【正文】 IP包頭的時候可以將指針 P加上以太幀包頭的長度后，把格式強制轉(zhuǎn)化為 IP包頭格式即： (struct ip *) (p + sizeof (struct ether_header))。比如，對于 IP數(shù)據(jù)報，這個字段的值為 0x0800；對于 ARP消息，該字段的值被設(shè)置為 0x0806。 (2)目的地址 (Destination Address)： 6字節(jié)長，指明目的地址。假設(shè)這個指針為 p。協(xié)議分析的流程圖如圖 42所示： 圖 42 網(wǎng)絡(luò) 協(xié)議分析流程圖 從圖可以看到，對于監(jiān)聽程序捕獲到的數(shù)據(jù)報，需要按以下步驟分層次進行協(xié)議分析： (1)首先是讀取數(shù)據(jù)鏈路層的 報 頭，從報頭中可以得到：計算機的源 MAC地址和目的 MAC地址、數(shù)據(jù)包的長度以及上層協(xié)議的類型。 具體流程入下圖所示： 圖 31數(shù)據(jù)捕獲模塊流程圖 4 協(xié)議分析模塊的實 現(xiàn) 雖然到此為止已經(jīng)可以順利完成數(shù)據(jù)包的監(jiān)聽工作，但這并不意味著己經(jīng)大功告成了，因為從前面的數(shù)據(jù)包監(jiān)聽的原理中可以知道，數(shù)據(jù)包捕獲程序工作在pcap_findalldevs () pcap_open_live () pcap_datalink () pcap_pile() pcap_setfilter() pcap_loop() end Begin N Y 網(wǎng)絡(luò)底層，將網(wǎng)卡設(shè)置為混雜模式以后，從網(wǎng)絡(luò)底層捕獲到的數(shù)據(jù)包會直接往上發(fā)給應(yīng)用程序 進行 處理，而不再像普通的數(shù)據(jù)包那樣經(jīng)過操作系統(tǒng)的層層過濾。 如果非空，指向包含相對于 addr 指向的地址的一個廣播地址，如果網(wǎng)絡(luò)不支持廣播可能為空。 }。 u_int ps_recv。 數(shù)據(jù)報時間戳； bpf_u_int32 caplen。 u_int flags。 pcap_if *next。第三個參數(shù)是回調(diào)函數(shù)的名稱（正像其標(biāo)識符所指，無括號）。再接下來的則是表達式本身，存儲在規(guī)定的字符串格式里 。 Errbuf：存儲錯誤信息的字符串。對用戶程序而言，包捕獲機制提供了一個統(tǒng)一的接口，使用戶程序只需要簡單的調(diào)用若干函數(shù)就能獲得所期望的數(shù)據(jù)包。一方面要，網(wǎng)絡(luò)截取模塊要能保證截取到所有網(wǎng)絡(luò)上的數(shù)據(jù)包，尤其是檢測到被分片的數(shù)據(jù)包（這可能蘊涵著攻擊）。 應(yīng)用層以下的各種協(xié)議一般都可以通過下一層的協(xié)議中的關(guān)鍵信息來識別。 Libpcap是一個基于 BPF的開放源碼的捕包函數(shù)庫。要實現(xiàn)程序預(yù)定的功 能，就必須解決實現(xiàn)程序的關(guān)鍵技術(shù)。 用戶輸入用于捕獲數(shù)據(jù)包的網(wǎng)卡和過濾規(guī)則。該模塊的 主要功能是對捕獲的數(shù)據(jù)包進行協(xié)議分析。 其原理是通過把網(wǎng)卡設(shè)置為混雜模式，使得網(wǎng)卡對所有流經(jīng) 它 的數(shù)據(jù)包都交給上層程序處理。本程序通過調(diào)用安裝在 linux上的 Libpcap函數(shù)庫抓取經(jīng)過本地網(wǎng)卡的數(shù)據(jù)包 ， 從而完成數(shù)據(jù)包的捕獲。 2 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序的總體設(shè)計 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序的功能分析 對于網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序進行功能分析的第一步是要確立程序所要實現(xiàn)的目標(biāo)，也就是程序最終要解決的問題。 TcpDump 以其強大的功能，靈活的截取策略，成為每個高級的系統(tǒng)管理員分析網(wǎng)絡(luò)，排查問題等所必備的工具之一。很難想象如此多的人開發(fā)的代碼可以很好的融入系統(tǒng)中；并且在系統(tǒng)中加入一個新的協(xié)議解析器很簡單，一個不了解系統(tǒng)的結(jié)構(gòu)的新手也可以根據(jù)留出的接口進行自己的協(xié)議開發(fā)。 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序 的正當(dāng)用處主要是分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。另外，軟件的 “ 后門 ” 都是軟件公司的設(shè)計 編程人員為了自便而設(shè)置的，一般不為外人所知，但一旦 “ 后門 ” 洞開，其造成的后果將不堪設(shè)想。因此，網(wǎng)絡(luò)必須有足夠強的安全措施，否則該網(wǎng)絡(luò)將是個無用、甚至?xí)＜皣野踩木W(wǎng)絡(luò)。 Finally, we test our program to see whether it works as expected, fortunately, it does. Key words: Libpcap。其次 進行了程序的總體設(shè)計：確定了程序的功能，給出了程序的結(jié)構(gòu)圖和層次圖，描述了程序的工作流程，對實現(xiàn)程序的關(guān)鍵技術(shù)做出了分析 。程序由輸入 /輸出模塊、規(guī)則匹配模塊、數(shù)據(jù)捕獲模塊、協(xié)議分析模塊組成。 and we make an integrated design on the program, define functions of it, figure out its structure and hierarchical graphs, describe the workflow of it, and analyze the key techniques used in it。但由于計算機網(wǎng)絡(luò)自身所特具有的特點，比如聯(lián)結(jié)形式多樣性和網(wǎng)絡(luò)的開放性、互連性等特征，所以導(dǎo)致網(wǎng)絡(luò)易受黑客還有一些病毒的攻擊。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。本文將介紹網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析 程序的工作原理以及它的實現(xiàn)。商用軟件：EtherPeek 下面對這幾種軟件進行簡要的介紹： Wireshark： Wireshark 是一個開放源碼的網(wǎng)絡(luò)分析系統(tǒng)，也是是目前最好的開放源碼的網(wǎng)絡(luò)協(xié)議分析器，支持 Linux 和 Windows 平臺。 TcpDump： 顧名思義， TcpDump 可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的 “ 頭 ” 完全截獲下來提供分析。 EtherPeek 采用工業(yè)標(biāo)準(zhǔn)，非常容易使用，提供解碼、過濾和診斷網(wǎng)絡(luò)的功能。 系統(tǒng)的組成結(jié)構(gòu)和工作流程 系統(tǒng)的結(jié)構(gòu)框圖 基于以上分析，本文設(shè)計了網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序，圖 21是程序的結(jié)構(gòu)框圖 。其中包括選擇用于捕獲的網(wǎng)絡(luò)接口和需要過濾的內(nèi)容。該模塊的主要功能是對捕獲的數(shù)據(jù)進行分析顯示處理。對數(shù)據(jù)包進行協(xié)議分析后要把結(jié)果顯示給用戶本程序才結(jié)束。 開始進行捕獲，并分析數(shù)據(jù)，將數(shù)據(jù)顯示給用戶。在 Linux有一個專門為程序員編寫數(shù)據(jù)包捕獲程序而開發(fā)的庫： Libpcap。對于協(xié)議的識別需要從下至上進行。端口識別的優(yōu)點是：簡單、容易實現(xiàn)。數(shù)據(jù)包常規(guī)的傳輸路徑依次為網(wǎng)卡、設(shè)備驅(qū)動層、數(shù)據(jù)鏈路層、 IP層、傳輸層、最后到達應(yīng)用程序。在 windows平臺下，一個與 Libpcap很類似的函數(shù)包 winpcap提供捕獲功能，其官方網(wǎng)站是 Libpcap軟件包可從 載，解壓后依此執(zhí)行下列三條命令即可安裝。最后， ebuf 是一個我們可以存入任何錯誤信息的字符串（就像上面的 errbuf）。 參數(shù)：這非常直觀，第一個參數(shù)是會話句柄，第二個參數(shù)是被編譯表達式版本的引用（可推測出它與 pcap_pile()的第二個參數(shù)相同）。 struct pcap_addr *addresses。 如果非空，指向一個對設(shè)備的人性化的描述字符串。 /*length of portion present*/ bpf_u_int32 len。 /* number of packets received */ u_int ps_drop。 sockaddr * mask。 sockaddr * mask。 第三步通過調(diào)用 pcap_datalink檢查該網(wǎng)卡所在網(wǎng)絡(luò)是不是以太網(wǎng)，如果不是則中止程序。比如發(fā)送方在數(shù)據(jù)鏈路層通常會在包頭加上目的 MAC地址、源 MAC地址、其他一些具體網(wǎng)絡(luò)信息及幀定界符，在包尾加上循環(huán)冗余碼，并使用字節(jié)填充或位填充，由接收方數(shù)據(jù)鏈路層去掉包頭與包尾進行相關(guān)解釋工作。 對 TCP/IP 模型中各層協(xié)議的分析 前面的內(nèi)容已經(jīng)提到過，我們在對數(shù)據(jù)包根據(jù)應(yīng)用層協(xié)議進行分析的時候都需要首先剝離數(shù)據(jù) 包中的包頭并且需要根據(jù)包頭信息判斷是何種應(yīng)用層協(xié)議。在以太網(wǎng)內(nèi)的 IP和 ARP數(shù)據(jù)報或者使用以太網(wǎng) II的或者使用 IEEE： 子網(wǎng)訪問協(xié)議 (SNAP)來封裝數(shù)據(jù)。 這個字段被用來將以太網(wǎng)的有效載荷傳給正確的上層協(xié)議實體。 (6)幀校驗序列 (Frame Check Sequence, FCS)： 4字節(jié)長，提供位級別的完整性校驗，也被稱為循環(huán)冗余校驗 (CRC)。雖然很多時候一個 IP數(shù)據(jù)報就是一個 IP包，但它們在概念上是不同 的 實體。 (6)標(biāo)志 (flags)：長度為 3位，包含兩個用于分片的標(biāo)志。 (12)選項和填充：此字段跟在 IP頭之后，但必須是以 4個字節(jié)為增量單位，以使 IP頭的大小能用報頭長度字段表示。 IP頭中的源地址和 TCP頭中的源端口聯(lián)合起來提供一個源套接字。利用隨機值確定初始值，以字節(jié)為單位表示所發(fā)送數(shù)據(jù)的位置。 (8)窗口 (window)：一個 2字節(jié)的字段，表明該段的發(fā)送方的接收緩沖區(qū)中可 供使用的空間有多少字節(jié)數(shù)。此協(xié)議是面向操作的，未提供提交和復(fù)制保護。該用戶數(shù)據(jù)報的八位長度，包括協(xié)議頭和數(shù)據(jù)。一種為公認端口，另一種為短暫端口。關(guān)鍵代碼如下 void getportname (int portn, char portch[], char *protocol){ if (getservbyport (htons (portn), protocol) != NULL){ strcpy(portch, getservbyport(htons(portn),protocol)s_name)。把端口名稱賦給 s_name。 然后 對每個功能模塊進行數(shù)據(jù)合 法性檢查、數(shù)據(jù)一致性檢查。目前本系統(tǒng)只能被動的接收網(wǎng)絡(luò)數(shù)據(jù)，并不能對監(jiān)聽點進行控制，如果能夠增加控制功能比如可以設(shè)定監(jiān)聽程序的啟動 /暫停 ,無疑會使得更加靈活強大。 [3] 謝希仁 .計算機網(wǎng)絡(luò) [M].北京：電子工業(yè)出版社 ， 2021。對金老師的感激之情是無法用言語表達的。 （ 4）學(xué)?？稍试S學(xué)位論文被查閱或借閱。 “幾千年來，全世界所公認的，體形最龐大，性格最兇猛的，叫獒。我一直想到上海來探望你，看看是不是真的。我以為，它們都在拉薩機場起降呢。兩人遂登上軍用專機，從上海往西，朝著圣潔的高原 —— 西藏飛去。 這時候，秦立感覺到有一只溫暖的手覆蓋在自己的額頭，撫摸著自己的臉頰，很輕，很溫柔，透露著一股憐惜，珍愛??同時，朦朧中聽到一陣斷斷續(xù)續(xù)，似有還無的嗚咽聲，突然，似乎有一滴雨滴打在了臉上，涼涼的，沿著臉頰往下流，而后滑過嘴角??咸咸的。只是，秦母又怎么可能看上他這種人，若不是為了兒子，根本連看都懶得看他一眼。無數(shù)記憶的碎片再一次潮水般洶涌襲來，秦立就像是一只被怒浪卷進大海的可憐蟲，沒有絲毫反抗的余地，最難受的是想昏過去，都成為一種奢望。次仁剛吃過午飯，一名士兵來報，上級領(lǐng)導(dǎo)打來電話，某教授會乘 A3097次專機在軍區(qū)機場降落，他們會從機場直赴蒙河，希望他能安排一下，準(zhǔn)備輛車接應(yīng)。 方新道：“不用著急，我打個電話，我和西藏軍區(qū)的一位領(lǐng)導(dǎo)頗有交情，上次也是坐他的飛機去西藏的，所以才知道這情況。 方新收起電腦，喃喃道：“入藏后，就不能無線上網(wǎng)了，只是電腦里的很多資料很有用處。 或許聽錯了。 除非另有科研合同和其他法律文書的制約，本論文的科研成果屬于成都信息工程學(xué)院。 最后向在百忙之中評審本文的各位專家、老師表示衷心的感謝！ 作者簡介 姓 名： 沈也明 性別： 男 出生年月： 1985 年 8 月 民族： 漢 Email: 聲 明 本論文的工作是 2021 年 02 月至 2021 年 06 月在成都信息工程學(xué)院 系完成的。 [5] Libpcap的數(shù)據(jù)結(jié)構(gòu)和函數(shù)介紹 [OL].LinuxAid網(wǎng)站 . [6] 王學(xué)磊 .網(wǎng)絡(luò)數(shù)據(jù)包截獲與分析研究 [D].沈陽：東北大學(xué) [碩士論文 ],2021。在高速寬帶的網(wǎng)絡(luò)中進行監(jiān)聽時，由于受限于目前網(wǎng)絡(luò)接口、計算機總線結(jié)構(gòu)、 CPU處理能力、磁盤 I/O性能等的影響，不可避免會出現(xiàn)丟包、無法實時控制等情況，這時應(yīng)類似于網(wǎng)絡(luò)分析儀一樣結(jié)合硬件充分發(fā)揮系統(tǒng)的潛 能開發(fā)成熟產(chǎn)品。 測試結(jié)果評價 本設(shè)計在 Fedora Core 4 環(huán)境試運行下，編碼后經(jīng)過多次測試并將發(fā)現(xiàn)的錯誤及時修改，系統(tǒng)運行正常，基本達到設(shè)計目標(biāo)，運行結(jié)果比較良好。這是因為得到的端口號是短暫端口號，沒有檢索到它的端口名稱。 } } 現(xiàn)在介紹一下 getportname()函數(shù)。當(dāng)某一網(wǎng)絡(luò)客戶端利用其他計算機上的服務(wù)程 序時，在根據(jù) IP地址指定服務(wù)計算機的同時，也指定了被分配的服務(wù)程序的公認端口號。 (4)校驗和 — 16 位。源端口是可選字段。 (9)校驗和 (checksum)：一個 2字節(jié)的字段，為 TCP段提供位級別的完整性校驗。是用于保證可靠性的確認號碼。在一般情況下，應(yīng)用層協(xié)議的服務(wù)器端在己知的端口上偵聽。然后就可以對 TCP/UDP數(shù)據(jù)包進行分析了。 (7)片偏移 (fragment o