引言

在現(xiàn)代計算機網(wǎng)絡中，網(wǎng)絡拓撲結構描述了設備間的邏輯和物理連接，是網(wǎng)絡的關鍵資產之一。泄露的網(wǎng)絡拓撲信息可能被攻擊者利用，以發(fā)起更為精準的APT（Advanced Persistent Threat）攻擊。為了防止網(wǎng)絡拓撲信息泄露，網(wǎng)絡管理員通常會采取一些預防措施，如丟棄具有較小TTL（Time to Live）值的數(shù)據(jù)包或禁用ICMP（Internet Control Message Protocol）數(shù)據(jù)包。這些措施雖然在提升網(wǎng)絡安全性方面起到了積極作用，但同時也可能帶來一些負面影響，比如降低網(wǎng)絡的靈活性和妨礙與合作伙伴或其他組織的通信，從而影響網(wǎng)絡的可調性和可用性。

目前，已有多種基于IP地址［1-4］、令牌［5-11］以及哈希鏈［12-22］的可信認證技術被提出，用于增強網(wǎng)絡安全。然而，針對類Traceroute網(wǎng)絡拓撲探測流量可信認證的研究尚處于起步階段。

為了在確保網(wǎng)絡拓撲信息安全的同時，最大限度地保持網(wǎng)絡的靈活性和可調性，本文提出了一種多機制融合的可信探測認證技術，旨在對類Traceroute的拓撲探測流量進行認證。該技術通過基于IP地址的可信認證、基于令牌的可信認證以及基于哈希鏈的可信認證三種機制融合，實現(xiàn)了效率與安全的平衡。通過這種方法，網(wǎng)絡管理員可以在不阻斷合法拓撲探測的前提下，保護網(wǎng)絡拓撲信息，并保留網(wǎng)絡可調性。

本文基于Traceroute工具的原理，開發(fā)了一種支持該可信探測認證技術的拓撲探測工具，并利用Netfilter技術在Linux主機上以防火墻的形式實現(xiàn)了這一技術。此外，本文對該技術的功能和性能進行了驗證，實驗結果表明，該技術可有效識別可信探測，與傳統(tǒng)的Traceroute工具相比，延遲略有提升。

本文詳細內容請下載：

http://m.jysgc.com/resource/share/2000006044

作者信息：

王斌，李琪，張宇，史建燾，朱國普

（哈爾濱工業(yè)大學網(wǎng)絡空間安全學院，黑龍江哈爾濱150001）