网络窃密、监听和防泄密技术第11章 网络监听技术的应用.pptVIP

图11-1 网络监听技术的应用 　　(2) 屏蔽IP地址。当用户从DNS服务器得到某非法网站IP地址后，监控系统经过与预定义的黑名单比较，能及时发现并禁止对该IP地址的访问行为，使用户浏览器显示“The connection has been reset.”的提示。此外，为防止用户通过非法代理服务器进行非法IP的访问，除本书第9章9.3.4节采用的方法外，还必须将常用的非法代理服务器加入IP黑名单。　　(3) 内容过滤。必须监控用户访问非法网页或通过电子邮件、论坛、社交网络等泄露敏感信息的行为，如图11-2所示。一旦发现传输的数据内容包含敏感词语，就必须立刻重置连接，并根据用户平时违规情况，制定对该用户IP的相应惩罚措施，包括在一段预定或随机的时间内试图阻止从用户主机发出的所有通信。 图11-2 基于敏感词识别的内容过滤 11.1.2 IP连接重置技术　　在进行非法IP地址屏蔽和基于内容过滤的用户访问控制时，一般可以采用IP连接重置技术。该技术来源于TCP/IP协议中的某些约定，比如向用户发送ACK-FIN或IP RST复位包等，这种复位技术对TCP连接有效。如今被广泛应用的HTTP协议，正是使用TCP作为传输层协议。　　为保证连接重置的可靠性和高效性，可以采用“多点/多次重置”的办法，确保非法用户的访问行为得到禁止。当然，如果考虑成本，两个重置点就足够了。重置点1