【正文】 據(jù)報去除掉傳輸層 報 頭以后，就獲得了應(yīng)用層數(shù)據(jù)報，在應(yīng)用層 進(jìn)行協(xié)議分析的工作就是按照應(yīng)用層的工作原理、協(xié)議規(guī)范，還原獲得應(yīng)用層的內(nèi)容，如 SMTF/POP3協(xié)議分析可以還原出正在傳輸?shù)泥]件信息， FTP協(xié)議分析可以還原出傳輸中的文件名以及用戶名口令密碼等信息， HTTP協(xié)議分析可以還原出目標(biāo)主機(jī)瀏覽網(wǎng)頁的原貌等等。協(xié)用戶數(shù)據(jù) 用戶數(shù)據(jù) APP 首部 應(yīng)用數(shù)據(jù) TCP 首 部 應(yīng)用數(shù)據(jù) TCP 首部 IP 首部 應(yīng)用數(shù)據(jù) TCP 首部 IP 首部 以太網(wǎng)頭 以太網(wǎng)尾 應(yīng)用程序 TCP IP 以太網(wǎng)驅(qū)動程序 第 13 頁 共 23 頁 議分析就是數(shù)據(jù)封裝的逆過程。而實際上，數(shù)據(jù)包并不是從某一計算機(jī)網(wǎng)絡(luò)系統(tǒng)的第 N層直接傳導(dǎo)另一計算機(jī)網(wǎng)絡(luò)系統(tǒng)的第 N層的，而是從這臺計算機(jī)的某一層直接傳送 N十 1層，直至到達(dá)物理層最后分解為比特流流經(jīng)物理介質(zhì)到達(dá)另一臺計算機(jī)，然后在從另一臺計算機(jī)中的底層逐層向上傳送的。 第五步調(diào)用 pcap_loop進(jìn)行循環(huán)捕獲數(shù)據(jù)包，直到用戶中止。 第 11 頁 共 23 頁 數(shù)據(jù)捕獲模塊的實現(xiàn) 第一步調(diào)用 pcap_findalldevs查找出所有可用的網(wǎng)卡，顯示出來，并接收用戶選擇網(wǎng)卡。 sockaddr * broadaddr。 sockaddr * addr。 sockaddr *dstaddr。 被網(wǎng)卡丟棄的數(shù)據(jù)報的數(shù)目； struct pcap_addr{ pcap_addr * next。 /* drops by interface XXX not yet supported */ }。它用來處理不同數(shù)據(jù)報網(wǎng)卡的不同報頭問題。 timeval ts。 struct pcap_pkthdr { struct timeval ts。 指向網(wǎng)卡地址鏈中的第一個元素。 char *name。 }。 char *name。 參數(shù)：第一個參數(shù)是會話句柄，接下來是一個整型，它告訴 pcap_loop()在返回前應(yīng)捕獲多少個數(shù)據(jù)包（若為負(fù)值則表示應(yīng)該一直工作直至錯誤發(fā)生）。函數(shù)返回 1 為失敗，其他的任何值都表明是成功的。接下 第 9 頁 共 23 頁 來的是我們存儲被編譯的過濾器版本的地址的引用。當(dāng) promisc 設(shè)為 true 時將置指定接口為混雜模式（然而，當(dāng)它置為 false 時接口仍處于混雜模式的特殊情況也是有可能的）。 Libpcap 中基本的數(shù)據(jù)結(jié)構(gòu)和函數(shù) 主要函數(shù) ： int pcap_findalldevs(pcap_if_t *alldevsp, char *errbuf) 功能：枚舉系統(tǒng)所有網(wǎng)絡(luò)設(shè)備的信息 參數(shù)： alldevsp ： 是 一 個 pcap_if_t 結(jié) 構(gòu) 體 的 指 針 ， 如 果 函 數(shù)pcap_findalldevs 函數(shù)執(zhí)行成功，將獲得一個可用網(wǎng)卡的列表，而里面存儲的就是第一個元素的指針。 第 8 頁 共 23 頁 基于 Libpcap 的網(wǎng)絡(luò)數(shù)據(jù)包捕獲的實現(xiàn) Libpcap 安裝 Libpcap提供了系統(tǒng)獨(dú)立的用戶級別網(wǎng)絡(luò)數(shù)據(jù)包捕獲接口，并充分考慮到應(yīng)用程序的可移植性。值得注意的是，包捕獲機(jī)制并不影響操作系統(tǒng)對數(shù)據(jù)包的網(wǎng)絡(luò)棧處理。 從廣義的角度上看，一個包捕獲機(jī)制包含三個主要部分：最底層是針對特定操作系統(tǒng)的包捕獲機(jī)制，最高層是針對用戶程序的接口，第三部分是包過濾機(jī)制。 3 網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊的實現(xiàn) 網(wǎng)絡(luò)數(shù)據(jù)包捕獲簡介 網(wǎng)絡(luò)數(shù)據(jù)包截獲一般指通過截獲整個網(wǎng)絡(luò)的所有信息流量，根據(jù)信息源主機(jī)，目標(biāo)主機(jī)，服務(wù)協(xié)議端口等信息簡單過濾掉不關(guān)心的數(shù)據(jù)，再將用戶感興趣的數(shù)據(jù)發(fā)送給更高層的應(yīng)用程序進(jìn)行分析。在本程序中我們采用的是端口識別技術(shù)。將里面的數(shù)據(jù)交給傳輸層分析，這樣一直進(jìn)行下去直到應(yīng)用層。對各種協(xié)議進(jìn)行分析時主要是將報頭中的重要信息顯示給用戶，還有可能對數(shù)據(jù)包的正文信息解碼。通過調(diào)用Libpcap庫函數(shù) 可以輕易的實現(xiàn)共享以太網(wǎng)中數(shù)據(jù)包的截獲， 而且實時性相當(dāng)?shù)膹?qiáng)，因為 Libpcap是處于用戶態(tài)所以減少了系統(tǒng)的開銷。因此實現(xiàn)數(shù)據(jù)包捕獲是本程序設(shè)計的基礎(chǔ)也是首先要解決的技術(shù)問題。 第 6 頁 共 23 頁 圖 23 網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議分析程序 的流程圖 系統(tǒng)實現(xiàn)的關(guān)鍵技術(shù)分析 前面給出了網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序的總體結(jié)構(gòu)、功能模塊和工作流程。因為本程序只能在共享以太網(wǎng)中進(jìn)行數(shù)據(jù)捕獲。 程序的工作流程 圖 23為本程序的流程圖，下面其進(jìn)行簡要的敘述： 程序開始時首先查找計算機(jī)上所 有 可用的網(wǎng)卡，并讓用戶選擇用于捕獲數(shù)據(jù)包的網(wǎng)卡。 4． 2 顯示模塊。 4． 1 協(xié)議分析模塊。因此我們設(shè)置 了 一個規(guī)則匹配模塊，當(dāng)所捕獲的信息與我們設(shè)置的規(guī)則相符時我們就把它交給數(shù)據(jù)處理模塊，否則就丟棄。該模塊的主要功能是捕獲流經(jīng)本地網(wǎng)卡的所有數(shù)據(jù)。 系統(tǒng)的結(jié)構(gòu)和功能 網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議分析程序是一個基于 Libpcap開發(fā)庫，應(yīng)用與共享以太網(wǎng)的網(wǎng)絡(luò)分析程序如圖 22所示，系統(tǒng)主要包括 4大模塊： 圖 22網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議分析程序的層次圖 數(shù)據(jù)輸入模塊。 Fedora Core是 linux的一個發(fā)行版 ， 他的前身是 Redhat linux。為了減少設(shè)計的復(fù)雜度，程序采用字符界面。在有問題的局域網(wǎng)絡(luò)中使用 EtherPeek執(zhí)行一個自定的診斷測試，監(jiān)控網(wǎng)絡(luò)的通信和事件，跟蹤非法的網(wǎng)絡(luò)活動，測試和調(diào)試網(wǎng)絡(luò)軟硬件。支持Macintosh 和 Windows 平臺。用盡量簡單的話來定義TcpDump，就是： dump the traffic on a work，根據(jù)使用者的定義對網(wǎng)絡(luò)上 第 3 頁 共 23 頁 的數(shù)據(jù)包進(jìn)行截獲的包分析工具。一個好的協(xié)議分析器必需有很好的可擴(kuò)展性和結(jié)構(gòu)。它目前所提供的強(qiáng)大的協(xié)議分析功能完全可以媲美商業(yè)的網(wǎng)絡(luò)分析系統(tǒng)，自從 1998年發(fā)布最早的 版本至今，大量的志愿者為 Wireshark 添加新的協(xié)議解析器，如今 Wireshark 已經(jīng)支持五百多種協(xié)議解析。 國內(nèi)外研究現(xiàn)狀 現(xiàn)在國內(nèi)外已經(jīng)有很多成熟并且功能強(qiáng)大的網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析軟件。它是利用計算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計算機(jī)的數(shù)據(jù)報文的一種工具。網(wǎng)絡(luò)安全管理員運(yùn)用網(wǎng)絡(luò)封包 截 獲技術(shù)，抓取網(wǎng)絡(luò) 中 有用 的 數(shù)據(jù)包，然后通過對數(shù)據(jù)包內(nèi)容進(jìn)行分析， 確定哪些是有害的 或者 含有攻擊企圖的包，以此來達(dá)到對網(wǎng)絡(luò)攻擊的預(yù)防。 (3)網(wǎng)絡(luò)軟件的漏洞和 “ 后門 ” ：網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)，曾經(jīng)出現(xiàn)過黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。影響計算機(jī)網(wǎng)絡(luò)的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；可能是外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使有，歸結(jié)起來，針對網(wǎng)絡(luò)安全的威脅主要有三種： (1)人為的無意失誤：如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強(qiáng)，用戶口令選擇不慎，用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。對于軍用的自動化指揮網(wǎng)絡(luò)和銀行等傳輸敏感數(shù)據(jù)的計算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。 聲 明 .............................................................................................. 錯誤 !未定義書簽。 Application layer。 Thirdly, we explain the workflow about protocol analysis, and analyze mon work protocols。最后進(jìn)行了 程序的測試與運(yùn)行：測試了程序能否按照預(yù)期的效果正確執(zhí)行，印證了預(yù)期結(jié)果。 本文的主要內(nèi)容如下： 首先 介紹了網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序的背景和概念 。 網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議分析程序的設(shè)計開發(fā) 摘 要 本文設(shè)計與實現(xiàn)了一個基于 Linux下 Libpcap庫函數(shù)的網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序。其中數(shù)據(jù)捕獲模塊和協(xié)議分析模塊是本程序最關(guān)鍵、最主要的模塊。然后 對協(xié)議分析流程進(jìn)行了詳細(xì)的講解，分析了常用網(wǎng)絡(luò)協(xié)議 。 Secondly, after elaborating on the background of packet capture and the Libpcap library, we state a approach to implement a packet capture module with Libpcap。 Network packet capturing。 致 謝 .............................................................................................. 錯誤 !未定義書簽。所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。 計算機(jī)網(wǎng)絡(luò)所面臨的威脅大體可分為兩種：一是對網(wǎng)絡(luò)中信息的威脅 ；二是對網(wǎng)絡(luò)中設(shè)備的威脅。這兩種攻擊均可對計算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。這也是本論文的一個重要目的。 第 2 頁 共 23 頁 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序簡介 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序 是一種用于 收集網(wǎng)絡(luò)中有用數(shù)據(jù)的程序，這些數(shù)據(jù)可以是用戶的帳號和密碼 ，也可以是一些商用機(jī)密數(shù)據(jù)等。在合理的網(wǎng)絡(luò)中， 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序 的存在對系統(tǒng)管理員是 至關(guān)重要 的，系統(tǒng)管理員通過 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序 可以診斷出大量的不可見模糊問題，這些問題涉及兩臺乃至多臺計算機(jī)之間的異常通 訊 ，有些甚至牽涉到各種的協(xié)議，借助于 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序 系統(tǒng)管理員可以方便的確定出多少的通訊量屬于哪個網(wǎng)絡(luò)協(xié)議、占主要通訊協(xié)議的主機(jī)是哪一臺、大多數(shù)通訊目的地是哪臺主機(jī)、報 文發(fā)送占用多少時間、或著相互主機(jī)的報文傳送間隔時間等等，這些 信息 為管理員判斷網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。 Wireshark 起初由Gerald Combs 開發(fā)，隨后由一個松散的 Wireshark 團(tuán)隊組織進(jìn)行維護(hù)開發(fā)。事實上由于網(wǎng)絡(luò)上各種協(xié)議種類繁多，各種新的協(xié)議層出不窮。它支持針對網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過濾，并提供and、 or、 not 等邏輯語句來幫助你去掉無用的信息 。是一個直觀 ,功能強(qiáng)大的以太網(wǎng)網(wǎng)絡(luò)和協(xié)議分析器。以友好圖形界面出名， EtherPeek 提供非常詳細(xì)且多樣化的網(wǎng)絡(luò)使用信息，網(wǎng)絡(luò)結(jié)點的會話和數(shù)據(jù)包內(nèi)容。 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序必須完成對常用協(xié)議的識別和分析：要求至少實現(xiàn)TCP/IP協(xié)議簇幾個基本協(xié)議的分析（ ARP、 RARP、 TCP、 UDP），以及應(yīng)用層的常用協(xié)議分析。 第 4 頁 共 23 頁