超级会员免费看
隐形网络:技术与防御策略解析
1. 邻居发现与容量估计
在网络环境中,当一个节点接收到数据包时,会将其IP地址添加到邻居表中。若该节点尚未向此邻居表明自己参与SIN网络,便会在后续发往该地址的数据包中嵌入发现信号来表明参与。由于几乎所有流量都会引发某种响应数据包,邻居关系通常是对称的。
发现邻居后,节点可通过观察一段时间内发往该邻居的数据包来估计传输容量。具体操作是压缩发往该邻居的每个应用程序有效负载,并收集数据包中空出空间的大小。这些逐包容量可按合适的时间间隔(如每天)累加,以确定每天到该邻居的容量估计值。每个节点会在邻居表中存储对每个邻居的这些估计值。
2. 命名机制
当主机被入侵时,SIN恶意软件会为节点生成一个标识符,以便其他节点对其进行命名。为避免使用现有知名主机标识符(如IP地址)可能导致的安全风险(若结合链路状态路由协议,可能使单个被渗透节点轻易定位所有参与者),节点为自己生成的标识符是一个固定长度的新随机值,这里选择4字节长度。
发现邻居后,节点会将自己的标识符压缩到现有应用程序有效负载中,插入到发往该邻居的数据包中,并添加一个小的头部来表明这是发送节点的标识符。每个发送的数据包大小与原始数据包相同,以确保该方法具有隐形性。收集到邻居的标识符后,节点会将其插入邻居表,与该邻居的IP地址关联。
3. 数据对象模型
SIN网络设计允许对象在节点间传输。对象以自身长度开头(如前四个字节),具有自描述性。对象通过一系列点对点消息在网络中传输,每条消息嵌入从一个节点到邻居的即将发送的数据包中。
对象有一个标识符,会包含在每个包含该对象字节的SIN消息头部。应用程序数据
订阅专栏 解锁全文
扫一扫
791
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
