址（即B网络接收端IP地址的）和指定的ICMP报文数据区内容的echo-request请求包并发送。当同时身处A、B两个网络的PC主机收到请求后，会以为是B网络的接收端所在IP对其的请求而予以回应。之后，接收端截获其所有ICMP数据包并解析其详细数据区内容。如若发现有与我们预先设置的数据区内容相同的数据包存在，则可根据该包的源地址确定双网络主机在A网络的具体IP地址，从而及时发现双网络主机的存在。

4工具测试

测试原理图：

图中探测段2对应的主机PC2安装ICMP探测工具，担任网络探针角色。实验结果表明，在没有防火墙的情况下，利用“双探针”配合伪造地址的ICMP请求的方法可以探测到非正常的“双网络”PC3的私接。若被探测主机防火墙开启，则捕获不到来自被探测主机的ICMP应答报文。

5总结

基于ICMP的“探针”工具在没有防火墙的情况下可完成对“双网络”主机的探测功能，起到检测内网主机安全性的作用，防止伪造假冒地址主机的欺骗性攻击，可在内网安全监测中起到一定作用。

参考文献：

[1]孙大跃，王卫亚．计算机网络—原理、应用和实现［M］．北京：清华大学出版社，2007：114-116．

[2]张国林，于海英，杨松涛．活动主机探测 ［J］．佳木斯大学学报，2007，25 ( 3)：305-307

[3]杜树杰．基于ICMP协议的Ping主机探测 ［J］．计算机系统应用，2009，（12）： 212-214.

篇3

【关键词】蜜罐；指纹匹配；相关函数

1 Honeyd软件介绍

Honeyd是由Niels Provos创建的一种具有开放源代码的轻型低交互级别的蜜罐，除了具有蜜罐的共性――引诱攻击者的攻击外，它自身的设计特点不但可以使Honeyd更有效的完成任务，还能开发出许多新的应用出来。它可以同时模仿400多种不同的操作系统和上千种不同的计算机。

Honeyd有如下特点：

第一，Honeyd可以同时模仿上百甚至上千个不同的计算机，大部分蜜罐在同一时间仅可以模仿一台计算机，而Honeyd可以同时呈现上千个不同的IP地址。

第二，可以通过简单的配置文件对服务进行任意配置，可以对虚拟的主机进行ping操作或者进行traceroute，Honeyd可以根据简单的配置文件对虚拟主机的任何服务进行任意的配置，它甚至可以作为其他主机的。

第三，可以在TCP/IP层模仿操作系统，这就意味着如果有人闯入用户的蜜罐时，服务和TCP/IP都会模拟操作系统做出各种响应。当前，还没有任何其他的蜜罐具有这种功能，可以完成的工作包括虚拟nmap和xprobe，调节分配重组策略以及调节FIN扫描策略。

第四，可以模拟任何路由拓扑结构，可以配置等待时间和丢包率。

第五，作为一种开放源代码的工具，Honeyd可以免费使用，同时也迅速成为了很多安全组织的开发源代码的一部分。

2 Honeyd逻辑结构

Honeyd结构由以下几个部件组成：配置数据库，中心数据包分配器，协议管理器，服务处理单元，特征引擎，可选的路由器部分。Honeyd的逻辑结构如图1所示：

图1 Honeyd的逻辑结构

各部分的功能分别为：

路由器：路由数据包到达某个虚拟蜜罐所在的地址，会产生三种情况：没有找到目的地址而丢弃数据包；没有找到目的地址，但是可以把数据包交付给下一个路由器；可以直接把数据包交付给目的地址。路由是一个可选择的逻辑部件。

数据包分配器：该逻辑部件核查IP数据包的长度，对IP数据包进行正确性检查，核实确认序列号。分配器只对协议管理器分配三种数据包：ICMP、UDP、TCP。其他协议的数据包会被丢弃并且不做任何记录。

协议管理器：它包括ICMP/UDP/TCP协议管理和服务处理单元。ICMP协议管理支持ICMP请求。默认的，所有的蜜罐配置都响应回射请求和处理目标主机不可达信息；TCP和UDP协议管理器和服务处理单元能够对外建立特定服务的连接。服务的行为完全依赖于外部应用。TCP协议管理器能够很好的支持三次握手的建立和FIN或RST的拆卸，但是还不能很好地支持窗口管理和拥塞控制。

特征引擎：将对发送的所有数据包进行指纹匹配，以便在指纹识别工具前能很好地隐蔽。

配置数据库：它当中包含了一切配置参数，例如虚拟蜜罐的IP地址、默认的ICMP响应，虚拟链路的网络属性，指纹数据等。

3 关键技术

Honeyd能够虚拟蜜罐，并且能够利用这些虚拟的蜜罐构建松散的虚拟蜜罐网络或有层次结构的虚拟蜜罐网络，这些虚拟的蜜罐网络中甚至可以包含真实的主机。然而Honeyd要构建虚拟的蜜罐网络需要面对这样一些问题：首先是攻击者利用指纹工具对连接的蜜罐进行识别时该怎么办；其次，虚拟出的蜜罐网络如果面对网络拓扑发现工具时怎么办。

Honeyd采用了两种关键的技术来欺骗攻击者，一种是指纹匹配技术，另一种是虚拟蜜罐网络技术。

4 指纹匹配

为了在被探测的时候表现得跟真实的系统一样，虚拟蜜罐要模拟给定操作系统的网络栈行为，这是虚拟蜜罐的一部分特征。不同的特征能被设计成不同的虚拟蜜罐。特征引擎通过改变协议数据包头部来匹配特定的操作系统，从而表现出相应的网络协议栈行为，这一过程成为指纹匹配。

Honeyd运用NMAP的指纹数据库作为TCP和UDP行为特征的的参考；用XPROBE指纹数据库作为ICMP行为的参考。

下面用NMAP提供的指纹信息来改变蜜罐网络栈的特征为例来进行说明：

Fingerprint IRIX 6.5.15m on SGI 02

Tseq（Class=TD%gcd=

T1（DF=N%W=EF2A%ACK=S++%Flags=AS%Ops=MNWNNTNNM）

T2（Resp=Y%DF=N%W=O%ACK=S%Flags=AR%Ops=）

T3（Resp=Y%DF=N%W=EF2A%ACK=O%Flags=A%Ops=NNT）

T4（DF=N%W=O%ACK=O%FlagsR%Ops=）

T5（DF=N%W=O%ACK=S++%Flags=AR%Ops=）

T6（DF=N%W=O%ACK=O%Flags=R%Ops=）

T7（DFN%W=O%ACK=S%Flags=R%Ops=）

PU（Resp=n）

T1测试设置了SYN和ECE TCP flags；T5测试仅设置了SYN TCP flags。后面7个测试决定了数据包到达开放的或关闭的端口的网络栈行为。最后一个分析ICMP对关闭的UDP端口的响应。

Honeyd保持每一个蜜罐的可靠性。包括产生ISN信息可靠性，蜜罐的初始化时间，当前IP数据包的确认号的可靠性。保持状态有利于我们在指纹修改后发送的数据包产生后续的ISN。

滑动窗口在不同的环境下表现出来的大小同样也会成为攻击者进行识别的一部分。当Honeyd为一个新建的连接发送一个数据包时，它会用NMAP指纹去检测内部窗口的大小，在一个连接建立好以后，Honeyd框架将根据缓冲区中数据的多少调整窗口的大小。

5 指纹匹配相关函数

Honeyd逻辑上的特征引擎是由相关的函数参考配置数据库中的参数，然后分别对各自的数据包进行指纹处理得到的。这些被处理的数据包主要由TCP数据包、UDP数据包和ICMP数据包。其中tcp _send（），tcp_personality（）负责处理TCP数据包的指纹；udp_send（）负责处理UDP数据包的指纹；icmp_send（）数据包负责处理ICMP数据包的指纹。下面我们重点介绍处理TCP数据包的函数。

tcp_send（）负责发送基于tcp协议的数据包，重要的是，它对即将发送的数据包进行改动，修改报头，使得看上去和对应的操作系统的特征准确地吻合，以达到欺骗的效果。因而此函数只是在通过查询特征库后，得到返回的id（ip报头的标识字段的值），调整其他参数，封装成ip包发送。

篇4

【关键词】 嵌入式 TCP/IP协议 以太网

一、引言

嵌入式网络通信在各个方面都得到了非常广泛的运用。目前最常见的就是总线和USB数据传输方式，传输速度即使可以达到较快的水平，但是其并不能够满足长距离的数据传输。因此，以太网能够弥补其在数据传输方面的缺陷。以太网能够实现一百米距离点对点的数据传输，如果要实现更加远距离的数据传输，则需要使用路由器或者交换机来完成。此文基于对CP2200嵌入式TCP/IP协议进行探究，并实现以太网嵌入式系统设计。

二、嵌入式TCP/IP协议的探究与实现

TCP/IP协议栈从上到下分别是由应用层、运输层、网络层和网络接口层所组成的四层结构，每一层各司其职，都有着不同的网络协议。依据软件实际使用的情况，在嵌入式系统当中为了达到网络通信的目的，需要对TCP/IP协议族进行裁剪。在对软件进行初始化的时候，也对单片机同时进行了初始化，其中包括对系统时钟、定时器、端口和串口进行了初始化。当然还有CP2200进行初始化，其中包括对MAC层和物理层进行初始化，并且中断使能。

在TCP/IP协议栈当中，运用层包含HTTP协议，运输层包含TCP协议和UDP协议，网络层包含ARP协议、IP协议和ICMP协议。以下是嵌入式TCP/IP协议的每个模块的实现流程：

1、HTTP协议模块。HTTP协议的发送函数http_send（）即是TCP协议的发送函数和数据信息的结合，但是http_ send（）函数主要是实现设计网页内容，JPEG的图片和HTML（超文本标记语言）等信息的使用依靠其函数实现。

2、TCP协议模块。TCP协议的发送函数tcp_send（）是需要发送一个不包含任何数据的TCP报文，其作用是能够对字节头和校验和进行处理。通过对时间功能的设定，TCP协议的重传函数tcp_retransmit（）能够实现对数据最多为两次重传的传输功能，实现传输功能的应用程序是依靠传送页数据而实现的，即是HTTP服务程序。TCP协议的保活函数tcp_ inacivity（）是没半秒运行一次，当连接正在建立的状态下，保活期满了的时候并且没能被再次使用，就会中断连接。TCP协议的接收函数tcp_rcve（）实现对字节头和校验和的运算，进而对HTTP服务程序和其连接状态等情况进行断定，最后进行TCP有限的状态机判断数据包的程序。

3、UDP协议模块。UDP协议的发送函数udp_send（）能够实现对字节头和校验和进行处理，其接收函数udp_rcve（）是对所接收的UDP报文进行处理，如果没有受到UDP报文数据，就需要发送ICMP终点不可到达报文。

4、ARP协议模块。ARP协议的发送函数arp_send（），在发送请求报文的时候，对于不清楚目的物理地址的，则是广播报文；在发送应答报文的时候，接收的一方的目的物理地址需要添加物理地址。ARP协议的重传函数arp_retransmit（）能够实现当其发出ARP请求之后的半秒时间内没有任何响应，则进行再一次发送的功能，但是当两次发送没有得到响应就会对报文进行删除。ARP协议的缓存更新函数age_ arp_cache（）能够每一分钟更新一次。ARP的解析函数arp_ resolve（）能够对所发送的IP报文目的IP地址进行解析，如果发送IP地址和目的IP地址都不在相同的一个网络当中，那么此IP地址是网关IP地址，然后在缓存表当中对其进行查找，如果找不到就需要发送ARP请求报文。ARP协议的接收函数arp_rcve（）能够实现对报文进行接收或者应答，对缓存表需要进行更新和重新定时，如果所接受的报文是应答报文，则需要发送等候地址解析的IP报文，但是所接收到的报文是请求报文 ，则需要发送ARP应答报文。

5、IP协议模块。IP协议的发送函数ip_send9（）能够实现对发送IP报文的20字节头和校验和进行处理，进而使用网络接口层进行发送。IP协议接收函数ip_rcve（）能够根据版本情况和所接收报文的种类转移到相应的接收函数来处理。

6、ICMP协议模块。ICMP协议模块的接收函数icmp_ rcve（）是实现对ping请求的接收进行处理，并且处理ICMP不同种类的报文。其中Ping命令请求信息函数ping_send（）是用来检测发送接收两方的接收情况。

三、结言

综上所述，此文对TCP/IP的网络结构中的各层协议模块进行探究，基于网络控制芯片CP2200的以太网接口和单片机C8051F340，并用编程语言来实现嵌入式以太网通信，同时进一步通过对各个层协议的裁剪，实现嵌入式以太网的数据通信。根据现阶段来看，嵌入式网络通信基本上都是依靠TCP/IP协议来实现的，嵌入式设备和网络两者相结合是嵌入式系统今后发展的主要方向。因此，我们要更加深入地对嵌入式TCP/IP协议进行探究以及更深层次的功能实现。

参 考 文 献

篇5

关键词：木马关键技术；动态嵌入技术；反向连接技术

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 10-0000-01

The Implementation of Trojan Key Technology

Wang Delei

(BeiJin LuHang Institute,Beijing101123,China)

Abstract:With the development of internet technology and the popularization of the global information technology has become a major trend.However,in recent years,hackers,technology continues to mature,network information security face a great challenge.This paper describes the dynamics of Trojans embedded technology,connectivity and reverse ICMP Trojan communications technology.

Keywords:Trojan key technology;Dynamic embedding;Reverse connection technology

一、引言

随着计算机网络和程序设计技术的普及和发展，木马程序的编制技术也不断地普及和发展，目前，世界上有20多万个黑客网站在介绍一些攻击方法和攻击软件的使用以及系统的漏洞。

二、木马技术发展状况

按其在不同阶段使用的典型技术可分为以下几代木马：第一代，即简单的密码窃取、发送等，如“QQ密码大盗”。第二代木马在远程控制技术上有了很大的进步，“冰河”是当时国内木马的典型代表之一。第三代木马在数据传递技术上又做了不小的改进，出现了ICMP和反弹端口等类型的木马，利用畸形报文传递数据，增加了杀毒软件查杀木马的难度。比较典型的是“网络神偷”。第四代木马在进程隐藏方面，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程，或者挂接API，从而实现木马程序的隐藏。现在第五代木马正在发展中，具有远程DLL动态入侵、模块化升级、智能化通信等新特点。

三、木马关键技术的实现

（一）动态嵌入技术的实现。动态嵌入技术是指木马采用远程线程技术或HOOK技术注入其他进程的运行空间等方法导致杀毒软件无法发现木马的运行痕迹。（二）反向连接技术的实现。反向连接技术是指木马为了克服服务端在某一端口上侦听易被发现这一缺点，而采用服务端主动连接，客户端侦听的一种技术。这样用一般的port scanner或者fport就发现不了服务端。这种反弹端口型木马的典型例子是国产木马“网络神偷”。实现时主要的难点有两个：一个是客户端IP地址不能确定，服务端如何找到客户端。另一个是服务端主动连接客户端时防火墙也会报警。下面围绕这两点探讨解决方法。1.解决IP地址问题。一种解决方法是客户端通过一个有固定IP或者固定域名的第三方自己的IP，比如：事先约定好一个个人主页的空间，放置一个文本文件，木马固定多长时间去取一次这个文件，如果文件内容为空就什么都不做，如果有内容就按照文本文件中的数据计算出控制端的IP和端口，反弹一个TCP链接回去，这样每次控制者上线只需要上传一个文本文件就可以告诉木马自己的位置。另一种方法是使用RAW socket来收听ECHO REPLY类型的ICMP包且在ICMP数据包的数据中就包含了客户端IP。或者是截获其他进程收到的TCP数据或UDP包，然后分析截获的数据，从中确定是否客户端发来了一个报告其IP的数据片断。这种客户端通过某种方法主动告诉服务端自己的IP和端口的方法可以保证最大的可靠性，安全性和灵活性。2.解决防火墙报警问题。一种方法是上面提到的动态嵌入技术，服务端将自己注入到一个可以合法的与外界进行网络通讯的进程的地址空间中，然后就可以以一个新线程的形式运行。在新线程内去主动连接客户端，如果是寄生在IE内就连接客户端的80端口；如果是寄生在OICQ内，可以连接客户端的8000端口。另一种方法是木马服务端使用80端口，将传送的数据包含在HTTP的报文中，就算是能够分析报文、过滤TCP/UDP的防火墙，也不可能分辨出通过HTTP协议传送的究竟是网页还是控制命令和数据。

（三）ICMP木马技术的实现。ICMP全称是Internet Control Message Protocol（互联网控制报文协议）它是IP协议的附属协议，用来传递差错报文以及其他的消息报文，例如工具Ping就是通过发送接收ICMP_ECHO和ICMP_ECHOREPLY报文来进行网络诊断的。ICMP木马技术的出现正是得到了Ping程序的启发，ICMP木马技术利用ICMP报文由系统内核或进程直接处理而不是通过端口的特点，将自己伪装成一个Ping的进程，系统就会将ICMP_ECHOREPLY（Ping的回包）的监听、处理权交给木马进程，木马进程通过判断包大小、ICMP_SEQ等特征，来确定是否是自己需要的数据，一旦事先约定好的ICMP_ECHOREPLY包出现，木马就会接受、分析并从报文中解码出命令和数据来执行。另外一种办法是修改ICMP头的构造，加入木马的控制字段。由于ICMP_ECHOREPLY包还有对于防火墙和网关的穿透能力，这种技术使得木马摆脱了端口的限制，突破了防火墙对目标主机的保护。

四、结束语

综上所述，随着internet技术的发展和使用的普及，木马技术也在不断的成熟和普及，本文仅从一个侧面加以讨论，希望通过这一探讨让我们对木马的关键技术有一个简单的认识，同时也为我们防范他人利用木马非法入侵提供参考。

参考文献：

[1]张友生,米安然.计算机病毒与木马程序的剖析[M].北京:科海电子出版社,2003

[2]周明全,吕林涛,李军怀.网络信息安全技术[M].西安:电子科技大学出版社,2003

篇6

关键词：ARP欺骗 网络监听

网络监听给网络管理员提供了一个观察网络运行状况，数据流动状况，以及传输的明文信息的工具。 网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等，但是监听效果最好的地方是在网关、路由器、防火墙一类的设备处，通常由网络管理员来操作，其中最方便实现的是在一个以太网中的任何一台上网的主机上。

ARP协议：IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协议（Address Resolution Protocol，ARP）就是用来确定这些映象的协议。ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来，以节约不必要的ARP通信。

ARP欺骗：ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成电脑无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在表面看来，就是上不了网了，“网络掉线了”。

ICMP重定向：ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由。路由器也会把初始数据报向它的目的地转发。

一、网络监听的基本原理

在共享介质的以太网中如果所有的主机通过集线器连接到外部网络，在这样的网络中通信主机将所要发送的数据包进行广播，发往连在一起的所有主机。在包头中包含着应该接收数据包的主机的正确地址。只有与数据包中目标地址一致的那台主机才能接收信包。因此任意主机都可以通过将网卡设置为混杂模式来监听网内的所有通信。当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监听模式下，利用ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的，因此它还能接收到发向与自己不在同一子网（使用了不同的掩码、IP地址和网关）的主机的那些信包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。

交换式以太网是通过交换机将网内主机相连，交换机将对每个端口收到数据帧进行源和目的MAC地址检测，然后与内部动态的MAC端口映射表进行比较，若数据帧的源MAC地址不在映射表中，则将该MAC地址和对应接收端口加入映射表中，同时根据映射表中与目的MAC地址对应的端口号，交换机把数据帧仅从该端口发送出去。因此交换机的每个端口可平行、安全、同时地互相传输信息，其它端口的主机即使将网卡设置为混杂模式，也只能监听到连结在同一端口上主机间的数据传输。

二、共享介质以太网监听

如图1所示，三台主机

A： ip地址 192.168.0.1 硬件地址 AA：AA：AA：AA：AA：AA

B： ip地址 192.168.0.2 硬件地址 BB：BB：BB：BB：BB：BB

C： ip地址 192.168.0.3 硬件地址 CC：CC：CC：CC：CC：CC

假设一个位于主机B的入侵者想非法进入主机A，可是这台主机上安装有防火墙。通过收集资料他知道这台主机A的防火墙只对主机C有信任关系（开放23端口（telnet））。而他必须要使用telnet来进入主机A，这个时候入侵者必须让主机A相信主机B就是主机C，如果主机A和主机C之间的信任关系是建立在IP地址之上的。如果单单把主机B的IP地址改的和主机C的一样，那是不能工作的，至少不能可靠地工作。如果你告诉以太网卡设备驱动程序， 自己的IP是192.168.0.3，那么这只是一种纯粹的竞争关系，并不能达到目标。我们可以先研究C这台机器如果我们能让这台机器暂时当掉，竞争关系就可以解除，这个还是有可能实现的。在机器C当掉的同时，将机器B的IP地址改为192.168.0.3，这样就可以成功的通过23端口telnet到机器A上面，而成功的绕过防火墙的限制。

但是如果主机A和主机C之间的信任关系是建立在硬件地址的基础上的，上面的方法就失效了。这个时候还需要用ARP欺骗的手段让主机A把自己的ARP缓存中的关于192.168.0.3映射的硬件地址改为主机B的硬件地址。

我们可以人为的制造一个arp_reply的响应包，发送给想要欺骗的主机，这是可以实现的，因为协议并没有规定必须在接收到arp_echo后才可以发送响应包.这样的工具很多，我们也可以直接用snifferpro抓一个arp响应包，然后进行修改。

你可以人为地制造这个包。可以指定ARP包中的源IP、目标IP、源MAC地址、目标MAC地址。这样你就可以通过虚假的ARP响应包来修改主机A上的动态ARP缓存达到欺骗的目的。

实现步骤：

1）B发送ARP 查询报文，获得主机A 的MAC地址

2）B发送伪造的ARP 报文给A，该报文的源MAC地址为BB：BB：BB：BB：BB：BB，IP 为168.0.0.3 ，因为ARP 表是动态的，为了能进行持续的监听应该间隔一定时间先欺骗的主机发送伪造的ARP 报文。

3）主机A更新了ARP表中关于主机C的IP-->MAC对应关系。

4）此时可以通过程序进行抓包或包过滤提取来自A发送到C的报文，如果不影响C的正常通信或者隐蔽话，应该将收到的来自A发送到C的包进行转发到C，使A，C觉察不到数据包经过了B.

三、交换式以太网监听

如图2所示A、C位于同一网段而主机B位于另一网段，三台机器的IP地址和硬件地址如下：

A： IP地址 192.168.0.1 硬件地址 AA：AA：AA：AA：AA：AA

B： IP地址 192.168.1.2 硬件地址 BB：BB：BB：BB：BB：BB

C： IP地址 192.168.0.3 硬件地址 CC：CC：CC：CC：CC：CC

这种情况下B与A在不同的网络段，显然用上面的办法的话，即使欺骗成功，那么由主机B和主机A之间也无法建立telnet会话，因为路由器会发现地址在192.168.0.这个网段之内，而不会把主机A发给主机B的包向外转发。如果要实现把这样的数据包转发出来就必须使用ICMP重定向技术，把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。

下面是结合ARP欺骗和ICMP重定向进行攻击的步骤：

1）为了使自己发出的非法ip包能在网络上能够存活长久一点，开始修改IP包的生存时间TTL为下面的过程中可能带来的问题做准备。把TTL改成255. （TTL定义一个IP包如果在网络上到不了主机后，在网络上能存活的时间，改长一点在本例中有利于做充足的广播）

2）寻找主机C的漏洞按照这个漏洞当掉主机C。

3）该网络中的主机找不到原来的192.0.0.3后，将更新自己的ARP对应表。此时发送一个原IP地址为192.168.0.3硬件地址为BB：BB：BB：BB：BB：BB的ARP响应包。

4）现在每台主机都更新了自己的ARP表，一个新的MAC地址对应192.0.0.3，一个ARP欺骗完成了，但是，每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的IP包丢给路由。于是他还得构造一个ICMP的重定向广播。

5）自己定制一个ICMP重定向包告诉网络中的主机："到192.0.0.3的路由最短路径不是局域网，而是路由，请主机重定向你们的路由路径，把所有到192.0.0.3的ip包丢给路由。"

7）主机A接受这个合理的ICMP重定向，于是修改自己的路由路径，把对192.0.0.3的通讯都丢给路由器。

8）入侵者终于可以在路由外收到来自路由内的主机的IP包了，他可以开始telnet到主机的23端口。

其实上面的想法只是一种理想话的情况，主机许可接收的ICMP重定向包其实有很多的限制条件，这些条件使ICMP重定向变的非常困难。

TCP/IP协议实现中关于主机接收ICMP重定向报文主要有下面几条限制：

1）新路由必须是直达的

2）重定向包必须来自去往目标的当前路由

3）重定向包不能通知主机用自己做路由

3）被改变的路由必须是一条间接路由

四、总结

本文通过对共享介质的以太网和交换式以太网的监听原理进行详细阐述，并进行了试验能够进行简单的监听。要实现通用方便的监听工具还要进一步研究，本文的研究证明了以太网监听工具实现的可行性。

参考文献

[1]TCP/IP 详解 卷1：协议 （美）W.Richard Stevens著 范建华 胥光辉 张涛等译 机械工业出版社 2005 ISBN 7-111-07566-8/TP.1194

篇7

关键词：移动IP；隧道技术；ICMP；封装；MTU

0 引言

移动通信已成为现代通信领域中发展潜力最大、市场前景最广阔的热点技术，它正向高速率、高移动性和大范围覆盖发展。随着Intemet业务的迅猛发展，现有的IPv4地址数目已经十分紧缺，因此采用128位地址长度的IPv6协议，彻底解决了IPv4地址数量不足的难题。通过隧道技术可以有效的实现IPv4和IPv6的互通，IPv6隧道技术即是IPv4报文将IPv6报文封装在其中，使得IPv6通过IPv4网络进行通信的技术。目前IPv6技术中的重要应用是移动IP。移动IP是解决节点的移动性问题，它其实也是一种IP的路由机制，使移动节点可以用一个不变的IP地址连接到任何链路中。

1.移动IP概述

从通信节点可移动性的定义得到，因为每次都需要把连接断开，所以当节点移动时只是改变它的地址不能解决移动性问题。但是，当节点移动时改变节点的IP地址确实解决了一个称为漫游的相关问题。漫游节点在改变它们的接入点前要中止所有通信，但在到达新的接入位置时，它们就会以新地址重新发起通信。目前的因特网协议簇中已经有相应的机制来解决漫游问题了，比如PPP（Point-to-Point）协议的IPCP(IP Control Protocol)。

在现在的因特网中，节点漫游时，另一节点也不可能主动与漫游节点通信，因为它无法知道到底在哪个IP地址上可以找到漫游节点。

事实上，移动IP的一个基本假设是：点到点通信的数据包在选路时与源IP地址无关。它可以看作是一个路由协议，只是与其他几种路由协议相比，移动IP具有特殊的功能，它的目的是将数据包路由到那些可能一直在快速地改变位置的移动节点上。

2.隧道技术的概念

当一个数据包被封装在另一个数据包的净荷中进行传送时，所经过的路径称为隧道。

除了极少数特例，移动节点只用家乡地址和别的节点通信，即移动节点发出的所有包的源I P地址都是它的家乡地址，它接收的所有包的目的IP地址也都是它的家乡地址。这就要求移动节点将家乡地址写入DNS中的“IP地址”域，其他节点在查找移动节点的主机名时就会发现它的家乡地址。通常，一般数据包的分片会在任意一台路由器上发生（如果MTU受限制），而分片的重组在目的地进行。但是隧道的分片是一个特例，它的重组在隧道出口进行，而隧道出口不是数据包的最终地址。

3.隧道技术的分类

移动IP中的三种隧道技术：IP的IP封装（IP in IP Encapsulation）、最小封装（ Minimal Encapsulation）和通用路由封装GRE(Generic Routing Encapsulation)。一般情况，尽量不用最小封装技术。

3.1IP的IP封装

IP的IP封装非常简单，第一个IP包放在一个新IP包的净荷中，会增加开销20个byte。如果IP包是被转发过来的，比如是通过某个物理端口进入隧道的，那么隧道入口应将内层的IP报头的生存时间域减小。同样在拆封时，如果内部封装的IP包还要进行转发，比如从隧道出口转发到某个物理端口，那么它的生存时间域也要减小。因此，采用IP的IP封装的隧道对穿过它们的数据包来说就像一条虚拟链路。例如，一个包到达第一台路由器，通过从第一台路由器开始的隧道到达第二台路由器，并进一步转发到它的目的地址，这时这个包的生存时间域会被减小两次，好像隧道只是连接这两台路由器的一条链路一样

在IP over IP的形式中，对ICMP的报文格式需要特殊处理。通过隧道的IP包的相应的ICMP报文只需要送到隧道的入口，而无需要送到包的源。但有时，隧道内产生的ICMP报文到达源也是及其有用的。对ICMP的处理，它并不是直接把隧道内部的ICMP转发给源，而是在隧道入口进行分析后，再产生一个ICMP然后到达源。例如，当一个包到达家乡，包的大小大于隧道的MTU，当不允许分片的比特设置为1时，家乡就不在隧道内部产生ICMP，而是直接给源发送一个自己的ICMP。

综合上面的分析不难看出，对于IP over IP的封装形式需要防止递归封装，所谓递归封装，就是由于路由环，使数据离开隧道前，又重新进入了一个隧道。GRE和IPV6有专门机制防止递归封装。在IPV4中用两个法则来判别，简单的说就是依据源IP是否与目标IP重复来进行判断。

3.2 最小封装

最小封装的目的是减少实现隧道所需的额外字节数，可通过将IP的IP封装中内层IP报头和外层I P报头的冗余部分去掉来完成。开销是8或12字节，取决于隧道入口是否是原始数据包的源。

最小封装不能用于那些已经经过分片的原始数据包。相反，经过封装的数据包可以进行分片，以便穿过路径MTU较小的隧道，但是已经分片的原始数据包不可以通过采用最小封装的隧道。这和IP的IP封装有显著的区别。

相对于生存时间和隧道长度，它和IP over IP的封装也有区别，至少从生存时间的角度，最小封装使得数据包可以识别从入口到出口的每一条链路。也就是说，在采用最小封装的隧道中，从隧道入口到出口的每一台路由器都会将原始数据包的生存时间减小。因此，经过最小封装的包可能不能到达目的地。因为在一条长隧道中，每经过一台路由器，生存时间域的值就会减小。而对于同样长的隧道，采用IP的IP封装的数据包就可以经过该隧道到达目的地，因为这时生存时间域的值只在入口和出口减小。移动节点的实现者应认识到这个事实，并决定在注册过程中是否采用最小封装。但是对于ICMP报文的处理和防止递归操作的产生，最小封装和IP over IP的封装是一样的。

3.3GRE通用路由封装

GRE封装除了支持IP协议外，它还允许一种协议的数据包封装在另外一种协议的数据包的净荷中。当两者都是IP的时候，就可以理解为IP over IP的封装。另外对于递归封装的防止，GRE提供了特定机制来应对递归封装。GRE报头中有一个recure域，记录允许封装次数。每封装一次，recure减一。如果recure为0，就不能够再实现封装。如果一定要封装才能够传输，那么这个报文就会被抛弃。

4.隧道技术在真实通信系统中的应用方案

如图1 所示为基于WiMAX系统的移动IP应用方案的实现图。其中在两个Base之间就用到了隧道技术。该移动IP方案的实现避免了简单IP的MER和移动IP的HA。如果终端在保持业务的情 况下切换到另外一个小区，可以保持IP地址不变。如果在其它小区终端不释放IP地址，可以保持在原小区的IP地址。如果释放了，就转到当前小区下来获取IP。

图1 基于WiMAX系统的移动IP应用方案图

5.结束语

移动 IP 是基于网络层解决移动问题的方案，IP技术和移动通信技术的完美结合，正使得数据通信发生着深刻的改变。目前虽然移动IP中的隧道技术有了很大的发展，但是如何选择合适的技术进行设计和实施，才能更好、更顺利的保证移动IP的QOS,以及IPv4和IPv6的无缝互操作，也是今后一项值得深入研究的课题。

参考文献：

[1] 杜根远，邱颖豫. 基于隧道技术的IPv6 迁移策略[J]. 中国有线电视，2004（1）

[2] 张宏科，苏伟. IPv6路由协议栈原理与技术[M]．北京：北京邮电大学出版社，2006，7

[3] 汪军. IPv6 隧道设计方案的研究[J]. 武汉工业学院学报，2007,26(3)

[4] 沈庆伟,张霖. 基于隧道的IPv4/IPv6 过渡技术分析[J].计算机技术与发展，2007,17(5)

[5] 李金攻，张平，陈继光. 基于NAT—PT簇的集中式动态负载均衡的研究[J]．通信技术2009．第4期

篇8

关键词：网络管理网间控制报文协议(ICMP)WBM

网络管理的目的就是确保一定范围内的网络及其网络设备能够稳定、可靠、高效地运行，使所有的网络资源处于良好的运行状态，达到用户预期的要求。过去有一些简单的工具用来帮助网管人员管理网络资源，但随着网络规模的扩大和复杂度的增加，对强大易用的管理工具的需求也日益显得迫切，管理人员需要依赖强大的工具完成各种各样的网络管理任务，而网络管理系统就是能够实现上述目的系统。

1WBM技术介绍

随着应用Intranet的企业的增多，同时Internet技术逐渐向Intranet的迁移，一些主要的网络厂商正试图以一种新的形式去应用MIS。因此就促使了Web(Web-BasedManagement)网管技术的产生[2]。它作为一种全新的网络管理模式—基于Web的网络管理模式，从出现伊始就表现出强大的生命力，以其特有的灵活性、易操作性等特点赢得了许多技术专家和用户的青睐，被誉为是“将改变用户网络管理方式的革命性网络管理解决方案”。

WBM融合了Web功能与网管技术，从而为网管人员提供了比传统工具更强有力的能力。WBM可以允许网络管理人员使用任何一种Web浏览器，在网络任何节点上方便迅速地配置、控制以及存取网络和它的各个部分。因此，他们不再只拘泥于网管工作站上了，并且由此能够解决很多由于多平台结构产生的互操作性问题。WBM提供比传统的命令驱动的远程登录屏幕更直接、更易用的图形界面，浏览器操作和Web页面对WWW用户来讲是非常熟悉的，所以WBM的结果必然是既降低了MIS全体培训的费用又促进了更多的用户去利用网络运行状态信息。所以说，WBM是网络管理方案的一次革命。

2基于WBM技术的网管系统设计

2.1系统的设计目标

在本系统设计阶段，就定下以开发基于园区网、Web模式的具有自主版权的中文网络管理系统软件为目标，采用先进的WBM技术和高效的算法，力求在性能上可以达到国外同类产品的水平。

本网管系统提供基于WEB的整套网管解决方案。它针对分布式IP网络进行有效资源管理，使用户可以从任何地方通过WEB浏览器对网络和设备，以及相关系统和服务实施应变式管理和控制，从而保证网络上的资源处于最佳运行状态，并保持网络的可用性和可靠性。

2.2系统的体系结构

在系统设计的时候，以国外同类的先进产品作为参照物，同时考虑到技术发展的趋势，在当前的技术条件下进行设计。我们采用三层结构的设计，融合了先进的WBM技术，使系统能够提供给管理员灵活简便的管理途径。

三层结构的特点[2]：1)完成管理任务的软件作为中间层以后台进程方式实现，实施网络设备的轮询和故障信息的收集；2)管理中间件驻留在网络设备和浏览器之间，用户仅需通过管理中间层的主页存取被管设备；3)管理中间件中继转发管理信息并进行SNMP和HTTP之间的协议转换三层结构无需对设备作任何改变。

3网络拓扑发现算法的设计

为了实施对网络的管理，网管系统必须有一个直观的、友好的用户界面来帮助管理员。其中最基本的一个帮助就是把网络设备的拓扑关系以图形的方式展现在用户面前，即拓扑发现。目前广泛采用的拓扑发现算法是基于SNMP的拓扑发现算法。基于SNMP的拓扑算法在一定程度上是非常有效的，拓扑的速度也非常快。但它存在一个缺陷[3]。那就是，在一个特定的域中，所有的子网的信息都依赖于设备具有SNMP的特性，如果系统不支持SNMP，则这种方法就无能为力了。还有对网络管理的不重视，或者考虑到安全方面的原因，人们往往把网络设备的SNMP功能关闭，这样就难于取得设备的MIB值，就出现了拓扑的不完整性，严重影响了网络管理系统的功能。针对这一的问题，下面讨论本系统对上述算法的改进—基于ICMP协议的拓扑发现。

3.1PING和路由建立

PING的主要操作是发送报文，并简单地等待回答。PING之所以如此命名，是因为它是一个简单的回显协议，使用ICMP响应请求与响应应答报文。PING主要由系统程序员用于诊断和调试实现PING的过程主要是：首先向目的机器发送一个响应请求的ICMP报文，然后等待目的机器的应答，直到超时。如收到应答报文，则报告目的机器运行正常，程序退出。

路由建立的功能就是利用IP头中的TTL域。开始时信源设置IP头的TTL值为0，发送报文给信宿，第一个网关收到此报文后，发现TTL值为0，它丢弃此报文，并发送一个类型为超时的ICMP报文给信源。信源接收到此报文后对它进行解析，这样就得到了路由中的第一个网关地址。然后信源发送TTL值为1的报文给信宿，第一个网关把它的TTL值减为0后转发给第二个网关，第二个网关发现报文TTL值为0，丢弃此报文并向信源发送超时ICMP报文。这样就得到了路由中和第二个网关地址。如此循环下去，直到报文正确到达信宿，这样就得到了通往信宿的路由。

3.2网络拓扑的发现算法具体实现的步骤：

(1)于给定的IP区间，利用PING依次检测每个IP地址，将检测到的IP地址记录到IP地址表中。

(2)对第一步中查到的每个IP地址进行traceroute操作，记录到这些IP地址的路由。并把每条路由中的网关地址也加到IP表中。(3)对IP地址表中的每个IP地址，通过发送掩码请求报文与接收掩码应答报文，找到这些IP地址的子网掩码。

(4)根据子网掩码，确定对应每个IP地址的子网地址，并确定各个子网的网络类型。把查到的各个子网加入地址表中。

(5)试图得到与IP地址表中每个IP地址对应的域名(DomainName)，如具有相同域名，则说明同一个网络设备具有多个IP地址，即具有多个网络接口。

(6)根据第二步中的路由与第四步中得到的子网，产生连接情况表。

4结语

本文提出的ICMP协议的拓扑发现方法能够较好的发现网络拓扑，但是它需要占用大量的带宽资源。本系统进行设计时，主要考虑的是对园区网络的网络管理，所有的被管理设备和网管系统处于同一段网络上，也就是说，系统可以直接到达被管理的网络，所以对远程的局域网就无能为力了。在做下一步工作的时候，可以添加系统对远程局域网络的管理功能。

参考文献

[1]晏蒲柳.大规模智能网络管理模型方法[J].计算机应用研究.2005,03.

篇9

关键词：校园网；网络安全；安全威胁

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)12-21545-02

Brief Discussion on the Security Threat Faced by Campus Network in Colleges on Present

ZHONG Ping

(Network and Education Technology Center, Hanshan Normal University, Chaozhou 521041,China)

Abstract:As the fast development of campus network in colleges, various data on the campus network are increasing quickly. However, there are more and more attacks to the campus network, different kinds of security problems prevent the regular running of campus network. It causes security incidents happen continually, and the campus network faces the greatest threat. This essay bases on the features of the campus network security in colleges, and discusses the security threat faced by the campus network in colleges on present and its reasons.

Key words:Campus network;Network security;Security threat

1 引言

随着计算机网络技术与多媒体技术的不断发展，现代教育面临一系列的改革。尤其是多媒体网络技术在教育教学过程中的应用越来越普遍，因此，建设校园网络成为教育信息化发展的重要基础。同时，网络设备价格的不断下降以及国家对教育的投入不断增加，我国校园网的建设发展非常迅速，各大、中小学纷纷投入到校园网络的建设中来。相比而言，高校校园网的建设走得要更快一些，目前全国已经超过1000所高校接入了中国教育科研网（CERNET）。大部分高校的校园网基础设施己初具规模，实现了“千兆到楼，百兆到桌面”，几乎所有的办公、教学、宿舍楼都接入了校园网，网络系统成熟稳定，网络应用系统更加丰富。

校园网作为互联网的重要组成部分，是高校信息化进程中最主要的基础设施，担负着学校教学、科研、管理和对外宣传与交流等多种角色，从校园网基础设施建设、管理信息系统开发、网络教学及远程教育应用发展到目前的数字化校园建设，为高校提高办学水平，管理决策水平等方面起到了决定性的作用。

2 校园网的网络安全特点

建立校园网是为了实现资源共享、信息服务、网络教学、远程接入和网上办公等，这就决定了校园网安全方面具有如下特点：

(1)开放的网络环境。由于学校具有教学和科研的特点，所以要求校园网络的环境是开放的，而且在管理方面较企业网络来说更宽松一些。在校园网环境下，不可能像企业网络一样实施过多的限制，否则一些新的应用、新的技术很难在校园网内部实施。这样就会留下一些安全隐患；

(2)活跃的用户群。在高校中，学生通常是最活跃的网络用户，而且数量非常庞大，他们对网络新技术充满好奇，敢于尝试。一些学生会尝试使用从网上学到的或者是自己研究的一些攻击技术，而这些行为可能对校园网络造成一定的影响和破坏；

(3)用户计算机系统无法实施统一管理。高校校园网用户构成较复杂，数量庞大，用户的计算机一般是由自己维护的，由于用户水平参差不齐，一些计算机水平较低的学生和老师无法进行基础的安全防范如更新系统、安装和升级防病毒软件等。另外，用户大多数是使用盗版软件或者是在互联网上下载的一些破解软件，这些软件存在很多的问题，例如留有后门、携带病毒、嵌入有恶意软件等，这些都会影响计算机系统的正常运行。在这些情况下要求统一对所有计算机进行管理需要付出很大的财力、人力、物力，并且实施起来相当困难。

以上这些特点是造成校园网容易成为攻击源的主要原因，同时也造成校园网成为最容易攻击的目标。

3 校园网面临的安全威胁

校园网作为学校重要的基础设施，其网络安全状况直接影响着学校的正常运作。在建设初期中，由于安全意识、安全管理等多方面的原因，在网络安全方面没有引起足够的重视，随着应用的深入，校园网上各种数据急剧增加，网络的攻击越来越多，各种各样的安全问题开始阻碍了校园网的正常运行，造成网络安全事故不断发生，使校园网的安全面临极大的威胁。同时，随着网络规模的不断扩大，复杂性不断增加，异构性不断提高，用户对网络性能要求的不断提高，网络安全管理也逐步成为网络管理中极为关键的任务之一。

从根本上说，校园计算机网络系统的安全隐患都是利用了网络系统本身存在的安全弱点，而系统在使用、管理过程中的失误和疏漏更加剧了问题的严重性。威胁高校网络系统的安全的因素很多，主要表现如下：

3.1 网络协议漏洞造成的威胁

TCP/IP协议簇是互联网使用的网络协议，也是多数高校校园网采用的网络协议。TCP/IP协议簇具有开放性和通用性等特点，并且在因特网最初的设计中基本没有考虑安全问题，存在着很大的安全隐患，缺乏强健的安全机制，同时，任何组织或个人都可以研究、分析及使用，因此，TCP/IP协议的任何安全漏洞都可能被利用。主要存在的安全问题有：

(1)数据窃听(Packet Sniff) ：TCP/IP协议数据流采用明文传输，因此数据信息很容易被窃听、篡改和伪造。攻击者可以利用Sniffer Pro或网络分析仪等捕获网络上传输的数据包，获取有价值的信息如用户账号、口令及其它机密信息等，从而达到攻击的目的；

(2)源地址欺骗(Source Address Spoofing)：通过伪造某台主机的IP地址骗取特权从而进行攻击的技术。由于TCP/IP协议使用IP地址作为网络节点的唯一标识，但是节点的IP地址又不是固定不变的，因此攻击者可以冒充某个可信任节点进行攻击。

(3)源路由选择欺骗(Source Routing Spoofing)：通过指定路由，以假冒身份与其他主机进行合法通信或发送假报文，使受攻击主机出现错误动作。在TCP/IP协议中，IP数据包为了测试的目的设置了一个选项――IP Source Routing，该选项可以直接指明到达节点的路由，攻击者可以利用这个选项进行欺骗，进行非法连接。攻击者通过冒充某个可信任节点的IP地址，构造一个通往某个服务器的直接路径和返回路径，利用可信任用户作为通往服务器的路由中的最后一站，就可以向服务器发送请求，对其进行攻击。

(4)ARP欺骗（Address Resolution Protocol Spoofing）：ARP协议的作用是在通信过程中将IP地址转换为MAC地址。在安装有TCP/IP协议的主机系统中都有一个IP地址与MAC地址的对应转换表，主机在发送数据帧前会查询转换表，将目标MAC地址更改为目标IP所对应的MAC地址。ARP欺骗就是向被攻击主机发送虚假的IP-MAC对应信息，从而达到欺骗的目的。

(5)鉴别攻击(Authentication Attacks)：TCP/IP协议只能以IP地址进行鉴别，而不能对节点上的用户进行有效的身份认证，因此服务器无法鉴别登陆用户的身份的真实性和有效性。目前主要依靠服务器软件平台提供的用户控制机制，比如用户名、口令等。虽然口令是以密文存放在服务器上，但是由于口令是静态的、明文传输的，所以无法抵御重传、窃听。而且在很多系统中常常将加密后的口令文件存放在一个普通用户就可以读到的文件里，攻击者也可以运行准备好的口令破译程序来破译口令，对系统进行攻击。

(6)TCP序列号欺骗(TCP Sequence Number Spoofing)：由于TCP序列号可以预测，因此攻击者可以构造一个TCP序列号，对网络中的某个可信节点进行攻击。

(7)ICMP攻击(ICMP Attacks)：ICMP是关于IP差错与控制的协议，但ICMP中的许多功能可被攻击者利用来实施攻击，如攻击者可利用：ICMP重定向消息(ICMP redirect message)来破坏路由机制和提高侦听业务流能力；ICMP回应请求/应答消息(ICMP echo request/ reply message)实行拒绝服务攻击；ICMP目的不可达消息(Destination unreachable message)实现点对点应用的拒绝服务；ICMP的ping命令可以获得关于一个网络的设置和可达性等信息。

(8)拒绝服务((DoS)攻击：这是一种最古老也是最有效的攻击方法。它可以针对任何加密系统进行攻击，因为加密并不是没有代价的，加密和验证运算都需要消耗大量的资源(包括占用CPU的时问)。如果组织大量数据同时访问某主机，使得该主机在验证数据合法性的同时，做大量不相干的事，完全可能使该主机陷入瘫痪，而无法响应正常的数据访问。

(9)IP栈攻击(IP Stack Attack)：利用大多数操作系统不能处理有着相同源、目的IP地址(主机名、端口)IP包的缺陷，把伪造的此种类型的IP包发往目标主机，就能导致目标主机系统崩溃。

3.2 操作系统及应用系统的漏洞造成的威胁

操作系统及应用系统漏洞的大量存在是网络安全问题的严峻的重要原因之一。根据国际权威应急组织CERT/CC统计（如表1所示），2006年公布漏洞数8064个，自1995年以来各年来漏洞公布总数30780个，从近几年统计情况看，发现漏洞数量处于较高水平，并且有逐年增加的趋势。另外，利用漏洞发动攻击的速度加快，据Symantec统计，2004年下半年，公布漏洞与相关的漏洞攻击代码之间相隔的时间为6. 4天，到了2005年上半年，公布安全漏洞到相关攻击代码之间的平均时间由6.4天缩短为6.0天。

表1 CERT漏洞统计报告

近几年来，利用漏洞开发的计算机病毒在互联网上泛滥成灾，频频掀起发作狂潮，并且随着网络带宽和计算机数量的增加，病毒的传播速度越来越快。以“求职信”、“红色代码”、“尼姆达”和“2003蠕虫王”为代表的蠕虫病毒，通过Internet在全球范围内迅速蔓延，造成严重的网络灾害。例如，2002年4月中旬，“求职信”恶性网络病毒袭击捷克，使其蒙受重大经济损失，中国大陆及台湾地区也遭受攻击。2003年1月25日，新型蠕虫病毒“2003蠕虫王”大规模爆发，波及亚洲、美洲和澳洲等地区，致使我国互联网大面积感染。2003年8月11日，在美国爆发的“冲击波”蠕虫病毒开始肆虐全球，并且迅速传播到欧洲、南美、澳洲、东南亚等地区。据报道，截至8月14日，全球已有25万台电脑受到攻击。我国从11日到13日，短短三天间就有数万台电脑被感染，4100多个企事业单位的局域网遭遇重创，其中2000多个局域网陷入瘫痪，严重阻碍了电子政务、电子商务等工作的开展，造成巨大的经济损失。2004年最主要的蠕虫事件是利用微软视窗系统LSASS漏洞传播的“震荡波”系列蠕虫，造成大量的用户计算机被感染。根据CNCERT/CC抽样监测发现我国有超过138万个IP地址的主机感染此类蠕虫。

3.3 攻击工具获取容易，使用简单

在互联网上，有很多攻击工具可自由下载，此类攻击工具设置简单、使用简便，即使对网络不太精通的人都可以利用攻击工具进行网络攻击。大量的廉价却很好用的攻击工具充斥于网络中，自动化攻击工具大量泛滥。从图1可以看出，随着攻击复杂度的降低，使得一个普通的攻击者也可以对系统造成巨大的危害。攻击技术的普及使得高水平的攻击者越来越多，反而言之，安全管理员面临着巨大的挑战，我们的系统面临的安全威胁也越来越大。

图1 攻击复杂度的变化规律

3.4 校园网用户的安全意识不强，计算机及网络应用水平有限

校园网用户网络安全尚未能充分认识，基本上没有或很少对所使用计算机作安全防范。校园网用户更多地侧重于各类应用软件的操作上面，以期望方便、快捷、高效地使用网络，最大限度地获取有效的信息资源，而很少考虑实际存在的风险和低效率，很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。

目前，关于网络安全的法律法规都已出台，学校网络中心也都制定了各自的管理制度，但宣传教育的力度不够。许多师生法律意识淡薄，出于好奇或卖弄编程技巧的心理，破坏了网络的安全。网上活跃的黑客交流活动，也为他们的破坏活动奠定了技术基础。

4 结束语

综上，构建一个覆盖整个校园网络的全方位、多层次、多种防御手段的网络安全防范体系，利用网络安全防范的相关技术，从根本上解决来自校园网络内外部对网络安全造成的各种威胁，为高校的教学信息系统、行政管理、信息交流等提供一个安全的环境和完整的平台。

参考文献：

[1]胡铮.网络与信息安全[M].北京:清华大学出版社,2006.5:16-21.

[2]矫健,韩芳溪,毛忠东.网络攻击手段及防御系统设计[J].计算机工程与应用,2003(33):168-170.

[3]秦宗全,于咏梅,郭大春.校园网络安全防范体系研究[J].计算机时代,2007(2):16-18.

篇10

【 关键词 】 IPv6； 互联网； 安全

Internet Security Research based on IPv6

Ni Hong-biao

（Jilin Police College JilinChangchun 130117）

【 Abstract 】 With the network technology development， the new generation of network protocol—IPv6 obtains the increasing attention. This article will research the network security based on IPv6 protocol. At first， it analyzes IPv6 characteristics and transform between IPV4 and IPv6. In the second place， this paper introduces IPv6 potential safety hazard and the related solution. At last， instrusion detection system is designed based on IPv6 with the key module workflow. This article provides positive significance to the network security workers.

【 Keywords 】 ipv6； internet； security

1 引言

当前，IPv4仍是当前互联网的重要协议，IPv6协议是在IPv4的基础上进一步的完善和发展的，被称为下一代互联网协议。

自上个世纪末IPv6的提出至今，IPv6协议的框架已经成熟，逐步取代IPV4成为下一代Internet协议，与IPv4相比，IPv6具有几项新特点：寻址能力得到扩展、分组头的格式得到简化、进一步提高了扩展能力、完善认证和加密机制、提供移动服务。

2 IPv4向IPv6的过渡策略

从IPv4到IPv6的过渡方法有三种：双协议栈技术、隧道技术及翻译机制。当前比较常用的技术是双协议栈技术和隧道技术，翻译机制由于效率比较低，应用的范围则较少。

（1）双协议栈技术 该技术的工作原理是将一台主机同时安装IPv6和IPv4两种协议，由于两者建立在相同的物理平台之上，且传输层协议也没有任何的区别，那么，主机就可以同时支持两种协议的通信。该技术可操作性比较强，应用方便，但是却增加了路由设置，对于网络中IP地址的耗尽问题仍然无法有效解决。

（2）隧道技术 该技术的方法是将IPv6的数据包封装在IPv4的数据包中，经过网络传输，到达目的主机后进行解封。这是当前最有效的过渡方法，该技术同样要求在主机上安装IPv4及IPv6两种协议。隧道技术的封装如图1所示。

（3）协议转换技术 该技术是由NAT技术转换而来，其转换技术是IPv6与IPv4之间的中间件，对于安装两种不同协议的主机来说，不需要对自身做出任何配置工作，就可以保证两者之间的正常通信。

3 IPv6的安全机制

IPv6协议的安全机制是IPSec，它内置于协议之中，IPSec主要有ESP（封装安全负载）、AH（认证报头）、SA（安全连接）和IKMP（网络密钥管理协议）四部分组成。其体系结构如图2所示。

IPv6协议的安全系数要远远好于IPv4协议，且安全的算法不再局限于特定的算法，可以有效保证IP数据包的安全。

4 IPv6的安全问题及策略

4.1 IPv6的安全隐患

IPv6协议要优于IPV4协议，但是网络共享的特点只要还存在，IPv6同样存在着来自不同方面的威胁，主要有几个方面。

（1）网络病毒及木马 IPv6网络中的地址数目众多，但是网络数据的传输要通过关键的服务器及路由来进行，所以当这些关键的节点受到攻击时，同样可到致整个网络系统崩溃。而木马和病毒的传播，受影响最多的节点就是路由和服务器。

（2）Dos攻击 该方式是通过消耗目的主机资源的方式展开攻击，在IPv6协议里，地址FF01：：1表示动态分配地址，如果向该地址进行攻击，会造成整个网络系统资源的大量损失。而通过IPv6协议的安全验证机制，一方面加大自身主机的资源损失，另一方面是对合法的数据可能在计算非法数据过程中丢失。

（3）TCP缺陷攻击 利用TCP协议的三次握手，可以保证数据的安全准确到达，但是当大量的伪造TCP报文向目的主机发送时，会占用大量的缓存空间和连接空间，致使正确的数据无法得到正确的响应和接收。

（4）应用服务威胁 当前，网络的应用功能越来越完善，应用的范围也越来越广，与此同时，在使用具体的应用功能时，攻击者可能将一些非法的数据或木马程序移植在应用程序之中，致使网络的安全受到威胁。

4.2 安全策略

针对上述的问题，我们进行有针对性地防范，主要采取的措施有几项。

（1）建立安全的可信网络 对网络中的节点进行有效的识别，将网络中可信的、安全的网络路由和服务器进行汇总，访问时采取优先访问的原则，而对于无法识别安全性能的网络节点，则对其数据进行重点防范和及时查杀病毒木马。

（2）DOS攻击的防范 由于攻击者隐藏在无数的网络节点之中，而且根本没有推测攻击发起的时间和具体攻击的对象，因此，对于DOS攻击只能采取积极的防范。当前针对该攻击主要采取的方法有报文过滤、资源共享、信任链路等有效措施。

5 基于IPv6的入侵检测系统

对于IPv6协议的防范，可以通过入侵检测系统来完成，对于系统来说，主要分为三部分，分别是数据输入、处理和输出。

系统设计的硬件平台为：若干台可以连接互联网的PC机，配置为：CPU Pentium 4 2.8G、内存2G、硬盘160G，两块网卡Intel（R） PRO/100 VE Network Connection，一块作为IPv4网络的接口，一块作为IPv6网络的接口。

本文所设计的入侵检测系统的设计、开发软件环境为：使用Windows XP操作系统，它是一个双协议栈主机，IPv4协议栈操作系统自带，IPv6协议栈在Windows XP中已经集成，可以直接安装，开发工具使用Microsoft Visual C++ 6.0，Windows XP Device Drivers Kit（Windows XP DDK）。

系统主要是数据的处理部分，该部分由七个模块组成，分别是存储模块、响应模块、分析检测模块、规则处理模块、协议解决模块、数据包捕捉模块和特征库组成。

核心代码如下所示：

u_char this_xieyi；

this_xieyi = （u_char）bao_type；

struct map_jilu *faxian_elm=NULL；

//处理TCP/UDP/ICMP

if（this_xieyi==XIEYI_TCP）{

faxian_elm=maptb.FaxianFromOuter（*（（u_short *）

retrieve_kuanjia（huancun.WZ_DST_TCPPORT）），

retrieve_kuanjia（huancun.WZ_SRC_IP），

*（（u_short *）retrieve_kuanjia（huancun.WZ_SRC_TCPPORT）），

this_xieyi）；

}

Else if （this_xieyi== XIEYI_UDP）{

faxian_elm=maptb.FaxianFromOuter（*（（u_short *）

retrieve_kuanjia（huancun.WZ_DST_UDPPORT）），

retrieve_kuanjia（huancun.WZ_SRC_IP），

*（（u_short *）retrieve_kuanjia（huancun.WZ_SRC_UDPPORT）），

this_xieyi）；

}

Else if （（this_xieyi== XIEYI_ICMP）&&isicmpreply（huancun））{

faxian_elm=maptb.FaxianFromOuter（*（（u_short *）

retrieve_kuanjia（huancun.WZ_ICMP_ID）），

retrieve_kuanjia（huancun.WZ_SRC_IP），

*（（u_short *）retrieve_kuanjia（huancun.WZ_ICMP_ID）），

this_xieyi）；

}

if（faxian_elm==NULL） //如果没有找到

{

*pIPv6_address=in6addr；

*pIPv6_port=0；

Return NO_MAPPING；

}else{ //找到合适的映射表条目

*pIPv6_address=faxian_elm->inner_ip；

*pIPv6_port= faxian_elm->inner_port；

对于IPv6和IPv4网络之间进行通信，以保证数据准确的、实时到达，通过Ping对其进行时延测试，测试结果如表1所示。

6 结束语

目前，我国纯IPv6协议的网络只是在局部的范围内应用，在相当长的一段时间内，还需要IPv4与IPv6协议彼此共存，对于两种协议之间的转换，当前国际上并没有统一的标准，在不断深入研究的过程中，会不断地改进。纯IPv6协议的安全系数相对较高，但IPv4与IPv6两者进行通信，数据包的丢失现象还存在，需要进一步地研究。

参考文献

[1] 熊英. IPv4/IPv6代沟协议转换技术的设计. 通信世界，2003.9.

[2] 苏金树，涂睿，王宝生，刘亚萍.互联网新型安全和管理体系结构研究展望.计算机应用研究，2009.10.

[3] 黄晓榕. 对新一代IP协议IPv6的分析.西南财经大学，2001.5.

[4] 杨云江，高鸿峰.IPv6技术与应用[M]. 清华大学出版社，2010.2.

基金项目：

项目编号：吉林警察学院院级科研课题yjky201311。