【正文】 at結(jié)構(gòu)賦值。都用于捕獲并處理數(shù)據(jù)包，不同的是pcap_loop（）在t個數(shù)據(jù)包被處理或出現(xiàn)錯誤時才返回，但讀取超時不會返回。fp參數(shù)是bpf_program結(jié)構(gòu)指針，通常取自pcap_pile()函數(shù)調(diào)用。optimize參數(shù)控制結(jié)果代碼的優(yōu)化。其中，netp參數(shù)和maskp參數(shù)都是bpf_u_int32指針。to_ms參數(shù)指*定超時時間（毫秒）。如果出錯返回NULL；（2）pcap_t *pcap_open_live(char *device, int snaplen, int promisc, int to_ms, char *ebuf)，函數(shù)用于打開網(wǎng)絡(luò)設(shè)備，并且返回用于捕獲網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)包捕獲描述字。當一個數(shù)據(jù)包到達網(wǎng)絡(luò)接口時，libpcap首先利用已經(jīng)創(chuàng)建的Socket從鏈路層驅(qū)動程序中獲得該數(shù)據(jù)包的拷貝，再通過Tap函數(shù)將數(shù)據(jù)包發(fā)給BPF過濾器。libpcap 支持BPF過濾機制[15]。 系統(tǒng)開發(fā)語言、工具及環(huán)境 系統(tǒng)開發(fā)語言根據(jù)項目整體設(shè)計要求，該項目需要運行在Linux系統(tǒng)下，程序采用C語言實現(xiàn)。(4) 打開pcap數(shù)據(jù)包文件。（2）數(shù)據(jù)包處理模塊這個模塊主要負責各種協(xié)議的分析，是整個系統(tǒng)最核心的部分，它通過調(diào)用各個協(xié)議分析函數(shù)，對預(yù)先設(shè)定的協(xié)議進行分析。 基于DPI的應(yīng)用層協(xié)議解析系統(tǒng)設(shè)計方案。（2）輸出需求分析出的應(yīng)用層數(shù)據(jù)協(xié)議信息，包括協(xié)議類型、該協(xié)議的字節(jié)數(shù)、數(shù)據(jù)包數(shù)等信息。（2）通過對應(yīng)用層協(xié)議的解析，識別出當前數(shù)據(jù)包中包含的應(yīng)用層協(xié)議，以此對網(wǎng)絡(luò)進行內(nèi)容控制及管理。本文從5個方面著手對基于DPI的應(yīng)用層協(xié)議解析系統(tǒng)的研究背景以及設(shè)計與實現(xiàn)作了詳細的介紹。在這些情況中，下面分別表述：在發(fā)送第一行響應(yīng)和一個 CRLF 之后，任何的附加信息行發(fā)送，他們也由 CRLF 對結(jié)束。POP3 響應(yīng)由一個狀態(tài)碼和一個可能跟有附加信息的命令組成。POP3 命令由一個命令和一些參數(shù)組成[28]。如下圖 所示。POP3 客戶端向服務(wù)器發(fā)送命令并等待響應(yīng)， POP3 命令采用命令行形式，用ASCII 碼表示。SMTP 所示。 SMTP協(xié)議SMTP[11] （Simple Mail Transfer Protocol,簡單郵件傳輸協(xié)議）是一種提供可靠且有效的電子郵件傳輸協(xié)議。被動模式的通信過程和主動模式基本一致，只是由客戶端發(fā)起數(shù)據(jù)鏈路的建立請求。FTP 的一個完整的通信過程[10]如圖 所示。 file：DHCP服務(wù)器為 DHCP客戶端指定的啟動配置文件名稱及路徑信息。 siaddr：DHCP客戶端獲取 IP地址等信息的服務(wù)器 IP地址。第一個比特為廣播響應(yīng)標識位，用來標識 DHCP 服務(wù)器響應(yīng)報文是采用單播還是廣播方式發(fā)送，0 表示采用單播方式，1 表示采用廣播方式。 DHCP報文格式 xid：由客戶端軟件產(chǎn)生的隨機數(shù)，用于匹配請求和應(yīng)答報文。 hlen：硬件地址長度。DHCP協(xié)議中傳輸?shù)膱笪挠涉溌穼宇^（承載鏈路層信息），IP頭（標準IP協(xié)議頭，20B），UDP頭（8B）和DHCP報文四部分組成。如果有多臺dhcp服務(wù)器向該客戶端發(fā)來dhcp_offer報文，客戶端只接受第一個收到的dhcp_offer報文，然后以廣播方式向各dhcp服務(wù)器回應(yīng)dhcp_request報文，該信息中包含dhcp服務(wù)器在dhcp_offer報文中分配的ip地址。DHCP協(xié)議的通信過程如下：（1）發(fā)現(xiàn)階段，即dhcp客戶端尋找dhcp服務(wù)器的階段。狀態(tài)碼是用來表示當服務(wù)器收到客戶端的請求報文之后返回的一個響應(yīng)狀態(tài)，表示請求是否被理解或被滿足。版本空格狀態(tài)碼空格解釋狀態(tài)碼換行符回車符換行符回車符頭部字段名：值換行符回車符頭部字段名：值換行符回車符 HTTP協(xié)議HTTP協(xié)議[6,7]（hypertext transport protocol，超文本傳輸協(xié)議）是一個屬于應(yīng)用層的面對對象協(xié)議，它是工作在TCP/IP協(xié)議體系的TCP(Transfer ControlProtocol, 傳輸控制協(xié)議)之上可靠傳輸，采用的是C/S（客戶端/服務(wù)器）的工作模式。行為模式識別技術(shù)通常用于無法根據(jù)協(xié)議判斷的業(yè)務(wù)的識別。應(yīng)用層網(wǎng)關(guān)需要先識別出控制流，并根據(jù)控制流的協(xié)議通過特定的應(yīng)用層網(wǎng)關(guān)對其進行解析，從協(xié)議內(nèi)容中識別出相應(yīng)的業(yè)務(wù)流。通過對“指紋”信息的升級，基于特征的識別技術(shù)可以很方便的進行功能擴展，實現(xiàn)對新協(xié)議的檢測。（1）基于“特征字”的識別技術(shù)[1]。DPI恰好能夠提供這些要求[3]，尋求更好的網(wǎng)絡(luò)管理以及合規(guī)的用戶企業(yè)應(yīng)該把DPI作為一項重要的技術(shù)。通常的DPI解決方案能夠為不同的應(yīng)用程序提供深度數(shù)據(jù)包檢測。傳統(tǒng)報文檢測僅僅分析IP包的四層以下的內(nèi)容，包括源地址、目的地址、源端口、目的端口以及協(xié)議類型。并且當前網(wǎng)絡(luò)上的一些非法應(yīng)用會采用隱藏或假冒端口號的方式躲避檢測和監(jiān)管，造成仿冒合法報文的數(shù)據(jù)流侵蝕著網(wǎng)絡(luò)[2]。對于網(wǎng)絡(luò)管理來說，最重要的就是識別和區(qū)分網(wǎng)絡(luò)流量，通過協(xié)議識別可以對網(wǎng)絡(luò)進行流量控制、網(wǎng)絡(luò)計費、內(nèi)容過濾、以及流量管理。最后，對研究工作進行了總結(jié)與展望，肯定了其研究意義和價值，同時也指出了系統(tǒng)存在的不足及今后的改進方向。.. . . ..摘 要隨著互聯(lián)網(wǎng)在中國的迅速發(fā)展，全國各大網(wǎng)絡(luò)運營商的網(wǎng)絡(luò)規(guī)模都在不斷擴張，網(wǎng)絡(luò)結(jié)構(gòu)日漸復(fù)雜，網(wǎng)絡(luò)業(yè)務(wù)日趨豐富，網(wǎng)絡(luò)流量高速增長，這使得網(wǎng)絡(luò)管理的要求和難度都大大提高。首先，對應(yīng)用層協(xié)議解析的研究現(xiàn)狀和已有的檢測方法進行了分析和介紹，在此基礎(chǔ)上采用了深度包檢測（DPI）技術(shù)對應(yīng)用層協(xié)議解析；其次，對應(yīng)用層協(xié)議解析系統(tǒng)的系統(tǒng)架構(gòu)及各子系統(tǒng)的功能做了概要介紹，同時將協(xié)議分析模塊（包括HTTP分析、DHCP分析）作為核心模塊詳細加以說明；再次，對整個應(yīng)用層協(xié)議解析做了詳細設(shè)計，闡述了各個模塊的設(shè)計原理及實現(xiàn)流程，并通過系統(tǒng)測試，證實了系統(tǒng)設(shè)計方案的可行性和正確性。 Three, the article given a detailed design on the application layer protocol analysis system, described the design principles and processes of each module, and system testing, confirmed the feasibility of the system design. Finally, this paper summarized the research work and looking, ensured its significance and value, and also pointed out the shortings of the system and the future direction of the improvement.Keywords：deep packet inspection, the application layer protocol analysis, libpcap, hypertext transfer protocol analysis 學(xué)習參考 目錄摘 要 IABSTRACT II1 緒言 課題背景及研究的目的和意義 1(DPI)國內(nèi)外研究概況 2 應(yīng)用層協(xié)議概述 3 112 應(yīng)用層協(xié)議解析系統(tǒng)設(shè)計方案的研究 系統(tǒng)需求分析 13 基于DPI的應(yīng)用層協(xié)議解析系統(tǒng)設(shè)計方案 14 協(xié)議分析系統(tǒng)設(shè)計方案 15 系統(tǒng)開發(fā)語言、工具及環(huán)境 163 基于DPI的應(yīng)用層協(xié)議解析與設(shè)計 17 HTTP分析模塊 23 DHCP分析模塊 254 系統(tǒng)測試 測試指標 28 測試環(huán)境 28 測試步驟及結(jié)果分析 285 總結(jié)與展望 30致 謝 31參考文獻 32 學(xué)習參考1 緒言 課題背景及研究的目的和意義 課題背景在如今Internet高速發(fā)展，網(wǎng)絡(luò)的內(nèi)容安全是網(wǎng)絡(luò)安全的重要組成部分。這不僅包括眾多近年新出現(xiàn)的P2P協(xié)議，而且包括了越來越多的傳統(tǒng)協(xié)議，比如BitTorrent、eMule等P2P協(xié)議，其采用動態(tài)端口進行通信；而Skype、等協(xié)議則共用80端口。DPI技術(shù)不同于傳統(tǒng)的協(xié)議（）。 兩種報文檢測的區(qū)別(DPI)國內(nèi)外研究概況深度數(shù)據(jù)包檢測(DPI)是一項已經(jīng)在流量管理、安全和網(wǎng)絡(luò)分析等方面獲得成功的技術(shù)，同時該技術(shù)能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)包進行內(nèi)容分析，但又與header或者基于元數(shù)據(jù)的數(shù)據(jù)包檢測有所不同，這兩種檢測通常是由交換機、防火墻和入侵檢測系統(tǒng)IPS設(shè)備來執(zhí)行的?！　‰S著網(wǎng)絡(luò)運營商、互聯(lián)網(wǎng)服務(wù)提供商(ISP)以及類似的公司越來越依賴于其網(wǎng)絡(luò)以及網(wǎng)絡(luò)上運行的應(yīng)用程序的效率，管理帶寬和控制通信的復(fù)雜性以及安全的需要變得越來越重要。DPI的識別技術(shù)可以分為三大類：基于“特征字”的識別技術(shù)，應(yīng)用層網(wǎng)關(guān)識別技術(shù)和行為模式識別技術(shù)。根據(jù)具體檢測方式的不同，基于“特征字”的識別技術(shù)又可以被分為固定位置特征字匹配、變動位置的特征匹配以及狀態(tài)特征匹配三種技術(shù)。這種情況下，我們就需要采用應(yīng)用層網(wǎng)關(guān)識別技術(shù)。行為模式識別技術(shù)基于對終端已經(jīng)實施的行為的分析，判斷出用戶正在進行的動作或者即將實施的動作。下面對幾種常見的應(yīng)用層協(xié)議的通信過程進行簡單的分析。請求方法空格URL空格協(xié)議版本換行符回車符換行符回車符頭部字段名：值換行符回車符頭部字段名：值換行符回車符而HTTP 響應(yīng)報文的格式如圖 所示。實體主體（部分響應(yīng)不用）請求頭部請求數(shù)據(jù)請求行 HTTP相應(yīng)報文一般格式響應(yīng)報文的一部分內(nèi)容跟請求報文一致，不同的主要是狀態(tài)碼和解釋狀態(tài)碼的短語。 DHCP協(xié)議DHCP(Dynamic Host Configuration Protocol, 動態(tài)主機設(shè)置協(xié)議) 是TCP/IP協(xié)議簇中的一種，主要是用來給網(wǎng)絡(luò)客戶機分配動態(tài)的IP地址。服務(wù)器在發(fā)送dhcp_offer報文之前，會以廣播的方式發(fā)送arp報文進行地址探測，以保證發(fā)送給客戶端的ip地址的唯一性。 （3）選擇階段，即dhcp客戶端選擇ip地址的階段。如果在規(guī)定的時間內(nèi)沒有收到回應(yīng)，客戶端才使用此地址。 htype：硬件地址類型。DHCP 請求報文每經(jīng)過一個DHCP中繼，該字段就會增加 1。 flags：標志字段。 yiaddr：DHCP服務(wù)器分配給客戶端的 IP地址。 sname：DHCP客戶端獲取 IP地址等信息的服務(wù)器名稱。兩種模式的數(shù)據(jù)和控制鏈路都是分開傳輸?shù)模煌牡胤皆谟谥鲃幽Ｊ接煞?wù)器端發(fā)起數(shù)據(jù)鏈路的鏈接請求，而被動模式由客戶端發(fā)起數(shù)據(jù)鏈路的鏈接請求。在整個過程中，控制鏈路的鏈接一直都存在，直到 FTP 的整個通信過程結(jié)束，而數(shù)據(jù)鏈路每一次傳輸就需要建立一次新的鏈接。2xx 表示當前的操作成功，3xx 表示權(quán)限問題，4xx 表示文件問題，5xx 表示服務(wù)器問題。（4）服務(wù)器向客戶端返回它支持的服務(wù)，之