【正文】 ......................................... 11 Libpcap安裝 ............................................................................................ 11 Libpcap中基本的數(shù)據(jù)結(jié)構(gòu)和函數(shù) ............................................................. 11 數(shù)據(jù)捕獲模塊的實(shí)現(xiàn) ........................................................................................ 14 4 協(xié)議分析模塊的實(shí)現(xiàn) ............................................................................................... 14 網(wǎng)絡(luò)協(xié)議分析的總體流程 ................................................................................. 15 對(duì) TCP/IP模型中各層協(xié)議的分析 ..................................................................... 17 以太網(wǎng)首部的分析與提取 .......................................................................... 17 IP首部的分析與提取 ................................................................................ 18 TCP/UDP首部的分析與提取 ....................................................................... 19 應(yīng)用層協(xié)議的識(shí)別與分析 .......................................................................... 21 5 程序運(yùn)行與測(cè)試 ...................................................................................................... 23 測(cè)試環(huán)境 .......................................................................................................... 23 硬件環(huán)境 ................................................................................................... 23 程序運(yùn)行環(huán)境 ............................................................................................ 23 測(cè)試步驟 .......................................................................................................... 23 測(cè)試結(jié)果評(píng)價(jià) ................................................................................................... 23 結(jié) 論 ........................................................................................................................ 23 參考文獻(xiàn) ........................................................................................................................ 24 致 謝 ........................................................................................................................ 25 聲 明 ........................................................................................................................ 26 1 引言 課題背景 隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化 已 成 為當(dāng)今社會(huì)發(fā)展的趨勢(shì)。 (2)人為的惡意攻擊：這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計(jì)算機(jī)犯罪 就屬于這一類。同時(shí)許多防火墻也是基于包過濾技術(shù)的。比較著名的網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析軟件有：開源軟件： Wireshark、 TcpDump。這樣才能適應(yīng)網(wǎng)絡(luò)發(fā)展的需要不斷加入新的協(xié)議解析器。 EtherPeek 把查找和修復(fù)多平臺(tái)上的復(fù)雜網(wǎng)絡(luò)任務(wù)變得簡(jiǎn)單化。對(duì)網(wǎng)絡(luò)數(shù) 據(jù)包的捕獲、規(guī)則過濾和對(duì)數(shù)據(jù)包的分析是本程序的主要功能。該模塊主要功能是接收用戶輸入用于捕獲數(shù)據(jù)包的信息。 數(shù)據(jù)處理模塊。該模塊的主要功能是將分析的結(jié)果顯示給用戶。 編譯用戶設(shè)置的過濾規(guī)則。要實(shí)現(xiàn)共享以太網(wǎng)中的數(shù)據(jù)捕獲，各個(gè)平臺(tái)有不同的技術(shù)。 協(xié)議識(shí)別技術(shù) ： 由于 OSI 的 7 層協(xié)議模型，協(xié)議數(shù)據(jù)是從上到下封裝后發(fā)送的。端口 識(shí)別 的原理是常用協(xié)議使用固定端口來進(jìn)行通信。不同的操作系統(tǒng)實(shí)現(xiàn)的底層包捕獲機(jī)制可能是不一樣的，但從形式上看大同小異。 Libpcap可以在絕大多數(shù)類 unix平臺(tái)下工作。 to_ms 是讀取時(shí)的超時(shí)值，單位是毫秒 (如果為 0則一 直嗅探直到錯(cuò)誤發(fā)生，為 1 則不確定 )。 int pcap_setfilter(pcap_t *p, struct bpf_program *fp) 功能：設(shè)置過濾規(guī)則。 char *description。 指向一個(gè)字符串，該字符串是傳給 pcap_open_live()函數(shù)的設(shè)備名； char *description。/*time stamp*/ bpf_u_int32 caplen。 struct pcap_stat { u_int ps_recv。 sockaddr * addr。 指向包含一個(gè)地址的 sockaddr 的結(jié)構(gòu)的指針。 第二步用戶輸入用于捕獲數(shù)據(jù)包的網(wǎng)卡后，調(diào)用 pcap_open_live生成一個(gè)抓包描述符。 當(dāng)數(shù)據(jù)包被傳輸 到某一層的時(shí)候，該層都會(huì)對(duì)數(shù)據(jù)包進(jìn)行加工，在發(fā)送方通常是加上一個(gè)與該層協(xié)議有關(guān)的控制或標(biāo)志信息，即數(shù)據(jù)包的包頭或包尾；而在接受方則是需要逐層拆下本層標(biāo)志，即去掉數(shù)據(jù)包的包頭或包尾，根據(jù)控制信息進(jìn)行相應(yīng)的處理，將分解后的數(shù)據(jù)報(bào)逐層上傳，直至應(yīng)用程序獲得最終數(shù)據(jù)。 (5)對(duì)所有的數(shù)據(jù) 報(bào) 頭分析處理后，取出其中的主要信息然后顯示給用戶 。以太網(wǎng)是當(dāng)今 TCP/IP采用的主要的局域網(wǎng)技術(shù)，它采用一種稱作 CSMA/CD的媒體接入方法，其意思是帶沖突檢測(cè)的載波偵聽多路接入 (Carrier Sense Multiple Access with Collision Detection)，發(fā)送端在傳輸之前要偵聽信道。 (4)以太網(wǎng)類型 (Ether Type)： 2字節(jié)長(zhǎng)，指明在以太網(wǎng)幀中上層協(xié)議的類型。如果上 層的協(xié)議數(shù)據(jù)單元小于 46字節(jié)，則必須填充到 46字節(jié)。 實(shí)際上， IP數(shù)據(jù)報(bào)是作為 IP包來發(fā)送的， IP包將 IP數(shù)據(jù)報(bào)通過交換設(shè)備一跳一跳地中繼到目的系統(tǒng)。 (5)標(biāo)識(shí) (identifier)：長(zhǎng)度為 2位，作為分割以及組裝數(shù)據(jù)包時(shí)的識(shí)別標(biāo)志來使用，被分割的數(shù)據(jù)包被分配有同一數(shù)值標(biāo)識(shí)。 (11)源目的 IP地址 (source/destination address)：長(zhǎng)度 為 4字節(jié)，包含源 /目的主機(jī)的 IP地址。 比特 0 8 16 24 31 源端口 目的端口 順序號(hào) 確認(rèn)號(hào) 數(shù)據(jù)偏移 保留 標(biāo)志 窗口 校驗(yàn)和 緊急指示符 選項(xiàng)（長(zhǎng)度可變） 填充 數(shù)據(jù) 圖 45 TCP數(shù)據(jù) 報(bào) 格式 其中，每一段的含義如下： (1)源端口 (source port)：指示發(fā)送 TCP段的源應(yīng)用層協(xié)議，是一個(gè) 2字節(jié)的字段。用于保證數(shù)據(jù)的到達(dá)順序與可靠性。這 6個(gè)標(biāo)志是： URG(緊急 )、 ACK(確訓(xùn) )、 PSH(推 )、 RST(復(fù)句 )、 SYN(同步 )、 FIN(結(jié)束 )。此協(xié)議提供了向另一用戶程序發(fā)送信息的最簡(jiǎn)便的協(xié)議機(jī)制。 (3)長(zhǎng)度 — 16 位。端口分為兩種。因?yàn)槌Ｓ枚丝诤统Ｓ脜f(xié)議對(duì)應(yīng)，我們可以利用這個(gè)原理來識(shí)別應(yīng)用層協(xié)議。在這里使用的 s_name成員。其次，選定一臺(tái) PC 對(duì) 數(shù)據(jù)包捕獲 模塊、 規(guī)則過濾 模塊 、協(xié)議分析模塊 進(jìn)行功能測(cè)試 。 (1)增強(qiáng)監(jiān)聽系統(tǒng)的控制功能。 [2] W Richard [M].范建華 胥光輝 張濤譯 .北京：機(jī)械工業(yè)出版社 ， 2021。金老師一絲不茍的作風(fēng)，嚴(yán)謹(jǐn)求實(shí)的態(tài)度，踏踏實(shí)實(shí)的精神，不僅授我以文，而且教我做人，雖歷時(shí)三載，卻給以終生受益無窮之道。 （ 3）學(xué)?？梢詫W(xué)術(shù)交流為目的復(fù)制、贈(zèng)送和交換學(xué)位論文。 美國(guó)，賓夕法尼亞州。方新一握拳，也忍不住激動(dòng)道：“太好了 !” 只見電腦那頭的專家，打字回復(fù)調(diào)侃道：“老方，又要進(jìn)藏逮狗嗎 ?聽說上次你進(jìn)藏時(shí)，是把那話兒凍僵了才回來的?！? “什么 ?”這番輪到卓木強(qiáng)吃驚了，他道，“我??我不知道啊，以前沒包過。他未曾想到，既然卓木強(qiáng)能搞到軍用 包機(jī)，那自然和西藏那邊關(guān)系不淺。張立一算時(shí)間道：“可是，這條路到機(jī)場(chǎng)，至少還需要大概半個(gè)混亂，無數(shù)熟悉的、陌生的記憶紛紛涌上來，讓他有種腦袋要被撐爆的感覺，忍不住呻吟出聲。 而這個(gè)吳醫(yī)師，卻是一個(gè)不折不扣的混蛋、色狼！總是借著給秦立看病的機(jī)會(huì)，用那雙猥瑣的眼睛瞄著秦母，秦母雖然落魄，但那高貴的氣質(zhì)、優(yōu)雅的談吐、廣博的學(xué)識(shí)無一不瘋狂的吸引著吳醫(yī)師。 對(duì)外界的感知，也再一次徹底中斷。 次仁摸了摸微微隆起的肚子，問道：“飛機(jī)什么時(shí)候到 ?” 那士兵道：“大約還有二十分鐘?！弊磕緩?qiáng)忙道：“不用，不用了。對(duì)了，飛機(jī)先飛成都嗎 ?” 卓木強(qiáng)微笑道：“不，我們直飛拉薩。你說，你不去德國(guó)了 ?” 方新教授肯定地點(diǎn)頭，瑪瑞重復(fù) 道：“教授，方教授 !你真的不去參加那個(gè)論壇了嗎 ?那可是你一直想?yún)⒓拥陌?!” 方新長(zhǎng)長(zhǎng)吐了口氣，和藹地對(duì)瑪瑞笑笑，拍拍她的肩膀，說道：“去吧，瑪瑞，電話號(hào)碼簿在書桌左邊臺(tái)燈的座下。 特此聲明！ 作者簽名： 年 月 日 小方框無邊眼鏡，臉上總是掛著微笑，有人稱呼他卓總，也有人稱呼他教授，真正親近的朋友，管他叫強(qiáng)巴。文中除了特別加以標(biāo)注地方外，不包含他人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含為獲得成都信息工程學(xué)院或其他教學(xué)機(jī)構(gòu)的學(xué)位或證書而使用過的材料。 [7] 王皓 .遠(yuǎn)程網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)聽技術(shù)的研究 [D].大連：大連理工大學(xué) [碩士論文 ],2021。 (3)分布式發(fā)展。圖 51是程序 運(yùn)行時(shí)的 界面。這時(shí)，常把端口號(hào)作為端口的名稱來用。此函數(shù)完成的是取得端口號(hào)和區(qū)別 TCP/UDP類別的兩個(gè)參數(shù)并返回端口名稱的工作。由此，可以利用與端口號(hào)對(duì)應(yīng)的特定的網(wǎng)絡(luò)服務(wù)。 IP 協(xié)議頭、 UDP協(xié)議頭和數(shù)據(jù)位，最后用 0填補(bǔ)的信息假協(xié)議頭總和。當(dāng)使用時(shí)，它表示發(fā)送程序的端口，同時(shí)它還被認(rèn)為是沒有其它信息的情況下需要被尋址的答復(fù)端口。 (10)緊急指針 (urgent pointer)：一個(gè) 2字節(jié)字段，它表明段中緊急數(shù)據(jù)的位置。 (5)數(shù)據(jù)偏移 (data offset)：表示 TCP數(shù)據(jù)的起始位置，以 4字節(jié)的整數(shù)倍表示，數(shù)據(jù)偏移字段也是 TCP頭的大小。表 41顯示了常用的應(yīng)用層協(xié)議對(duì)應(yīng)的端口號(hào)。 TCP(傳輸控制協(xié)議 )為面向事務(wù)的應(yīng)用提供了 可靠的面向連接的傳輸協(xié)議。 (8)生存時(shí)間（ time to live)：長(zhǎng)度為 1字節(jié)，表示 IP數(shù)據(jù)包的壽命，目的是廢棄掉在網(wǎng)絡(luò)中循環(huán)著的 IP數(shù)據(jù)包，一般地，每通過一次路由器，生存時(shí)間就被減去 1，當(dāng)生存時(shí)間為 0時(shí)，數(shù)據(jù)包將被拋棄。 (2)報(bào)頭長(zhǎng) (header length)：長(zhǎng)度為 4位，表示 IP頭的長(zhǎng)度。所以在提取