【正文】 速率為 10Mbps 的常用局域網標準，它采用具有沖突檢 測的 CSMA/CD 的方法。 2) pcap_open()函數(shù)中的讀操作等待時間可按需調整。 基于 TCP/IP 的協(xié)議分析器設計 29 圖 414 ARP 信息報文的分析 捕獲程序性能的調整 本系統(tǒng)實現(xiàn)了 基于 TCP/IP 協(xié)議的網絡 數(shù)據包捕獲和 統(tǒng)計 分析。同時，系統(tǒng)程序捕獲到的差錯報文分析如圖 413 所示。 圖 410 數(shù)據包 的判斷 DNS 基于 TCP 或 UDP 的 端口號都是 53， 客戶機 主要 是 使用 UDP 協(xié)議類型 ， 而 服務器之間備份 才 使用 TCP 協(xié)議類型 。登錄FTP 網站后，可隨后完成一些操作。 圖 43 本機訪問的圖書館主頁 圖 44 本機發(fā)出的請求報文的分析結果 基于 TCP/IP 的協(xié)議分析器設計 25 圖 45 服務器返回的響應報文的解析結果 運行 FTP 服務的許多站點都開放匿名服務。系統(tǒng)程序有設計程序分鐘，該時鐘與本機上的時鐘同步。由于本系統(tǒng)中捕獲與分析同步，所以每捕獲到一個數(shù)據包，系統(tǒng)就會對捕獲到的數(shù)據包進行分析。本程序利用文件讀寫函數(shù) freopen()將運行結果寫到記事本 中，便于用戶讀取信息。 其次是向 VC++ 中添加一個新 include 包含文件所在的路徑，方法一樣是打開工具菜單，選擇選項 ,然后選擇目錄選項卡，在顯示目錄下拉框中選擇 include files，并將 winpcap develop’s packet開發(fā)包中的 include 庫文件路徑添加到顯 示目錄中去。 而且要使用 winpcap 開源包，所以需要添加幾個預處理定義。 ? 設置 VC++的連接器，把 庫文件包含進來。 2) 配置 Microsoft Visual C++的 開發(fā)環(huán)境 要使用 Microsoft Visual C++創(chuàng)建一個可以使用 的應用程序，需要按照以下步驟完成基 本配置 [16]： ? 在每個使用了庫的源程序中，將 頭文件包含進來。本機中可以對 客戶端做如圖 314 的設置?；?TCP/IP 的協(xié)議分析器設計 21 該函數(shù)可以返回一個以 主機字節(jié)順序表達的數(shù)，那么這個數(shù)就可以被 C 程序所識別，以完成數(shù)據的輸出和判斷 [17]。 在數(shù)據鏈路層，可以根據以太網幀結構中的協(xié)議類型字段值來判斷上層的協(xié)議類型，其中 IP 協(xié)議的字段值為 0x0800；在網際層，一樣是根據類型值判斷所屬協(xié)議；當數(shù)據包解包到運輸層后，可以根據端口號 來 判斷應用層協(xié)議。本系統(tǒng)不采用多線程編寫代碼，所以使用 pcap_loop 函數(shù)實現(xiàn)數(shù)據包的捕獲。 基于 TCP/IP 的協(xié)議分析器設計 20 使用 pcap_loop 函數(shù)有時可能會遇到障礙，主要是因為它直接由數(shù)據包捕獲驅動所調用。 pcap_dispatch函數(shù)和 pcap_loop 函數(shù)是具有回調功能的兩個函數(shù)，它們用于捕獲并處理一組 NPF 驅動程序所接收的數(shù)據包。 開始捕獲數(shù)據包 捕獲數(shù)據包的前提條件是要打開本機已連接的網絡適配器。 Break。 Break。 Break?；?TCP/IP 協(xié)議的過濾使用了網絡中常用的協(xié)議作為限定基于 TCP/IP 的協(xié)議分析器設計 19 符。如果表達式沒有給出，那么網絡上的所有數(shù)據包都會被過濾引擎所認可。 數(shù)據包到達網絡接口時，數(shù)據鏈路層的設備驅動將數(shù)據包直接傳送給協(xié)議棧， 也傳送給 winpcap 的底層驅動程序 NPF。 } 數(shù)據包的過濾設定 當網絡管理員需要監(jiān)聽 HTTP 服務時，一般情況下只想捕獲基于 HTTP 端口的數(shù)據，這時，設定數(shù)據過濾規(guī)則是非常有必要的。而且只在 10Mbps 的以太網中實現(xiàn)捕獲。 Pcap_open 函數(shù)的原型如下 [16]： pcap_t* pcap_open (const char* source, int snaplen, int flag, int read_timeout, struct pcap_rmtauth *auth, char *errbuf)。 其包含的成員有一個地址列表、一個掩碼列表、一個廣播地址列表和一個目的地址列表 [16]。 Struct sockaddr *mask。 事實上， winpcap 提供了獲得網絡設備的其他更高級的信息的功能。 d=dnext,i++) { ifprint (d, i+1)。alldevs, errbuf)== 1) { fprintf(stderr,pcap_findalldevs 發(fā)生錯誤 : %s\n, errbuf)。 每個 鏈表中 都包含了一個適配器的詳細信息。 char *description。同時，在程序結束時確保釋放了所獲取的設備列表。有些內核并沒有對數(shù)據包進行過濾，那么，程序員在編寫代碼時，就要加入數(shù)據包過濾的環(huán)節(jié)。 基于 winpcap 的網絡數(shù)據捕獲程序 本系統(tǒng)的設計是以 winpcap 開源包為基礎。 TYPE 確定數(shù)據的傳輸方式。 表 34 常見的 FTP 命令 FTP 命令 說明 CWD 將當前目錄改為遠程文件系統(tǒng)指定的路徑，并且登錄、賬號信息或傳輸參數(shù)等都不改變。實體主體部分在請求報文中一般不用，而在響應報文中也可能沒有這個字段 [15]。 表 32 端口字段對照表 端口號 應用層協(xié)議 21 FTP 23 Tel 25 SMTP 53 DNS 80 HTTP 110 POP3 161 SNMP 基于 TCP/IP 的協(xié)議分析器設計 14 6) HTTP 的數(shù)據報格式 HTTP 有兩類的報文：一類是請求報文，它是從客戶向服 務器發(fā)送的請求報文，其報文結構如圖 310 所示；另一類是響應報文，它是從服務器到客戶的回答，其報文結構如圖311 所示。UDP 數(shù)據包格式如圖 39 所示。 ? RST：重建連接。 其中碼元比特為 TCP 的標志比特。 ICMP 的數(shù)據報格式如圖 37 所示。 IP 數(shù)據報的結構類型如圖 36 所示。 表 31 類型字段對照表 類型字段值 上層協(xié)議類型 0x0080 IP 0x0806 ARP 0x0835 RARP 0x86dd IPv6 2) ARP 信息格式 地址解析協(xié)議 ARP 就是將計算機中的 IP 地址轉換 成物理地址，而且地址解析只能在本地網絡中進行。其物理幀格式如圖 34 所示。此時，數(shù)據包就開始從協(xié)議棧中由數(shù)據鏈路層至應用層，同時 去掉各層協(xié)議加上的報文首部。數(shù)據封裝的過程還 是在在 TCP/IP 協(xié)議棧中進行。 TCP/IP 的協(xié)議 簇分層結構如圖 31 所示。 3) 網際層負責為分組交換網上的不同主機提供通信服務。 ? SMTP 簡單郵件傳送協(xié)議。而 TCP/IP 通信協(xié)議通常被認 為是一種四層協(xié)議系統(tǒng)，它包含應用層、運輸層、網際層、網絡接口層； 每一層分別負責不同的功能 [13]： 1) 應用層負責處理特定的應用程序細節(jié)。 7) pcap_setfilter；用于將一個過濾的字節(jié)碼與一個內核捕獲示例相關聯(lián)。用于釋放打開函數(shù) pcap_openxxx 所獲得的相關資源。用于打開本地主機的網絡適配器，并且可進行網絡數(shù)據包的捕獲。因為 winpcap是以 libpcap 為基礎 設計的，所以它繼承了 libpcap 的一些函數(shù)，又開發(fā)出一些其他高層的函數(shù)，而且這些函數(shù)的調用方法不變。并且它還輸出一個可以在所有 Windows 操作系統(tǒng)中通用的 API，這樣，操作系統(tǒng)和庫就可以在所有的Windows 操作系統(tǒng)下重新編譯運行。為了使配置更具靈活性，在運行的時候，內核與用戶控件緩沖區(qū)的設置也能夠被改變，而 與 庫則提供了實現(xiàn)該功能的接口函數(shù)。對于一個數(shù)據包而言，如果 該 函數(shù)的返回值為 TRUE，則把數(shù)據包復制到應用層中，如果返回值是 FALTE，則將數(shù)據包丟棄。 NPF 能夠執(zhí)行許多操作，包括數(shù)據包捕獲、數(shù)據包發(fā)送、網絡統(tǒng)計及數(shù)據包轉儲到磁盤等，其中，最重要的功能是執(zhí)行數(shù)據包的捕獲。對于介質共 享式的網絡上的主機，無論數(shù)據包是被發(fā)送到運行winpcap 的機器上，還是被發(fā)送到其他主機上進行交換，它都可以被捕獲； 2) 在 數(shù)據包 傳送給上層處理程序之前，可根據用戶指定的 或 是 自定義的規(guī)則 將不需要數(shù)據包 過濾掉； 3) 將原始的數(shù)據包從接口處發(fā)送到網絡上； 4) 收集網路通信過程中統(tǒng)計信息，如網絡流量、網絡狀態(tài)等。最后，根據數(shù)據包的封裝過程，依次在協(xié)議棧中由下至上層層傳送，最終將數(shù)據傳遞給相應的 應用程序。 目前 ,以 C 語言為編程語言的常用的網絡數(shù)據開發(fā)函數(shù)庫有 [10]： ? UNIX 平臺下的 數(shù)據包捕獲函數(shù)庫 libpcap； ? Windows 平臺下的數(shù)據包捕獲函數(shù)庫 winpcap； ? 網絡數(shù)據包構造可發(fā)送函數(shù)庫 lib； ? 網絡入侵檢測函數(shù)庫 libnids； ? 通用網絡安全函數(shù)庫 libd。 網絡開發(fā)工具 網絡開發(fā)現(xiàn)有的函數(shù)庫 本機上大多數(shù)的應用程序是通過操作系統(tǒng)自帶的驅動程序訪問網絡的，如套接字驅動程序 [6]；通常，安全檢測程序都需要對網絡中的通信細節(jié)（如連接通信雙方的網絡地址或或端口號，服務類型等）進行相應的檢查、控制和處理。交換機擁有自己的地址緩沖區(qū)，它可以通過地址映射表來決定 把數(shù)據包發(fā)送到哪個端口 [9]；與集線器把一個數(shù)據報轉發(fā)到各個端口的工作方式相比，這種做法既提高網絡的性能，也提高了網絡的安全性。每個主機都獨立地連接到集線器基于 TCP/IP 的協(xié)議分析器設計 4 上，如果主機或線路發(fā)生問題，也只會影 響本機的線路，不會影響其他計算機的運作。當網卡工作在混雜模式下時，不做任何判斷，直接將接收到的所有數(shù)據包直接交給上層處理程序。一般情況下，組播幀 不能 夠 被組外的主機接收，只可以被組內的其他主機同時接收；工作在 組播模式 下的網卡 可以接收所有的組播幀?；?TCP/IP 的協(xié)議分析器設計 3 第二章 網絡數(shù)據捕獲及 winpcap 的相關知識 網絡數(shù)據捕獲 網卡的工作模式 正常情況下，接收數(shù)據的主機網卡會根據數(shù)據包中所包含的目的 物理 地址進行判斷，若檢驗出是自己的 物理 地址 ,則接收該 數(shù)據包，上層的處理程序會繼續(xù)對數(shù)據包進行處理，否則丟棄該數(shù)據包； 如果檢驗出目的物理地址為廣播地址，那么這種數(shù)據包全部接收。本章節(jié)的重點在于闡述了以 winpcap 開源包為基礎的協(xié)議解析的原理，包括數(shù)據包捕獲的實現(xiàn)、數(shù)據包過濾規(guī)則的設置、數(shù)據包的逐層分析等等。 . 論文結構 本論文在結構上分為五個章節(jié)： 第一章闡述了本次設計所選課題的研究背景、研究現(xiàn)狀以及本文的研究內容等。大多主機上都有設置防火墻，用以阻止非法行為，還有一些常用的殺毒軟件中都包含了安全診斷技術和網絡故障排除技術。包過濾控制技術是利用路由器的監(jiān)視功能，對網絡上流動的 IP 包進行過濾 ,基于 TCP/IP 的協(xié)議分析器設計 2 并拒絕發(fā)送不透明的包 [3]；而且，各種開發(fā)語言與軟件的誕生也為協(xié)議的分析研究提供了了方便，最常用的有 pcap 開源庫，由 Van Jacobson 先生開發(fā)。協(xié)議分析器的實現(xiàn)重點在于數(shù)據捕獲和數(shù)據包解析兩個方面 [1]，它是是在網絡上使用的一種監(jiān)聽技術，可以完成對數(shù)據包的捕獲、解包和分析的功能，管理者可以用它來分析和管理網絡。當然，網絡分析作為一種技術，我們可以正確使用它以達到好的目的。管理不善或是技術匱乏都有可能導致網絡安全受到威脅。人們對互聯(lián)網的依賴越來越大，世界以互聯(lián)網作為橋梁，正在走向融合。本系統(tǒng)以 TCP/IP體系結構為根本，對數(shù)據包實現(xiàn)由下至上的層層解析，最終實現(xiàn)對 HTTP 協(xié)議報文的讀取，F(xiàn)TP 文件傳輸協(xié)議的命令讀取，也可以實現(xiàn)以 UDP 協(xié)議或 TCP 協(xié)議為基礎的 數(shù)據包的判斷。所以，研究以捕獲數(shù)據包為基礎的網絡分析方法在當今是非常必要的?；?TCP/IP 的分析技術也是具有入侵監(jiān)測能力網絡系統(tǒng)的核心技術之一。在循環(huán)捕獲網絡上的數(shù)據包的同時，對數(shù)據包進行分析與歸 類。 參考文獻 ......................................................................................................................................... 32 基于 TCP/IP 的協(xié)議分析器設計 1 第一章 緒論 . 課題背景 計算機網絡的 迅速發(fā)展，給我們的生產、生活、工作與學習到來了巨大的改變。具有互聯(lián)性與開放性的網絡容易受到病毒、黑客、惡意插件等的攻擊，因此，網絡安全、網絡性能、網絡軟件質量等問題越來越受到人們的關注。網絡系統(tǒng)管理人員與安全監(jiān)測人員可以用它處理網絡故障和監(jiān)測網絡安全的工作，但是，它也可以被網絡入侵者非法使用。 為了能更加直觀地理解在以 TCP/IP 協(xié)議為基礎的網絡協(xié)議指引下，數(shù)據包在以太網的傳送過程，包括數(shù) 據包所攜帶的信息以及數(shù)據包在各層次結構間的捕獲交接過程，許多研究者研究并開發(fā)了具有實際教學意義和商業(yè)潛力的協(xié)議分析器，如網絡嗅探器，也就是數(shù)據包抓取分析器。 同時 ,網絡研究者也研究設計了包過濾控制技術，而這種數(shù)據包過