【正文】 獨(dú)立 性 和可移植 性 ，支持 BPF過(guò)濾機(jī)制等 。 對(duì) TCP/IP各層基本協(xié)議分析的技術(shù)：要對(duì) TCP/IP各層的基本協(xié)議進(jìn)行分析，主要是要對(duì)所要分析的協(xié)議有充分的了解，特別是對(duì)各種協(xié)議的報(bào)頭格式要有深入的了解。例如，首先對(duì)網(wǎng)絡(luò)層的協(xié)議識(shí)別后進(jìn)行脫去網(wǎng)絡(luò)層協(xié)議頭。對(duì)于應(yīng)用層協(xié)議識(shí)別的方法目前有幾種技術(shù)： 基于特征串的應(yīng)用層協(xié)議識(shí)別 、 Venus Fast Protocol Recognition、以及端口識(shí)別。缺點(diǎn)是：一些不常用協(xié)議不能被識(shí)別，常用協(xié)議修改端口后也無(wú)法識(shí)別。它直接影響整個(gè)入侵檢測(cè)系統(tǒng)的運(yùn)行速度。而數(shù)據(jù)包捕獲機(jī)制是在數(shù)據(jù)鏈路層增加一個(gè)旁路處理，對(duì)發(fā)送和接收到的數(shù)據(jù)包做過(guò)濾 /緩沖等相關(guān)處理，最后直接傳遞到應(yīng)用程序。包過(guò)濾機(jī)制是對(duì)所捕獲到的數(shù)據(jù)包根據(jù) 用戶的要求進(jìn)行篩選，最終只把滿足過(guò)濾條件的數(shù)據(jù)包傳遞給用戶程序。 ./configure make make install 但如果希望 Libpcap能在 linux上正常工作，則必須使內(nèi)核支持 “packet” 協(xié)議 ，也即在編譯內(nèi)核時(shí)打開(kāi)配置選項(xiàng) CONFIG_PACKET(選項(xiàng)缺省為打開(kāi) )。 pcap_t *pcap_open_live(char *device, int snaplen, int promisc, int to_ms, char *ebuf) 功能：設(shè)置一個(gè)抓包描述符 參數(shù)：其第一個(gè)參數(shù)是我們?cè)谏弦还?jié)中指定的設(shè)備， snaplen 是整形的，它定義了將被 pcap 捕獲的最大字節(jié)數(shù)。 int pcap_pile(pcap_t *p, struct bpf_program *fp, char *str, int optimize, bpf_u_int32 mask) 功能：編譯過(guò)濾規(guī)則 參數(shù)：第一個(gè)參數(shù)是會(huì)話句柄（ pcap_t *handle 在前一節(jié)的示例中）。最后，我們必須指定應(yīng)用此過(guò)濾器的網(wǎng)絡(luò)掩碼。 int pcap_loop(pcap_t *p, int t, pcap_handler callback, u_char *user) 功能：循環(huán)抓包直到用戶中止。 數(shù)據(jù)結(jié)構(gòu)： struct pcap_if{ struct pcap_if *next。 u_int flags。如果為空是鏈的最后一個(gè)元素。 pcap_addr *addresses。 現(xiàn) 在 唯 一 可 用 的標(biāo)識(shí)是PCAP_IF_LOOKBACK,它被用來(lái)標(biāo)識(shí)網(wǎng)卡是不是 lookback 網(wǎng)卡。 /*length this packet(off wire)*/ }。 這個(gè)數(shù)據(jù)報(bào)的長(zhǎng)度； 細(xì)節(jié)描述：在 dump 文件中的每個(gè)數(shù)據(jù)報(bào)都有這樣一個(gè)報(bào)頭。 /* number of packets dropped */ u_int ps_ifdrop。 被驅(qū)動(dòng)程序丟棄的數(shù)據(jù)報(bào)的數(shù)目； u_int ps_ifdrop。 sockaddr *broadaddr。 如果非空，指向鏈表中一個(gè)元素的指針；空表示鏈表中的最后一個(gè)元素。 如果非空，指向包含相對(duì)于 addr 指向的地址的一個(gè)網(wǎng)絡(luò)掩碼的結(jié)構(gòu)。 如果非空，指向一個(gè)相對(duì)于 addr 指向的源地址的目 的地址，如果網(wǎng)絡(luò)不支持點(diǎn)對(duì)點(diǎn)通訊，則為空。 第四步接收用戶輸入的過(guò)濾條件，調(diào)用 pcap_pile和 pcap_setfilter生成過(guò)濾規(guī)則。 網(wǎng)絡(luò)協(xié)議分析的總體流程 網(wǎng)絡(luò)功能的分層帶來(lái)了網(wǎng)絡(luò)協(xié)議的層次結(jié)構(gòu)，網(wǎng)絡(luò)數(shù)據(jù)在傳送時(shí)，同樣也是被分解成一個(gè)個(gè)的數(shù)據(jù)報(bào)逐層傳送的 ,在兩臺(tái)主機(jī)的實(shí)際通信過(guò)程中，從邏輯上講，是兩臺(tái)主機(jī)的對(duì)等層直接通信。數(shù)據(jù)包的加工工作 如圖41所示： 圖 41 數(shù)據(jù)封裝示意 TCP傳給 IP的數(shù)據(jù)單元稱(chēng)作 TCP報(bào)文段或簡(jiǎn)稱(chēng)為 TCP段 (TCP Segment)； IP傳給用戶數(shù)據(jù) 用戶數(shù)據(jù) APP 首部 應(yīng)用 數(shù)據(jù) TCP 首部 應(yīng)用數(shù)據(jù) TCP 首部 IP 首部 應(yīng)用數(shù)據(jù) TCP 首部 IP 首部 以太網(wǎng)頭 以太網(wǎng)尾 應(yīng)用程序 TCP IP 以太網(wǎng)驅(qū)動(dòng)程序 網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱(chēng)作 IP數(shù)據(jù)報(bào) (IP datagram)；通過(guò)以太網(wǎng)傳輸?shù)谋忍亓鞣Q(chēng)作幀，分組既可以是一個(gè) IP數(shù)據(jù)報(bào)也可以是 IP數(shù)據(jù)報(bào)的一個(gè)片 (fragment)。 (3)對(duì)于 IP數(shù)據(jù)報(bào)去除網(wǎng)絡(luò)層的 報(bào) 頭以后，可以獲得傳輸層數(shù)據(jù)報(bào)，對(duì)TCP/UDP數(shù)據(jù)包的報(bào)頭進(jìn)行分析在這一層中還可以獲得數(shù)據(jù)報(bào)的端口號(hào)信息，根據(jù)端口號(hào)進(jìn)一步判斷數(shù)據(jù)報(bào)屬于何種應(yīng)用層協(xié)議。下面就按照數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層到傳輸層再到應(yīng)用層的順序詳細(xì)的講解每層包頭的結(jié)構(gòu)以及如何對(duì)每層的數(shù)據(jù)報(bào)進(jìn)行協(xié)議分析。我們就得到了以太幀的報(bào)文頭，就可以對(duì)該層協(xié)議進(jìn)行分析和處理。這里我們只討論最為常用的以太網(wǎng) II數(shù)據(jù) 報(bào)格式，這是在 RFC894中定義的，如圖 43所示，這是以太網(wǎng) II的封裝格式： 字節(jié) 6 6 2 46～ 1500 4 目的地址 源地址 類(lèi)型 數(shù)據(jù) FCS 圖 43以太網(wǎng) II的封裝格式 其中每個(gè)字段的含義如下： (1)幀初始同步 ((Preamble)： 8字節(jié)長(zhǎng)，提供接收端的同步和分隔幀的功能。其中，單播地址也稱(chēng)為 MAC地址。如果在該字段中未注明有上層協(xié)議實(shí)體接收有效載荷幀。以太網(wǎng) II能發(fā)送最大 1500字節(jié)的有效載荷。本子段對(duì)于網(wǎng)絡(luò)監(jiān)視器來(lái)說(shuō)同樣是不可見(jiàn)的。 IP網(wǎng)絡(luò)上的主機(jī) 是 通過(guò) IP數(shù)據(jù)報(bào)來(lái)交換數(shù)據(jù)的， IP數(shù)據(jù)報(bào)包括數(shù)據(jù)單元和首部字段，其中，數(shù)據(jù)單元包含要交換的所有信息，首部字段描述這個(gè)信息和數(shù)據(jù)報(bào)本身。如圖 44是 IP數(shù)據(jù)報(bào)在 RFC791中定義的封裝格式： 比特 0 4 8 16 20 24 31 版本 報(bào)頭長(zhǎng) 服務(wù)類(lèi)型 數(shù)據(jù)包總長(zhǎng) 標(biāo)識(shí)符 標(biāo)志 片偏移 生存時(shí)間 協(xié)議號(hào) 報(bào)頭校驗(yàn)和 源 IP地址 目的 IP地址 選項(xiàng) 填充碼 數(shù)據(jù) 圖 44 IP數(shù)據(jù)報(bào)格式 其中每個(gè)字段的含義如下： (1)版本 (version)：長(zhǎng)度為 4位，顯示 IP報(bào)頭的版本。 (3)服務(wù)類(lèi)型 (type of service)：長(zhǎng)度為 8位，表示按照優(yōu)先權(quán)、安全性以及吞吐量等數(shù)據(jù)包的服務(wù)類(lèi)型。其中一個(gè)標(biāo)志是用于表示 IP有效載荷是否符合分片的標(biāo)準(zhǔn)，而另一個(gè)是表示對(duì)于已分片的 IP數(shù)據(jù)報(bào)是否還有更多的分片。 IP協(xié)議字段的一般值有： 1表示 ICMP， 2表示 IGMP， 6表示 TCP， 17表示 UDP等等。 TCP/UDP 首部的分析與提取 TCP/UDP報(bào)文頭部的獲取跟 IP報(bào)文頭部的獲取類(lèi)似，將 P指針的位置向后移 IP報(bào)文長(zhǎng)度個(gè)位置即可 (struct tcphdr *) (p + sizeof (struct ether_header) + 4 * iphip_hl)。盡管 IP已經(jīng)做了大部分的搜集工作，并且根據(jù)需要在 Inter上發(fā)送數(shù)據(jù)報(bào)和數(shù)據(jù)包，但是 IP是不可 靠的協(xié)議，并不能保證數(shù)據(jù)報(bào)或者數(shù)據(jù)包能夠原封不動(dòng)的到達(dá)其目的地， TCP作為 IP的上層協(xié)議，為 IP提供了可靠性服務(wù)，確保了 IP數(shù)據(jù)報(bào)中的數(shù)據(jù)的正確性。 TCP端口為 TCP連接數(shù)據(jù)的傳送定義了一種位置 ，表明段被發(fā)送至的應(yīng)用層進(jìn)程的一個(gè)目的端口。IP頭中的目的 IP地址和 TCP頭中的端口聯(lián)合起來(lái)提供一個(gè)目的套接字。 (4)確認(rèn) 號(hào) (acknowledgment number)：一個(gè) 4位的字段，指示接收方希望收到的輸入字節(jié)流中下一個(gè) 8位組的序列號(hào)。 (6)保留 (reserved)：一個(gè) 6字節(jié)字段，為了未來(lái)的使用而保留。窗口大小的廣告是一種實(shí)現(xiàn)接收流流控制的方式。 用戶數(shù)據(jù)報(bào)協(xié)議 (UDP)是定義用來(lái) 在互連網(wǎng)絡(luò)環(huán)境中提供包交換的計(jì)算機(jī)通信的協(xié)議。以下是 UDP協(xié)議的報(bào)文頭 格式 ： 比特 0 16 31 圖 46 TCP數(shù)據(jù)包格式 (1)源端口 — 16 位。 (2)目的端口 — 16 位。長(zhǎng)度最小值為 8。 應(yīng)用層協(xié)議的識(shí)別與分析 對(duì)于應(yīng)用層協(xié)議本程序采用的是端口識(shí)別技術(shù)。公認(rèn)端口被分配給網(wǎng)絡(luò)上的服務(wù)程序。 表 41 常用協(xié)議和對(duì)應(yīng)的端口號(hào) 上層協(xié)議 端口號(hào) /協(xié)議 上層協(xié)議的意義 源端口 目的端口 長(zhǎng)度 校驗(yàn)和 Echo 7/dup 回應(yīng)請(qǐng)求 ftpdata 20/tcp,20/udp 在 ftp上數(shù)據(jù)傳送路徑 ftp 21/tcp,21/udp 在 ftp上控制數(shù)據(jù)通信路徑 tel 23/tcp,23/udp 用于遠(yuǎn)程終端連接的標(biāo)準(zhǔn) Smtp 25/tcp,25/udp 郵件發(fā)送服務(wù) Time 37/tcp,37/udp 計(jì)時(shí)服務(wù)器 Nameserver 42/tcp,42/udp 主機(jī)名服務(wù)器 Niame 43/tcp,43/udp Whois服務(wù) Domain 53/tcp,53/udp 域名服務(wù)器 Tftp 69/tcp,69/udp 小型文件傳輸協(xié)議 Gopher 70/tcp,70/udp 信息服務(wù) Finger 79/tcp,79/udp 用戶信息 80/tcp,80/udp Pop3 110/tcp,110/udp 郵局協(xié)議 Sqlserv 118/tcp,118/udp SQL服務(wù) nntp 119/tcp,119/udp 網(wǎng)絡(luò)新聞傳輸協(xié)議 Ntp 123/tcp,123/udp 網(wǎng)絡(luò)時(shí)間協(xié)議 Netbiosns 137/tcp,137/udp Netbios名稱(chēng)服務(wù) Netbiosdgm 138/tcp,138/udp Netbios會(huì)議服務(wù) 短暫端口號(hào)是客服端程序與服務(wù)器程序進(jìn)行通信時(shí) ， 短暫使用端口號(hào)。 } else{ //短暫端口等找不到名稱(chēng)時(shí) sprintf (portch, e)。用這個(gè)函數(shù)來(lái)檢索與端口相關(guān)的信息，吧結(jié)果作為指向servent型的結(jié)構(gòu)體的指針并返回。 getportname()函數(shù)檢索端口名稱(chēng)失敗時(shí)，返回 NULL。 程序 運(yùn)行環(huán)境 安裝有 Libpcap 以上版本的 Linux 操作系統(tǒng)。 最后 對(duì)關(guān)鍵模塊進(jìn)行回歸測(cè)試。 (2)能夠識(shí)別應(yīng)用層協(xié)議。 (2)與硬件相結(jié)合開(kāi)發(fā)成熟產(chǎn)品。 可見(jiàn)網(wǎng)絡(luò)數(shù)據(jù)包的監(jiān)聽(tīng)技術(shù)在今天的網(wǎng)絡(luò)信息時(shí)代是重要的、長(zhǎng)期的研發(fā)課題，它的研究成功將具有重要的社會(huì)效益和理論研究意義。 [4] 劉文濤 .網(wǎng)絡(luò)安全開(kāi)發(fā)包詳解 [M].北京：電子工業(yè)出版社 ， 2021。在此向他表示我最衷心的感謝！ 在論文完成過(guò)程中，本人還得到了金虎老師的悉心指導(dǎo)。 感謝我的爸爸媽媽?zhuān)傻弥X草，言樹(shù)之背，養(yǎng)育之恩，無(wú)以回報(bào)，你們永遠(yuǎn)健康快樂(lè)是我最大的心愿。 關(guān)于學(xué)位 論文使用權(quán)和研究成果知識(shí)產(chǎn)權(quán)的說(shuō)明： 本人完全了解成都信息工程學(xué)院有關(guān)保管使用學(xué)位論文的規(guī)定，其中包括： （ 1）學(xué)校有權(quán)保管并向有關(guān)部門(mén)遞交學(xué)位論文的原件與復(fù)印件。 （ 5）學(xué)?？梢怨紝W(xué)位論文的全部或部分內(nèi)容（保密學(xué)位論文在解密后遵守此規(guī)定）。強(qiáng)巴生長(zhǎng)在一個(gè)叫達(dá)瓦奴措的小村，那是深入藏原腹地、最接近無(wú)人區(qū)的地方，他的名字，原意是能戰(zhàn)勝大海的人。那是我們藏區(qū)特產(chǎn)，它們已經(jīng)存在幾千萬(wàn)年了，約在兩千年前流傳到希臘，后到羅馬帝國(guó)，又由東歐的斯拉夫族人傳到歐洲各國(guó)，至今世界名犬的體內(nèi)還保留著藏獒的研究理論“隔代大遺傳”是否有關(guān)。默默研究了一輩子，誰(shuí)會(huì)放棄可以證明價(jià)值的最高獎(jiǎng)勵(lì) ?到底是為什么 ?”她轉(zhuǎn)念心想，“那個(gè)高大的男人，肯定是魔鬼的化身 !” 方新教授剛剛轉(zhuǎn)過(guò)身來(lái)，就被卓木喜馬拉雅山脈的中部偏東南方向，可能越過(guò)國(guó)境線。” 方新教授笑著回復(fù)：“是腳指頭截去了，你老哥??”這時(shí)，機(jī)場(chǎng)已經(jīng)遙遙在望了?！? 進(jìn)了機(jī)場(chǎng)，方新不由看了卓木強(qiáng)一眼，吸氣道：“軍用包機(jī) !” 第 03 部分 第二個(gè)瘋子 第七回 第二個(gè)瘋子 上 卓木強(qiáng)看見(jiàn)方新有些驚訝，面色有些得意地解釋道：“嗯，拉薩來(lái)的，沒(méi)花多少錢(qián)?！?這是他為了討好導(dǎo)師，特意吩咐下人安排的，沒(méi)想到竟然不在拉薩降落，而屬下居然沒(méi)告知他，急得他直撓頭?！? 方新道：“他們不一定熟悉，我們就讓機(jī)場(chǎng)方面替我們安排一下就好。 軍區(qū)某團(tuán)，團(tuán)長(zhǎng)班覺(jué)次仁，是藏區(qū)本地人，長(zhǎng)得牛高馬大，方面闊口，兩道濃眉下，一雙厲眼透出煞氣。” 那小張是次仁的副官，叫張立，分到西藏軍區(qū)兩年了，驍勇善戰(zhàn)，是軍區(qū)特衛(wèi)團(tuán)的精英力量。 秦立的心猛的顫動(dòng)了一下，一股莫名的悲憤襲來(lái)，大腦就像是被閃電劈中一般，在這一瞬間幾乎喪失了思考的能力，腦中再次陷入極度混亂當(dāng)中。 為了他，母親把所有值錢(qián)的東西都賣(mài)掉了。 這次卻不行了，秦立因?yàn)槭艿骄薮蟠碳?，吐血昏厥，已?jīng)有生命危險(xiǎn)，秦母也亂了方寸，剛剛?cè)デ筮^(guò)小時(shí)候最疼她的四哥， 讓他跟父親說(shuō)一聲，卻不想不但沒(méi)見(jiàn)到四哥，還被四哥新娶回來(lái)的第八房小妾一通冷嘲熱諷的給罵了回來(lái)?? 吳醫(yī)師偷眼看了一下秦寒月，那