基于传输层协议网络访问控制探究.docVIP

基于传输层协议网络访问控制探究 　　【摘 要】基于通过域名解析控制网络访问的原理，提出一种设计方案。首先运用网络分析库WinPcap构建网闸程序，抓取TCP/IP协议数据包，并进行分析，筛选出DNS、HTTP等OSI应用层协议的请求数据包。在此基础上由网闸程序根据不同协议构建响应数据包回复这些请求，从而将网络访问引导至指定IP地址，实现网络访问控制。该方案的设计为相关技术的进一步研究提供了新的思路和参考 【Abstract】Based on the principle of network access through DNS control， a design scheme is put forward. First using WinPcap network analysis library building network gateway program， grabbing the TCP/IP protocol packets， and analyzing it ，selecting the request packet of the OSI application layer protocol such as DNS， HTTP. On this basis， through the network gateway program reply to these requests according to different protocols build response packet， which will lead to specify the IP address， realize the network access control. The scheme design for relevant technology provides a new train of thought and reference for further research. 【?P键词】TCP/IP协议；域名解析；DNS劫持；广告路由器 【Keywords】TCP/IP protocol； DNS； DNS hijacking； advertising router 【中图分类号】TP393.08 【文献标志码】A 【文章编号】1673-1069（2017）03-0073-03 1 引言 域名解析是把域名解析到一个IP地址的过程，通过域名解析用户不再需要记住难记的IP地址，只通过好记的域名即可访问服务器，是常见的用户访问网络的行为。而当今有许多场景是需要对网络访问进行控制的，比如学校开设的上机操作课程、公共场所免费Wi-Fi信号的网络接入认证、对国内外敏感网站的访问以及特定的内部工作网络等，都需要对用户上网行为进行控制。目前，控制用户网络访问的相关技术在国内取得长足进展，许多硬件、软件类产品已投入商业使用 2 目前常见的网络访问控制技术介绍 ①DNS协议特征分析技术。该技术原理是在网络访问链路中一个节点的网络设备上监听DNS端口，根据DNS协议特征筛选出该端口上接收到来自用户端的DNS查询请求类数据包，并构造一个指向特定IP地址的DNS响应数据包返回给用户端，常见的DNS劫持、DNS污染等都属于该技术应用范畴。该方案优点在基于DNS协议特征进行处理，不会被安全防护软件、防火墙等视为网络安全威胁。但其局限性在于不能完全阻止用户的网络访问行为，比如用户可以通过IP地址直接访问网络，或者使用VPN上网，这些能绕开DNS解析。同时，用户端可以通过修改本机Hosts文件的方法设置域名正确的IP地址，也可以通过安装防DNS污染软件忽视掉不正确的解析结果，因此该技术的应用效果有限，仅仅能控制通过域名来访问网络的行为。[1] ②ARP欺骗技术。由于局域网的网络流通不是根据IP地址进行，而是根据MAC地址进行传输。因此，在用户端未获得访问许可时，可以将假网关设备的MAC伪装成网关设备的MAC地址发给用户端，让用户端的所有网络访问数据包流向假网关设备，从而达到限制用户端的网络访问行为。ARP是地址解析协议，是一种将IP地址转化成物理地址的协议，利用ARP协议就可以实现上述的技术方案。ARP的工作原理是：每台主机都会在自己的ARP缓冲区中建立一个ARP列表，以表示局域网内IP地址和MAC地址的对应关系。当源主机需要发送数据包到外网时，是需要将数据包发往网关设备IP对应的MAC地址的，因此会首先检查自己ARP列表中是否存在网关IP地址对应的MAC地址，如果有，则直接将数据包发送到这个MAC地址；如果没有，就向局域网内发送一个ARP请求的广播包，查询网关IP对应的MAC地址。此ARP请求数据包里包括源主机IP