旁路对等网阻隔技术在电子商务中应用.docVIP

旁路对等网阻隔技术在电子商务中应用 　　[摘要] 对等网阻隔原理是“网络节点”中的监听主机首先将用户的数据劫持到本地,然后利用arp伪造arp包同时欺骗网关和客户机，达到阻隔目的。 　　[关键词] 对等网阻隔arp 　　 　　一、研究意义 　　 　　随着计算机技术的迅猛发展和互联网的快速普及，以及便捷廉价等优势，网络已成为人们获取信息、进行网上交易等活动的重要手段。众所周知，互联网是把“双刃剑”，它给人们工作、生活带来了极大进步和便利的同时，也带来了巨大的负面影响，各种邪教、色情、暴力、赌博等有害信息也充斥着互联网网络。伴随“对等网”（P2P）技术的发展，网上可以使用的P2P工具也越来越多，如QQ、ICQ、MSN?Messenger、eDonkey、eMule、迅雷,以及BT等都是比较流行的P2P工具。由于P2P本身技术特点，它既可作客户端又可作服务器，因此信息资源极其丰富。其获取方便、速度快、隐蔽性强、对其控制难等特点，给有害信息迅速传播提供了一条快车道，其危害性比网站传播更大。网络安全是影响电子商务迅速发展的一个重要因素之一，因此在电子商务等特定场所，有必要对对等网进行适当控制，确保电子商务交易的正常进行。 　　 　　二、研究方法 　　 　　基于旁路阻隔技术的主要优点是性能高,而且不影响正常的网络结构,目前常用的方法一般有这样几种: 　　1.利用icmp报文的host unreachable回应来干扰应用程序 　　其基本原理是这样的:当路由器收到一份IP数据报但又不能转发时，就要发送一份ICMP“主机不可达”差错报文给主机。如果我们伪造这样一个icmp报文,并且伪造IP地址为路由器的,这样主机收到这个icmp报文后,就误认为目标不可达,从而达到了阻隔的目的。 　　2.利用打乱tcp报文的seq,ack序列号来达到阻隔的目的 　　这种过滤技术也是目前用的最成熟,适用面最广的一种技术。TCP协议采用了两种条件来确认每条已经建立连接的TCP通道，第一个是基础连接确认，即TCP连接中的四大必备条件：源IP、源TCP端口、目标IP、目标TCP端口；第二个是“序号标识”（Sequence numbers，SEQ），它们是成对出现的，分为“Sequence”（SEQ，序号字段）和“Acknowledgement Sequence”（ACK SEQ，确认序号字段），TCP每次建立一个连接时，会给双方指定这样一条规则：序号字段指出了本报文中传送的数据在发送主机所要传送的整个数据流中的顺序号，而确认序号字段指出了发送本报文的主机希望接收的对方主机中下一个八位组的顺序号。TCP如此谨慎，就是为了避免出现前面提到的假设，虽然这种假设发生的几率很小（需要满足TCP的基础连接确认条件），但是它总有机会发生的。然而不幸的是，这对序号是可以预测的，因为TCP必须遵从以下守则：一台主机即将发出的报文中的SEQ值应等于它所刚收到的报文中的ACK SEQ值，而它所要发送报文中的ACK SEQ值应为它所收到报文中的SEQ值加上该报文中所发送的TCP数据的长度，即两者存在“本次发送的SEQ=上次收到的ACK SEQ；本次发送的ACK SEQ=上次收到的SEQ+本次发送的TCP数据长度”的联系。知道这个规律后，我们就可以利用它来进行阻隔。和icmp阻隔的原理差不多,都是采用伪造报文的方式,我们用旁路的方式获取了源主机与目的主机通讯的seq，ack序列号,则我们根据这个序列号和报文的长度,可以算出源主机需求的下一个报文的序列号,然后伪造这个序列号,这样就可以达到阻隔源主机的目的了。这种方式的适用面非常广,所有基于tcp的协议都可以阻隔。而且目前的过滤系统,IDS系统均是基于这个原理来做的。 　　3.利用发送tcp reset报文来实现阻隔 　　原理同上,只不过发送的不是ack报文,而是reset报文,这样针对客户端的效果更好。 　　4.基于协议的伪造 　　由于基于tcp的seq,ack序列号伪造的方法和发送reset报文的办法不适合udp协议,故对于udp协议的伪造还得另想办法。udp协议的阻隔没有通用的办法,只有针对具体的协议来进行伪造,不过目前互联网上基于udp协议的系统还不是很多,大部分还是基于tcp协议的。这种方法适用面很窄,只能针对具体的udp应用协议,如qq。针对这些协议,伪造服务端与客户端通讯,从而中断客户端的连接。 　　 　　三、实例验证 　　 　　这里有一个对等网旁路阻隔的演示程序,它是基于winpcap4.0_beta2库支持，使用VC++6.0开发,运行于win2000/xp下的程序。系统可以运行在两种环境下: 　　1.推荐的环境(如图1) 　　将装旁路阻隔程序的计算机安装两个网卡,一个网卡连接到