【正文】 ......... 20 結(jié) 論 .............................................................................................. 錯誤 !未定義書簽。 參考文獻(xiàn) .............................................................................................. 錯誤 !未定義書簽。 致 謝 .............................................................................................. 錯誤 !未定義書簽。 聲 明 .............................................................................................. 錯誤 !未定義書簽。 第 1 頁 共 23 頁 1 引言 課題背景 隨著計算機網(wǎng)絡(luò)的不斷發(fā)展，全球信息化 已 成為當(dāng)今社會發(fā)展的趨勢。但由于計算機網(wǎng)絡(luò)自身所特具有的特點，比如聯(lián)結(jié)形式 多樣性和網(wǎng)絡(luò)的開放性、互連性等特征，所以導(dǎo)致網(wǎng)絡(luò)易受黑客還有一些病毒的攻擊。所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。對于軍用的自動化指揮網(wǎng)絡(luò)和銀行等傳輸敏感數(shù)據(jù)的計算機網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。因此，網(wǎng)絡(luò)必須有足夠強的安全措施，否則該網(wǎng)絡(luò)將是個無用、甚至?xí)＜皣野踩木W(wǎng)絡(luò)。在計算機網(wǎng)絡(luò) 的世界里，存在著很多潛在的威脅，因此網(wǎng)絡(luò)的安全措施應(yīng)能全方位地應(yīng) 對各種不同的威脅，這樣才可以真正的做到網(wǎng)絡(luò)服務(wù)于社會，體現(xiàn)網(wǎng)絡(luò)的先進(jìn)性。 計算機網(wǎng)絡(luò)所面臨的威脅大體可分為兩種：一是對網(wǎng)絡(luò)中信息的威脅 ；二是對網(wǎng)絡(luò)中設(shè)備的威脅。影響計算機網(wǎng)絡(luò)的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；可能是外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使有，歸結(jié)起來，針對網(wǎng)絡(luò)安全的威脅主要有三種： (1)人為的無意失誤：如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。 (2)人為的惡意攻擊：這是計算機網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式 有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機密數(shù)據(jù)的泄漏。 (3)網(wǎng)絡(luò)軟件的漏洞和 “ 后門 ” ：網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)，曾經(jīng)出現(xiàn)過黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。另外，軟件的 “ 后門 ” 都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的，一般不為外人所知，但一旦 “ 后門 ” 洞開，其造成 的后果將不堪設(shè)想。 為了及早發(fā)現(xiàn)并制止網(wǎng)絡(luò)上的各種攻擊，我們需要通過對網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行分 析來發(fā)現(xiàn)并找出問題，提前預(yù)防。這也是本論文的一個重要目的。網(wǎng)絡(luò)安全管理員運用網(wǎng)絡(luò)封包 截 獲技術(shù)，抓取網(wǎng)絡(luò) 中 有用 的 數(shù)據(jù)包，然后通過對數(shù)據(jù)包內(nèi)容進(jìn)行分析， 確定哪些是有害的 或者 含有攻擊企圖的包，以此來達(dá)到對網(wǎng)絡(luò)攻擊的預(yù)防。同時許多防火墻 也是基于包過濾技術(shù)的。本文將介紹網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序的工作原理以及它的實現(xiàn)。 第 2 頁 共 23 頁 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序簡介 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序 是一種用于 收集網(wǎng)絡(luò)中有用數(shù)據(jù)的程序，這些數(shù)據(jù)可以是用戶的帳號和密碼 ，也可以是一些商用機密數(shù)據(jù)等。它是利用計算機的網(wǎng)絡(luò)接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種工具。 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序 的正當(dāng)用處主要是分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。例如，假設(shè)網(wǎng)絡(luò)的某一段運行得不是很好，報文的發(fā)送比較慢 ,而我們又不知道問題出在什么地方，此時就可以用 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序 來作出精確的問題判斷。在合理的網(wǎng)絡(luò)中， 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序 的存在對系統(tǒng)管理員是 至關(guān)重要 的，系統(tǒng)管理員通過 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序 可以診斷出大量的不可見模糊問題，這些問題涉及兩臺乃至多臺計算機之間的異常通 訊 ，有些甚至牽涉到各種的協(xié)議，借助于 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序 系統(tǒng)管理員可以方便的確定出多少的通訊量屬于哪個網(wǎng)絡(luò)協(xié)議、占主要通訊協(xié)議的主機是哪一臺、大多數(shù)通訊目的地是哪臺主機、報 文發(fā)送占用多少時間、或著相互主機的報文傳送間隔時間等等，這些 信息 為管理員判斷網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。 國內(nèi)外研究現(xiàn)狀 現(xiàn)在國內(nèi)外已經(jīng)有很多成熟并且功能強大的網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析軟件。比較著名的網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析軟件有：開源軟件： Wireshark、 TcpDump。商用軟件：EtherPeek 下面對這幾種軟件進(jìn)行簡要的介 紹： Wireshark： Wireshark 是一個開放源碼的網(wǎng)絡(luò)分析系統(tǒng)，也是是目前最好的開放源碼的網(wǎng)絡(luò)協(xié)議分析器，支持 Linux 和 Windows 平臺。 Wireshark 起初由Gerald Combs 開發(fā)，隨后由一個松散的 Wireshark 團隊組織進(jìn)行維護開發(fā)。它目前所提供的強大的協(xié)議分析功能完全可以媲美商業(yè)的網(wǎng)絡(luò)分析系統(tǒng)，自從 1998年發(fā)布最早的 版本至今，大量的志愿者為 Wireshark 添加新的協(xié)議解析器，如今 Wireshark 已經(jīng)支持五百多種協(xié)議解析。很難想象如此多的人開發(fā)的代碼可以很好的融入系 統(tǒng)中；并且在系統(tǒng)中加入一個新的協(xié)議解析器很簡單，一個不了解系統(tǒng)的結(jié)構(gòu)的新手也可以根據(jù)留出的接口進(jìn)行自己的協(xié)議開發(fā)。這都?xì)w功于Wireshark 良好的設(shè)計結(jié)構(gòu)。事實上由于網(wǎng)絡(luò)上各種協(xié)議種類繁多，各種新的協(xié)議層出不窮。一個好的協(xié)議分析器必需有很好的可擴展性和結(jié)構(gòu)。這樣才能適應(yīng)網(wǎng)絡(luò)發(fā)展的需要不斷加入新的協(xié)議解析器。 TcpDump： 顧名思義， TcpDump 可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的 “ 頭 ” 完全截獲下來提供分析。它支持針對網(wǎng)絡(luò)層、協(xié)議、主機、網(wǎng)絡(luò)或端口的過濾，并提供and、 or、 not 等邏輯語句來幫助你去掉無用的信息 。用盡量簡單的話來定義TcpDump，就是： dump the traffic on a work，根據(jù)使用者的定義對網(wǎng)絡(luò)上 第 3 頁 共 23 頁 的數(shù)據(jù)包進(jìn)行截獲的包分析工具。 TcpDump 以其強大的功能，靈活的截取策略，成為每個高級的系統(tǒng)管理員分析網(wǎng)絡(luò)，排查問題等所必備的工具之一。 EtherPeek：這個工具軟件開始只是一個網(wǎng)絡(luò)分析器型的數(shù)據(jù)包監(jiān)測軟件，經(jīng)過這些年的發(fā)展已經(jīng)成為一個真正的網(wǎng)絡(luò)管理工具并具有網(wǎng)站監(jiān)視和分析等新的功能，被美國聯(lián)邦調(diào)查局用來追蹤逃犯、販賣毒品的人、電腦黑客和一些被懷疑為外國間諜的人。是一個直觀 ,功能強大的以太網(wǎng)網(wǎng)絡(luò)和協(xié)議分析器。支持Macintosh 和 Windows 平臺。 EtherPeek 把查找和修復(fù)多平臺上的復(fù)雜網(wǎng)絡(luò)任務(wù)變得簡單化。 EtherPeek 采用工業(yè)標(biāo)準(zhǔn)，非常容易使用，提供解碼、過濾和診斷網(wǎng)絡(luò)的功能。以友好圖形界面出名， EtherPeek 提供非常詳細(xì)且多樣化的網(wǎng)絡(luò)使用信息，網(wǎng)絡(luò)結(jié)點的會話和數(shù)據(jù)包內(nèi)容。在有問題的局域網(wǎng)絡(luò)中使用 EtherPeek執(zhí)行一個自定的診斷測試，監(jiān)控網(wǎng)絡(luò)的通信和事件，跟蹤非法的網(wǎng)絡(luò)活動，測試和調(diào)試網(wǎng)絡(luò)軟硬件。 2 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序的總體設(shè)計 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序的 功能分析 對于網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序進(jìn)行功能分析的第一步是要確立程序所要實現(xiàn)的目標(biāo)，也就是程序最終要解決的問題。本程序所要實現(xiàn)的目標(biāo)就是在共享式以太網(wǎng)中捕獲根據(jù)過濾規(guī)則設(shè)置的流經(jīng)本地網(wǎng)卡的數(shù)據(jù)包，并且對數(shù)據(jù)包中的信息進(jìn)行分析。 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序必須完成對常用協(xié)議的識別和分析：要求至少實現(xiàn)TCP/IP協(xié)議簇幾個基本協(xié)議的分析（ ARP、 RARP、 TCP、 UDP），以及應(yīng)用層的常用協(xié)議分析。為了減少設(shè)計的復(fù)雜度，程序采用字符界面。對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲、規(guī)則過濾和對數(shù)據(jù)包的分析是本程序的主要功能。 系統(tǒng)的組成結(jié) 構(gòu)和工作流程 系統(tǒng)的結(jié)構(gòu)框圖 基于以上分析，本文設(shè)計了網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序，圖 21是程序的結(jié)構(gòu)框圖 。 第 4 頁 共 23 頁 圖 21網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序結(jié)構(gòu)框圖 下面對該程序的整體結(jié)構(gòu)進(jìn)行一下描述 ： 該程序的運行環(huán)境是 Fedora Core 4 linux。 Fedora Core是 linux的一個發(fā)行版 ， 他的前身是 Redhat linux。本程序通過調(diào)用安裝在 linux上的 Libpcap函數(shù)庫抓取經(jīng)過本地網(wǎng)卡的數(shù)據(jù)包 ， 從而完成數(shù)據(jù)包的捕獲。然后將捕獲后的數(shù)據(jù)包交給上層的數(shù)據(jù)處理模塊，進(jìn) 行協(xié)議分析。最后將分析后的數(shù)據(jù)顯示在用戶界面上。 系統(tǒng)的結(jié)構(gòu)和功能 網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議分析程序是一個基于 Libpcap開發(fā)庫，應(yīng)用與共享以太網(wǎng)的網(wǎng)絡(luò)分析程序如圖 22所示，系統(tǒng)主要包括 4大模塊： 圖 22網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議分析程序的層次圖 數(shù)據(jù)輸入模塊。該模塊主要功能是接收用戶輸入用于捕獲數(shù)據(jù)包的信息。其中包括選擇用于捕獲的網(wǎng)絡(luò)接口和需要過濾的內(nèi)容。 數(shù)據(jù)捕獲模塊。該模塊的主要功能是捕獲流經(jīng)本地網(wǎng)卡的所有數(shù)據(jù)。其Fedora Core Linux 4 數(shù)據(jù)包捕獲 應(yīng)用程序接口 數(shù)據(jù)包處理 網(wǎng)絡(luò)數(shù)據(jù)報協(xié)議 分析程序 輸入 數(shù)據(jù)捕獲 規(guī)則匹配 數(shù)據(jù)處理 協(xié)議分析 輸出 第 5 頁 共 23 頁 原理是通過把網(wǎng)卡設(shè)置為混雜模式，使得網(wǎng)卡對所有流經(jīng) 它 的數(shù)據(jù)包都交給上 層程序處理。 規(guī)則匹配模塊，該模塊的主要功能是根據(jù)用戶的需求對需要捕獲的數(shù)據(jù)包進(jìn)行過濾設(shè)置。因為不是所有經(jīng)過本地網(wǎng)卡的數(shù)據(jù) 報 都 對我們分析網(wǎng)絡(luò)有用 ，而且如果將所有經(jīng)過網(wǎng)卡的數(shù)據(jù)捕獲會增加系統(tǒng) 的開銷。因此我們設(shè)置 了 一個規(guī)則匹配模塊，當(dāng)所捕獲的信息與我們設(shè)置的規(guī)則相符時我們就把它交給數(shù)據(jù)處理模塊，否則就丟棄。 數(shù)據(jù)處理模塊。該模塊的主要功能是對捕獲的數(shù)據(jù)進(jìn)行分析顯示處理。主要是調(diào)用協(xié)議分析模塊和顯示模塊。 4． 1 協(xié)議分析模塊。該模塊的主要功能是對捕獲的數(shù)據(jù)包進(jìn)行協(xié)議分析。把數(shù)據(jù)包捕獲下來后，我們需要對其 分析才能知道網(wǎng)絡(luò)中存在的安全問題。該模塊主要是對 TCP/IP各層的協(xié)議進(jìn)行分析。 4． 2 顯示模塊。該模塊的主要功能是將分析的結(jié)果顯示給用戶。對數(shù)據(jù)包進(jìn)行協(xié)議分析后要把結(jié)果顯示給用戶本程序才結(jié)束。因為數(shù)據(jù)包中包含的信息太多，如果全部顯示給用戶有所不便，所以我們挑選其中比較重要的信息輸出給用戶。 程序的工作流程 圖 23為本程序的流程圖，下面其進(jìn)行簡要的敘述： 程序開始時首先查找計算機上所 有 可用的網(wǎng)卡，并讓用