基于网络处理器IXP2350的IPSec协议实现设计

本文首先简单介绍了Intel IXP2350网络处理器的性能特点,以及采用此处理器作为IPSec协议的实现设计的原因;然后阐述了如何根据IXP2350硬件结构NPE1单元支持的加密/认证算法来实现IPSec协议,介绍了软件模块如何划分,并且详细说明了需要微码开发的软件处理流程,最终的实现说明了用此种分布式处理器实现IPSec比传统的集中式处理方式明显要优越。     

IXP425的体系结构和并行处理技术研究

网络处理器(NP,Network Processor)是一种适应更高速带宽网络需要的专用处理器,它通过专门优化包处理,将数据包以其到达的速度送到下一个节点,而不像一般的通用处理器那样要同时处理范围很大的各种指令.本文介绍了Intel公司的网络处理器IXP425的体系结构、功能特点和基于IXP425网络处理器的并行处理技术.     

关于IXP2400网络处理器的多线程编程技术的研究*

IXP2400是Intel公司生产的第二代网络处理器,主要应用于开发高性能、可扩展的网络设备。在IXP2400网络处理器的基础上,分析研究了包处理技术在多线程的环境下面临的两个关键的问题——同步和包排序。     

基于Intel XScale IXP425处理器的嵌入式IPv6防火墙设计与实现

为解决防火墙对IPv6协议的兼容及对内部网络之间安全的保障问题。本文设计实现了基于Intel Xscale IXP425处理器的嵌入式IPv6防火墙。该防火墙能通过WEB实现远程管理．对IPv6网络包和IPv4网络包均可进行良好的过滤。防火墙能够判断出网络包的协议类型,分别加以处理,实行动态包过滤,并可以解决IPv6分片攻击问题。通过实际设定过滤规则,对防火墙在IPv6和IPv4下的工作情况进行测试,验证了防火墙的准确性和高效性。     

基于Intel XSeale IXP425处理器的嵌入式IPv6防火墙设计与实现

为解决防火墙对IPv6协议的兼容及对内部网络之间安全的保障问题。本文设计实现了基于Intel Xscale IXP425处理器的嵌入式IPv6防火墙。该防火墙能通过WEB实现远程管理．对IPv6网络包和IPv4网络包均可进行良好的过滤。防火墙能够判断出网络包的协议类型,分别加以处理,实行动态包过滤,并可以解决IPv6分片攻击问题。通过实际设定过滤规则,对防火墙在IPv6和IPv4下的工作情况进行测试,验证了防火墙的准确性和高效性。     

基于IXP2850的异常流量检测模块的设计与实现

为了解决高速网络中异常流量对节点系统的冲击而难以实时检测的问题,设计实现了一种基于网络处理器IXP2850的异常流量检测系统模块。该模块采用两个微引擎并行的方式嵌入到路由系统的流水处理中,提出了分级统计的方法来解决IXP2850可移植构架中线程交叉复杂而造成的资源冲突问题,提高了系统的吞吐量,采用用户行为距离运算和本地资源监控相结合的分析方法,对突发性流量攻击的检测在精度和反应延迟表现优于一般的采集-分析异构系统。     

基于ICMP扩展的链路状态检测方法

传统的ICMP在主机存活检测、端口扫描及网络拓扑发现等网络信息获取方面已经有了广泛应用.但检测信息单一,方法不灵活,网络局限性大等问题依然突出.本文就基于ICMP协议提出了一种携带链路接口信息的连通性检测方法.主要是在原始ICMP协议的基础上,增加一个可变长度的链路状态字段,用于存储接口设备标识和带宽负载.论文重点解决如何利用ICMP回显应答报文携带传输这些接口信息给源端以及中间节点的接收处理.通过此方法能有效的帮助我们了解整个网络拓扑和带宽延迟,填补了传统的连通性检测方法缺少网络链路状态信息这一空白.     

基于IXP2800和VxWorks的嵌入式病毒防火墙实现*

针对隐蔽在网络流量中的攻击,提出了基于Intel IXP2800网络处理器和VxWorks的嵌入式病毒防火墙(embedded anti-virus firewall)实现方案。该方案将硬件包过滤技术与应用层病毒实时防护相结合,底层数据包的实时响应、过滤转发等处理均由IXP2800的微引擎完成,而使XSCALE主处理器更专注于高层协议的病毒扫描过滤。实验数据表明,这种实现方案运行稳定,具有良好的性能指标。     

一种基于NP的高速网络入侵检测系统的设计

IXP2400是Intel公司推出的新一代网络处理器,具有较高的处理性能和较好的可扩展性。本文研究了入侵检测系统所要求的功能及性能特点,利用了IXP2400处理器内部硬件的高性能特点,提出了“接收-基于协议的解析-匹配检测”的设计思想,设计了一种基于IXP2400的入侵检测系统,使整个系统的处理性能基本达到了高速网络环境的要求。     

IXP1200网络处理器多层次并行机制研究

主要对千兆通讯的网络处理芯片IXP1200网络处理器进行研究和分析,着重探讨和研究其先进的多级并行设计机制.主要从体系结构和并行设计技术两个角度对IXP1200网络处理器的数控分层和多层次并行等设计机制进行了介绍.突出了其利用多线程、多处理器的先进设计结构来优化设计、提高处理速度的设计理念和实现过程,并在最后进一步详细讨论了如何利用特定微码指令来实现IXP1200网络处理器的指令并行和多线程并行的程序调度方法和设计技术.     

局域网网线软件锁的设计与实现

系统基于TCP／IP中的ICMP协议的工作原理,利用VB6．0编程语言封装ICMP数据包,并通过Windows操作系统API网络接口函数在局域网中发送,从软件开发的角度探索网线软件锁的实现方法和步骤．     

基于合作过滤机制的ICMP回溯DDoS攻击源方法

提出一种改进的ICMP回溯方法。此方法是基于合作过滤机制的,采用合作过滤机制能够使产生的ICMP回溯包更有效并在尽可能靠近DDoS攻击源的地方过滤攻击包和保护合法包,改进后的ICMP方法对引发ITrace包的IP包从靠近攻击源的地方同步跟踪到受害者,提高了重构攻击路径的速度和准确性。     

一种改进的ICMP差错报文处理的IPSec协议

本文分析了IPSec协议在通道模式下对ICMP差错报文不能正确转发的问题,并对原IPSec协议进行改进,提出了一种对SA改进的IPSec解决方案。改进后的方案能够在保持原IPSec特性的基础上解决该问题,并能够与已有的IPSec实施方案兼容。     

用ICMP封装用户数据进行通信的方法及其实现

利用ICMP数据报的隐蔽性和穿透防火墙的能力,在ICMP报文中封装用户数据进行通信。并以此为基础引入TCP协议的一些实现技术,从而使这种通信模式具有面向连接的能力并具有一定的可靠性。文中还给出了主要数据结构的描述。     

基于ICMP协议的攻击及其防范

介绍ICMP协议及其特性,分析了黑客利用ICMP协议而产生的攻击:ICMP洪流和重定向,并提供了相应的解决方法.     

关于针对DDoS中Flood攻击的防御系统的研究

本文主要针对DDoS中的Flood攻击的攻击特点,提出一种防御系统的结构,能够满足对不同Flood攻击检测的简易性、有效性的要求,并且与网络的地理位置、拓扑结构规模无关。该系统主要划分为检测攻击和确定攻击目标两个阶段。检测攻击阶段根据时攻击特征有较好描述性的源地址、目标地址、TCP报文的标志以及ICMP报文的类型,检测攻击是否发生。当检测出攻击发生,启动确定攻击目标阶段,找山攻击目标的具体IP地址。最后综合这两阶段的结果,提取攻击特征,将满足这些特征的数据包过滤掉,达到防御的效果。     

ICMP安全性分析研究

本文论述了有关ICMP的工作原理,ICMP在当代网络中的应用和ICMP存在的缺陷,同时阐述了网络上大量的基于ICMP的攻击,并提出了一些防御方案。     

主机连通性测量的协议差异分析

TCP和ICMP都可测量连通性，了解二者的测量结果差异对网络故障诊断、网络建模等有指导意义。为比较二者的测量差异，从互联网选择两个主机集合作为探测目的，对测试参数选择进行评估，保证测试准确，执行连通性测量对比实验。结果表明，二者连通性测量结果有很大差异，TCP能比ICMP更准确地探测主机连通性。     

针对ICMP报文处理问题的IPSec协议改进方案

IPSec应用在通道模式下时，对原始IP数据报另外封装了一个外部通道IP头(其中的源、目的地址分别指向实施IPSec的起始、终止端点的地址)，导致报文传输途中的路由器对其封装的IP数据报所产生的ICMP差错报文不能在因特网上进行正确转发。该问题是一个难解决的问题，目前暂无成熟可行的方案。针对此问题，本文提出两种对IPSec协议进行改进的方案，均能保证在不影响原有IPSec实施效率的前提下，解决该难题。     

基于ICMP的网络攻击与防范

许多网络攻击都基于ICMP协议。本文首先介绍ICMP协议,接着探究了常见的基于ICMP的网络攻击的原理,最后提出防火墙应对方案以防止和减轻这种攻击所造成的危害。