【正文】 填充到 46字節(jié)。 (4)以太網(wǎng)類型 (Ether Type)： 2字節(jié)長，指明在以太網(wǎng)幀中上層協(xié)議的類型。以太網(wǎng)是當今 TCP/IP采用的主要的局域網(wǎng)技術，它采用一種稱作 CSMA/CD的媒體接入方法，其意思是帶沖突檢測的載波偵聽多路接入 (Carrier Sense Multiple Access with Collision Detection)，發(fā)送端在傳輸之前要偵聽信道。 開始 讀取原始數(shù)據(jù)報文 提取并分析鏈路層報頭 提取并分析 IP 地址信息 提取并分析 TCP/UDP 地址信息 根據(jù)端口判斷應用層協(xié)議 顯示 提取報頭中的主要信息 結(jié)束 顯示 第 14 頁 共 23 頁 (5)對所有的數(shù)據(jù) 報 頭分析處理后，取出其中的主要信息然后顯示給用戶 。 當數(shù)據(jù)包被傳輸?shù)侥骋粚拥臅r候，該層都會對數(shù)據(jù)包進行加工，在發(fā)送方通常是加上一個與該層 協(xié)議有關的控制或標志信息，即數(shù)據(jù)包的包頭或包尾；而在接受方則是需要逐層拆下本層標志，即去掉數(shù)據(jù)包的包頭或包尾，根據(jù)控制信息進行相應的處理，將分解后的數(shù)據(jù)報逐層上傳，直至應用程序獲得最終數(shù)據(jù)。 第二步用戶輸入用于 捕獲數(shù)據(jù)包的網(wǎng)卡后，調(diào)用 pcap_open_live生成一個抓包描述符。 指向包含一個地址的 sockaddr 的結(jié)構(gòu)的 指針。 sockaddr * addr。 struct pcap_stat { u_int ps_recv。/*time stamp*/ 第 10 頁 共 23 頁 bpf_u_int32 caplen。 指向一個字符串，該字符串是傳給 pcap_open_live()函數(shù)的設備名； char *description。 char *description。 int pcap_setfilter(pcap_t *p, struct bpf_program *fp) 功能：設置過濾規(guī)則。 to_ms 是讀取時的超時值，單位是毫秒 (如果為 0則一直嗅探直到錯誤發(fā)生，為 1 則不確定 )。 Libpcap可以在絕大多數(shù)類 unix平臺下工作。不同的操作系統(tǒng)實現(xiàn)的底層包捕獲機制可能是不一樣的，但從形式上看大同小異。端口 識別 的原理是常用協(xié)議使用固定端口來進行通信 。 協(xié)議識別技術 ： 由于 OSI 的 7 層協(xié)議模型，協(xié)議 數(shù)據(jù)是從上到下封裝后發(fā)送的。要實現(xiàn)共享以太網(wǎng)中的數(shù)據(jù)捕獲，各個平臺有不同的技術。 編譯用戶設置的過濾規(guī)則。該模塊的主要功能是將分析的結(jié)果顯示給用戶。 數(shù)據(jù)處理模塊。該模塊主要功能是接收用戶輸入用于捕獲數(shù)據(jù)包的信息。對網(wǎng)絡數(shù)據(jù)包的捕獲、規(guī)則過濾和對數(shù)據(jù)包的分析是本程序的主要功能。 EtherPeek 把查找和修復多平臺上的復雜網(wǎng)絡任務變得簡單化。這樣才能適應網(wǎng)絡發(fā)展的需要不斷加入新的協(xié)議解析器。比較著名的網(wǎng)絡數(shù)據(jù)包協(xié)議分析軟件有：開源軟件： Wireshark、 TcpDump。同時許多防火墻 也是基于包過濾技術的。 (2)人為的惡意攻擊：這是計算機網(wǎng)絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。 第 1 頁 共 23 頁 1 引言 課題背景 隨著計算機網(wǎng)絡的不斷發(fā)展，全球信息化 已 成為當今社會發(fā)展的趨勢。 Finally, we test our program to see whether it works as expected, fortunately, it does. Key words: Libpcap。其次 進行了程序的總體設計：確定了程序的功能，給出了程序的結(jié)構(gòu)圖和層次圖，描述了程序的工作流程，對實現(xiàn)程序的關鍵技術做出了分析 。程序由輸入 /輸出模塊、規(guī)則匹配模塊、數(shù)據(jù)捕獲模塊、協(xié)議分析模塊組成。 and we make an integrated design on the program, define functions of it, figure out its structure and hierarchical graphs, describe the workflow of it, and analyze the key techniques used in it。 參考文獻 .............................................................................................. 錯誤 !未定義書簽。在計算機網(wǎng)絡 的世界里，存在著很多潛在的威脅，因此網(wǎng)絡的安全措施應能全方位地應 對各種不同的威脅，這樣才可以真正的做到網(wǎng)絡服務于社會，體現(xiàn)網(wǎng)絡的先進性。 為了及早發(fā)現(xiàn)并制止網(wǎng)絡上的各種攻擊，我們需要通過對網(wǎng)絡上的數(shù)據(jù)進行分 析來發(fā)現(xiàn)并找出問題，提前預防。例如，假設網(wǎng)絡的某一段運行得不是很好，報文的發(fā)送比較慢 ,而我們又不知道問題出在什么地方，此時就可以用 網(wǎng)絡數(shù)據(jù)包協(xié)議分析程序 來作出精確的問題判斷。這都歸功于Wireshark 良好的設計結(jié)構(gòu)。 EtherPeek：這個工具軟件開始只是一個網(wǎng)絡分析器型的數(shù)據(jù)包監(jiān)測軟件，經(jīng)過這些年的發(fā)展已經(jīng)成為一個真正的網(wǎng)絡管理工具并具有網(wǎng)站監(jiān)視和分析等新的功能，被美國聯(lián)邦調(diào)查局用來追蹤逃犯、販賣毒品的人、電腦黑客和一些被懷疑為外國間諜的人。本程序所要實現(xiàn)的目標就是在共享式以太網(wǎng)中捕獲根據(jù)過濾規(guī)則設置的流經(jīng)本地網(wǎng)卡的數(shù)據(jù)包，并且對數(shù)據(jù)包中的信息進行分析。然后將捕獲后的數(shù)據(jù)包交給上層的數(shù)據(jù)處理模塊，進 行協(xié)議分析。 規(guī)則匹配模塊，該模塊的主要功能是根據(jù)用戶的需求對需要捕獲的數(shù)據(jù)包進行過濾設置。把數(shù)據(jù)包捕獲下來后，我們需要對其 分析才能知道網(wǎng)絡中存在的安全問題。只過濾用戶所關心的信息 。網(wǎng)絡數(shù)據(jù)包協(xié)議分析程序要實現(xiàn)的關鍵技 術包括：數(shù)據(jù)包捕獲技術、對 TCP/IP各層基本協(xié)議進行分析的技術、協(xié)議識別技術?，F(xiàn)有的大部分 Linux捕包系統(tǒng)都是基于這套函數(shù)庫或者是在它基礎上做一些針對性的改進。但是應用層的協(xié)議種類相當多，無法從下層協(xié)議中識別。另方面，數(shù)據(jù)截取模塊截取數(shù)據(jù)包的效率也是很重要的。這樣一來，針對特定操作系統(tǒng)的捕獲機制對用戶透明，使用戶程序有比較好的可移植性。返回值： int，如果返回 0則執(zhí)行成功，錯誤返回 1。再下邊是一個定義表達式是否被優(yōu)化的整形量（ 0 為 false， 1為 true，標準規(guī)定）。最后一個參數(shù)在有些應用里有用，但更多時候則置為 NULL。 如果非空，指向鏈的下一個元素。 PCAP_IF_ 網(wǎng) 卡 的 標 志 。 當前分片的長度； dpf_u_int32 len。 接受數(shù)據(jù)報的數(shù)目； u_int ps_drop。 pcap_addr * next。 sockaddr * dstaddr。pcap_findalldevs () pcap_open_live () pcap_datalink () pcap_pile() pcap_setfilter() pcap_loop() end Begin N Y 第 12 頁 共 23 頁 這樣一來，應用程序收到的數(shù)據(jù)包是最原始的數(shù)據(jù)包，也就是說監(jiān)聽主機接收到的數(shù)據(jù)包中，除了數(shù)據(jù)包本身的內(nèi)容之外，還帶有從對方主機中的傳輸層、網(wǎng)絡層以及數(shù)據(jù)鏈路層的數(shù)據(jù)包頭信息，所以要想獲得數(shù)據(jù)包里的應用數(shù)據(jù)，是需要我們自己來按照每一層的協(xié)議剝離數(shù)據(jù)包頭中的每一層首部內(nèi)容的，這就是協(xié)議分析需要完成的工作。 (2)然后 需要去掉數(shù)據(jù)鏈層的 報 頭，此時可以獲得 IP數(shù)據(jù)報、 arp、 rarp數(shù)據(jù)包，在這一層中可以對 IP數(shù)據(jù)報做一定的統(tǒng)計和分析等等；對 arp、 rarp數(shù)據(jù)包可以獲得發(fā)送端 IP和目的 IP等重要信息。把這個指針強制轉(zhuǎn)換為以太幀 格式： (struct ether_header *) p。目的地址可以是單播、多播 或者以太網(wǎng)的廣播地址。 (5)有效載荷 (Payload)：以太網(wǎng) II的幀的有效載荷由上層協(xié)議 的協(xié)議數(shù)據(jù)單元組成，是數(shù)據(jù)包本身的具體內(nèi)容。就得到了指向 IP報頭的指針，我們就可以進行相應的分析了。典型的 IP頭不包括任何選項，長度為 20字節(jié)。 (9)協(xié)議 (protocol)：長度為 1字節(jié)，表示包含在有效載荷中的上層協(xié)議。TCP正為目前 Intemet上幾乎所有的應用 協(xié)議所利用，這是因為大部分應用程序都需要可靠的、可糾錯的傳輸協(xié)議以保證不丟失或破壞數(shù)據(jù)。 (2)目的端口 (destination port)：指示目的應用層協(xié)議，是一個 2字節(jié)字段。在不包括選項的情況下， TCP報頭是 20個字節(jié)， offset的值為 5。 第 18 頁 共 23 頁 (11)選項 (option)：為提高利用 TCP的通信性能所準備的選項。如果不使用，設置值為 0。如果必要的話，可以由兩個八位復合而成。公認端口號有很多，工人端口號被定義在 unix類操作系統(tǒng)下的 /etc/services文件中下表列出了其中的一部分。 getportname()函數(shù)的核心是調(diào)用getservbyport()函數(shù)。 第 20 頁 共 23 頁 5 程序運行與測試 測試環(huán)境 硬件環(huán)境 處理器 P3 800Mhz 以上；內(nèi)存 128M 以上；多臺普通搭載網(wǎng)卡的 PC、經(jīng)過 集線器 互聯(lián)。 圖 51 程序運行界面 。 測試步驟 首先，用多臺 PC搭建局域網(wǎng)絡。 servent型的結(jié)構(gòu)體在 明。短暫端口號是不可再生的，被運行系統(tǒng)分配給客戶端程序。端口是應用程序在網(wǎng)絡通信上使用的數(shù)據(jù)輸入輸出口。目標端口在特殊因特網(wǎng)目標地址的情況下具有意義。此協(xié)議默認認為網(wǎng)路協(xié)議 (IP)是其下層協(xié)議。 (7)標志 (flags)：一個 6字節(jié)字段，指示 6個 TCP標志。 (3)序列號 (sequence number)：指示段的第一個 8位組的輸出字節(jié)流的序列號，是一個 4字節(jié)字段。如圖 45所示，是 TCP段的封裝結(jié)構(gòu) 。 (10)報頭校驗和 (header checksum)：長度為 2字節(jié)，是用于確認 IP數(shù)據(jù)包是否己毀壞的字段。 第 16 頁 共 23 頁 (4)數(shù)據(jù)包總長 (total length)：長度為 2位，表示 IP數(shù)據(jù)報總的字節(jié)數(shù)，包括 IP頭和有效載荷。只要設備需要通過 IP網(wǎng)絡向其他網(wǎng)絡發(fā)送數(shù)據(jù)，它就會創(chuàng)建一個 數(shù)據(jù)報來發(fā)送數(shù)據(jù)。 第 15 頁 共 23 頁 因為以太網(wǎng)具有沖突檢測機制，以太網(wǎng) II的最小幀有效載荷為 46字節(jié)。 (3)源地址 ((Source Address)： 6字節(jié)長，指明發(fā)送節(jié)點的單播地址。 由于在定義 IEEE ，以太網(wǎng)就存在，因為有多個以太網(wǎng)標準，所以TCP/IP可以支持多種不同的鏈路層協(xié)議，如以太網(wǎng)、令牌環(huán)網(wǎng)、 FDDI(光纖 分布式數(shù)據(jù)接口 )等。 (4)對數(shù)傳輸層數(shù)據(jù)報去除掉傳輸層 報 頭以后，就獲得了應用層數(shù)據(jù)報，在應用層 進行協(xié)議分析的工作就是按照應用層的工作原理、協(xié)議規(guī)范，還原獲得應用層的內(nèi)容，如 SMTF/POP3協(xié)議分析可以還原出正在傳輸?shù)泥]件信息， FTP協(xié)議分析可以還原出傳輸中的文件名以及用戶名口令密碼等信息， H