【正文】 示當(dāng)前網(wǎng)絡(luò)的運(yùn)行狀況。 三、對(duì)捕獲的數(shù)據(jù)包進(jìn)行解析分類(lèi)處理，能將所捕獲的數(shù)據(jù)包中的信息解析羅列成數(shù)據(jù)表，并可導(dǎo)入日志文本存儲(chǔ)。 通過(guò)以上步驟通過(guò)實(shí)現(xiàn)數(shù)據(jù)包的捕獲、數(shù)據(jù)包信息的解析、 流量的監(jiān)控以及數(shù)據(jù)的導(dǎo)出。 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 3 頁(yè) 共 65 頁(yè) 2 相關(guān)知識(shí)介紹 TCP/IP協(xié)議簡(jiǎn)介 我們捕獲數(shù)據(jù)包的主要目的就是要對(duì)捕獲的數(shù)據(jù)包進(jìn)行分析。而我們目前使用的網(wǎng)絡(luò)傳輸協(xié)議就是 TCP/IP 協(xié)議。所以我們?nèi)绻敫玫姆治鰯?shù)據(jù)包就應(yīng)該對(duì)此協(xié)議有點(diǎn)初步的了解。下面我將簡(jiǎn)單的介紹一下 TCP/IP 協(xié)議。 什么是 TCP/IP TCP/IP 是供已連接因特網(wǎng)的計(jì)算機(jī)進(jìn)行通信的通信協(xié)議。 TCP/IP 指?jìng)鬏斂刂茀f(xié)議 /網(wǎng)際協(xié)議 (Transmission Control Protocol / Inter Protocol)。 TCP/IP 定義了電子設(shè)備（比如計(jì)算機(jī)）如何連入因特網(wǎng)，以及數(shù)據(jù)如何在它們之間傳輸?shù)臉?biāo)準(zhǔn)。 TCP/IP 整體構(gòu)架概述 TCP/IP 協(xié)議并不完全符合 OSI 的七層參考模型。傳統(tǒng)的開(kāi)放式系統(tǒng)互連參考模型，是一種通信協(xié)議的 7 層抽象的參考模型 ,其中每一層執(zhí)行某一特定任務(wù)。該模型的目的是使各種硬件在相同的層次上相互通信。這 7 層是 :物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層。而 TCP/IP 通訊協(xié)議采用了 4 層的層級(jí)結(jié)構(gòu)，每一層都呼叫它的下一層所提供的網(wǎng)絡(luò)來(lái)完成自己的需求。這 4 層分別為： 應(yīng)用層：應(yīng)用程序間溝通的層， 如簡(jiǎn)單電子郵件傳輸（ SMTP）、文件傳輸協(xié)議（ FTP）、網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)協(xié)議（ Tel）等。 傳輸層：在此層中，它提供了節(jié)點(diǎn)間的數(shù)據(jù)傳送，應(yīng)用程序之間的通信服務(wù)，主要功能是數(shù)據(jù)格式化、數(shù)據(jù)確認(rèn)和丟失重傳燈。如傳輸控制協(xié)議（ TCP）、用戶(hù)數(shù)據(jù)報(bào)協(xié)議（ UDP）等， TCP 和 UDP 給數(shù)據(jù)包加入傳輸數(shù)據(jù)并把它傳輸?shù)较乱粚又?，這一層負(fù)責(zé)傳送數(shù)據(jù)，并且確定數(shù)據(jù)已被送達(dá)并接收。 互連網(wǎng)絡(luò)層：負(fù)責(zé)提供基本的數(shù)據(jù)封包傳送功能，讓每一塊數(shù)據(jù)包都能夠到達(dá)目的主機(jī)（但不檢查是否被正確接收），如網(wǎng)際協(xié)議（ IP）。 網(wǎng)絡(luò)接口層（主 機(jī) 網(wǎng)絡(luò)層）：接收 IP 數(shù)據(jù)報(bào)并進(jìn)行傳輸，從網(wǎng)絡(luò)上接收物理幀，抽取IP 數(shù)據(jù)報(bào)轉(zhuǎn)交給下一層，對(duì)實(shí)際的網(wǎng)絡(luò)媒體的管理，定義如何使用實(shí)際網(wǎng)絡(luò)（如 Ether、Serial Line 等）來(lái)傳送數(shù)據(jù)。 TCP/IP中的協(xié)議 以下簡(jiǎn)單介紹 TCP/IP 中的協(xié)議都具備什么樣的功能，都是如何工作的： （ 1） IP 網(wǎng)際協(xié)議 IP 是 TCP/IP 的心臟，也是網(wǎng)絡(luò)層中最重要的協(xié)議。 IP 層接收由更低層（網(wǎng)絡(luò)接口層例如以太網(wǎng)設(shè)備驅(qū)動(dòng)程序）發(fā)來(lái)的數(shù)據(jù)包，并把該數(shù)據(jù)包發(fā)送到更高層 TCP 或 UDP 層；相反， IP 層也把從 TCP 或 UDP 層接收來(lái)的數(shù)據(jù)包傳送到更低層。 IP 數(shù)據(jù)包是不可靠的，因?yàn)?IP 并沒(méi)有做任何事情來(lái)確認(rèn)數(shù)據(jù)包是按順序發(fā)送的或者沒(méi)有被破壞。 IP 數(shù)據(jù)包中含有發(fā)送它的主機(jī)的地址（源地址）和接收它的主機(jī)的地址（目的地址）。 高層的 TCP 和 UDP 服務(wù)在接收數(shù)據(jù)包時(shí)，通常假設(shè)包中的源地址是有效的。也可以這樣說(shuō)， IP 地址形成了許多服務(wù)的認(rèn)證基礎(chǔ)，這些服務(wù)相信數(shù)據(jù)包是從一個(gè)有效的主機(jī)發(fā)送來(lái)的。 IP 確認(rèn)包含一個(gè)選項(xiàng)，叫作 IP source routing，可以用來(lái)指定一條源地址和目的地址之間的直接路徑。對(duì)于一些 TCP 和 UDP 的服務(wù)來(lái)說(shuō)，使用 了該選項(xiàng)的 IP 包好像是從路徑上的最后一個(gè)系統(tǒng)傳遞過(guò)來(lái)的，而不是來(lái)自于它的真實(shí)地點(diǎn)。這個(gè)選項(xiàng)是為了測(cè)試而存在的，說(shuō)明了它可以被用來(lái)欺騙系統(tǒng)來(lái)進(jìn)行平常是被禁止的連接。那么，許多依靠 IP 源地址做確認(rèn)的服務(wù)將產(chǎn)生問(wèn)題并且會(huì)被非法入侵。 IP 數(shù)據(jù)報(bào)格式如圖 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 4 頁(yè) 共 65 頁(yè) 圖 IP 報(bào)文格式 （ 2） TCP 如果 IP 數(shù)據(jù)包中有已經(jīng)封好的 TCP 數(shù)據(jù)包，那么 IP 將把它們向 ?上 ‘傳送到 TCP 層。TCP 將包排序并進(jìn)行錯(cuò)誤檢查，同時(shí)實(shí)現(xiàn)虛電路間的連接。 TCP 數(shù)據(jù)包中包括序號(hào)和確認(rèn)，所以未按照順序收到的包可以被排序，而損壞的包可以 被重傳。 TCP 將它的信息送到更高層的應(yīng)用程序，例如 Tel 的服務(wù)程序和客戶(hù)程序。應(yīng)用程序輪流將信息送回 TCP 層， TCP 層便將它們向下傳送到 IP 層，設(shè)備驅(qū)動(dòng)程序和物理介質(zhì)，最后到接收方。 面向連接的服務(wù)（例如 Tel、 FTP、 rlogin、 X Windows 和 SMTP）需要高度的可靠性，所以它們使用了 TCP。 DNS 在某些情況下使用 TCP（發(fā)送和接收域名數(shù)據(jù)庫(kù)），但使用 UDP傳送有關(guān)單個(gè)主機(jī)的信息。 TCP 報(bào)文格式 如圖 圖 TCP 報(bào)文格式 （ 3） UDP UDP 與 TCP 位于同一層 ，但它不管數(shù)據(jù)包的順序、錯(cuò)誤或重發(fā)。因此， UDP 不被應(yīng)用于那些使用虛電路的面向連接的服務(wù)， UDP 主要用于那些面向查詢(xún) 應(yīng)答的服務(wù)，例如NFS。相對(duì)于 FTP 或 Tel，這些服務(wù)需要交換的信息量較小。使用 UDP 的服務(wù)包括 NTP（網(wǎng)絡(luò)時(shí)間協(xié)議）和 DNS（ DNS 也使用 TCP）。 欺騙 UDP 包比欺騙 TCP 包更容易，因?yàn)?UDP 沒(méi)有建立初始化連接（也可以稱(chēng)為握手）（因?yàn)樵趦蓚€(gè)系統(tǒng)間沒(méi)有虛電路），也就是說(shuō)，與 UDP 相關(guān)的服務(wù)面臨著更大的危險(xiǎn)。 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 5 頁(yè) 共 65 頁(yè) UDP 報(bào)文格式 如圖 圖 UDP 報(bào)文格式 （ 4） ICMP ICMP 與 IP 位于同一層，它被用來(lái)傳送 IP 的的控制信息。它主要是用來(lái)提供有關(guān)通向目的地址的路徑信息。 ICMP 的 ?Redirect‘信息通知主機(jī)通向其他系統(tǒng)的更準(zhǔn)確的路徑，而?Unreachable‘信息則指出路徑有問(wèn)題。另外，如果路徑不可用了， ICMP 可以使 TCP 連接 ?體面地 ‘終止。 PING 是最常用的基于 ICMP 的服務(wù)。 （ 5） TCP 和 UDP 的端口結(jié)構(gòu) TCP 和 UDP 服務(wù)通常有一個(gè)客戶(hù) /服務(wù)器的關(guān)系，例如，一個(gè) Tel 服務(wù)進(jìn)程開(kāi)始在系統(tǒng)上處于空閑狀態(tài)，等待著連接。用戶(hù)使用 Tel 客戶(hù)程序與服務(wù) 進(jìn)程建立一個(gè)連接?？蛻?hù)程序向服務(wù)進(jìn)程寫(xiě)入信息，服務(wù)進(jìn)程讀出信息并發(fā)出響應(yīng)，客戶(hù)程序讀出響應(yīng)并向用戶(hù)報(bào)告。因而，這個(gè)連接是雙工的，可以用來(lái)進(jìn)行讀寫(xiě)。 （ 6） 常用網(wǎng)際協(xié)議編號(hào)如表 表 常用網(wǎng)際協(xié)議編號(hào) 十進(jìn)制編號(hào) 協(xié)議 說(shuō)明 0 無(wú) 保留 1 ICMP 網(wǎng)際控制報(bào)文協(xié)議 2 IGMP 網(wǎng)際組管理協(xié)議 3 GGP 網(wǎng)關(guān) —網(wǎng)關(guān)協(xié)議 4 無(wú) 未分配 5 ST 流 6 TCP 傳輸控制協(xié)議 8 EGP 外部網(wǎng)關(guān)協(xié)議 9 IGP 內(nèi)部網(wǎng)關(guān)協(xié)議 11 NVP 網(wǎng)絡(luò)聲音協(xié)議 17 UDP 用 戶(hù)數(shù)據(jù)報(bào)協(xié)議 WinPcap開(kāi)發(fā)技術(shù)詳解 Winpcap介紹 Winpcap（ Windows Packet Capture）是 Windows 平臺(tái)下一個(gè)專(zhuān)業(yè)網(wǎng)絡(luò)數(shù)據(jù)包捕獲開(kāi)發(fā)包，是為 Libpcap 在 Windows 平臺(tái)下實(shí)現(xiàn)數(shù)據(jù)包的捕獲而設(shè)計(jì)的。在設(shè)計(jì) Winpcap 時(shí)參照了Libpcap，兩者使用方法相似。使用 Winpcap 開(kāi)發(fā)包，可以把在 Linux 下基于 Libpcap 的程序很容易的移植到 Winpcap 平臺(tái)下。 Winpcap 是在 BSD 許可證下發(fā)布的，它主要是由加利福尼亞大學(xué)的 Lawrence Berkeley Laboratory 開(kāi)發(fā)。 使用 Winpcap 開(kāi)發(fā)包的主要軟件有： Windump（與 linux 下的 Tcpdump 的功能幾乎一致）、Analyzer（ Windows 下的嗅探器）、 Ethereal（網(wǎng)絡(luò)協(xié)議分析軟件）等。 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 6 頁(yè) 共 65 頁(yè) 開(kāi)發(fā) Winpcap 這個(gè)項(xiàng)目的目的在于為 Win32 應(yīng)用程序提供訪問(wèn)網(wǎng)絡(luò)底層的能力，其核心功能是捕獲網(wǎng)絡(luò)數(shù)據(jù)包，其他功能包括數(shù)據(jù)包過(guò)濾、數(shù)據(jù)包發(fā)送、流量統(tǒng)計(jì)和數(shù)據(jù)包存儲(chǔ)等。 Winpcap 給程序員提供了一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)數(shù)據(jù)包捕獲的編程接口，并且與 Libpcap 兼容，增加了從 linux 到 windows 平臺(tái)的可移植性。而且提供很高的應(yīng)用效率，充分考慮了各種性能和效率的優(yōu)化，在內(nèi)核層實(shí)現(xiàn)了數(shù)據(jù)包的捕獲和過(guò)濾。這是由 NPF 來(lái)實(shí)現(xiàn)的， NPF 是Winpcap 的核心部分，它實(shí)現(xiàn)了內(nèi)核層次的統(tǒng)計(jì)功能，對(duì)于設(shè)計(jì)網(wǎng)絡(luò)流量的程序很有好處。 在這里我使用的是 WinPcap 版，性能穩(wěn)定。 Winpcap 的組成 Winpcap 包括三部分內(nèi)容。 第一部分是內(nèi)核層的數(shù)據(jù)包過(guò)濾模塊。它相當(dāng)于在 Linux 下 Libpcap 使用的 BPF 過(guò)濾模塊，實(shí)現(xiàn)了高效的網(wǎng)絡(luò)數(shù)據(jù)包的捕獲和過(guò)濾功能，其過(guò)濾規(guī)則跟 BPF 是一樣的。此過(guò)濾模塊實(shí)際 上是一個(gè)驅(qū)動(dòng)程序，被稱(chēng)為 NPF（ Netgroup Packet Filter）數(shù)據(jù)包驅(qū)動(dòng)程序。 第二部分是動(dòng)態(tài)鏈接庫(kù) 。它是提供給開(kāi)發(fā)者的一個(gè)接口，使用它就可以調(diào)用Winpcap 的函數(shù)，它是一個(gè)較低層的開(kāi)發(fā)接口。 第三部分是動(dòng)態(tài)鏈接庫(kù) 。它也是提供給開(kāi)發(fā)者的一個(gè)接口，但它是一個(gè)更高層的編程接口，其調(diào)用與系統(tǒng)無(wú)關(guān)。使用此接口進(jìn)行編程，幾乎可以把 linux 下使用 libpcap寫(xiě)的程序原封不動(dòng)的搬到 Windows 平臺(tái)下。 網(wǎng)絡(luò)驅(qū)動(dòng)程序接口規(guī)范（ NDIS， Network Driver Interface Specification）是由微軟和 3公司共同制定的，它位于網(wǎng)卡和協(xié)議層之間，提供一個(gè)接口，為上層協(xié)議提供服務(wù)，并且屏蔽了下層各種網(wǎng)卡的差別，并且支持多種網(wǎng)絡(luò)協(xié)議。并且支持多種工作模式和網(wǎng)絡(luò)驅(qū)動(dòng)類(lèi)型（小端口驅(qū)動(dòng)、中間層驅(qū)動(dòng)、協(xié)議驅(qū)動(dòng)），其中 Winpcap 的 NPF 就屬于協(xié)議驅(qū)動(dòng)類(lèi)型。 NPF（ Netgroup Packet Filter）： NPF 是 Winpcap 的核心部分，它的主要功能就是捕獲數(shù)據(jù)包，還可以發(fā)送數(shù)據(jù)包、存儲(chǔ)數(shù)據(jù)包以及對(duì)網(wǎng)絡(luò)進(jìn)行統(tǒng)計(jì)分析。 圖 NPF 的結(jié)構(gòu) 圖 中的箭頭標(biāo)識(shí)網(wǎng)絡(luò)數(shù)據(jù)包的流動(dòng)方向，并且可以看到 NPF 是工作在內(nèi)核層的。NPF 由一個(gè)網(wǎng)絡(luò)轉(zhuǎn)發(fā)部件，從網(wǎng)卡驅(qū)動(dòng)程序收集網(wǎng)絡(luò)數(shù)據(jù)包，既可以發(fā)送給過(guò)濾部件，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行過(guò)濾，也可以發(fā)送給統(tǒng)計(jì)部件，對(duì)網(wǎng)絡(luò)進(jìn)行統(tǒng)計(jì)分析，還可以發(fā)送給存儲(chǔ)部件，把網(wǎng)絡(luò)數(shù)據(jù)包直接存儲(chǔ)到磁盤(pán)。數(shù)據(jù)包在 NPF 中使用了緩存機(jī)制，主要是為了提高效率和速度。 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 7 頁(yè) 共 65 頁(yè) 從圖 中也可以看到， 位于 的下層，是較低層的網(wǎng)絡(luò)編程接口。使用它可以跟內(nèi)核打交道，它是開(kāi)發(fā)者與內(nèi)核交互的一個(gè)很好的接口。 提供了很多功能復(fù)雜的編程接口，其接口形式與微軟的 DDK 提供的 差不多。使用 比較煩瑣，如果無(wú)特殊要求，一般不用 進(jìn)行編程開(kāi)發(fā)。用的最多的還是，因?yàn)樗峁┝艘粋€(gè)更高級(jí)、更方便的編程接口。 圖 中， 是最上層的一個(gè)接口，與 libpcap 兼容，具有很好的可移植性，是用的最多的一種編程接口。使用 進(jìn)行數(shù)據(jù)包捕獲的編程與使用 Libpcap 一樣簡(jiǎn)單。 Winpcap 數(shù)據(jù)結(jié)構(gòu) 詳細(xì)的一些數(shù)據(jù)結(jié)構(gòu)在后面 的軟件編程中會(huì)給出，此處只是給出一些比較核心的數(shù)據(jù)結(jié)構(gòu)，并簡(jiǎn)單介紹。 （ 1） pcap_addr Pcap_addr 數(shù)據(jù)結(jié)構(gòu)的定義如下： Tpyedef struct pcap_addr pcap_addr_t； Struct pcap_addr{ Struct pcap_addr *next； //指向下一個(gè)地址結(jié)點(diǎn) Struct sockaddr *addr； //網(wǎng)絡(luò)接口地址 Struct sockaddr *mask； //地址掩碼 Struct sockaddr *broadaddr； //廣播地址 Struct sockaddr *dstaddr； //目的地址 }； 此數(shù)據(jù)結(jié)構(gòu)描述的是網(wǎng)絡(luò)接口的地址。 （ 2） pcap_if