【正文】 ffset)：長度為 13位，表示分片相對于原始 IP數(shù)據(jù)報有效載荷的偏移量。目前在所有互聯(lián)網(wǎng)絡 和 Inter中使用的標準 IP版本 號 是 4（即 IPv4） 。 IP 首部的分析與提取 因為以太幀報頭的長度都是 一樣的。該幀將被丟棄。需要注意的是，幀初始同步字段在網(wǎng)絡監(jiān)視器中是不可見的。 以太網(wǎng)首部的分析與提取 因為每一個使用 Libpcap捕獲的數(shù)據(jù)包，都會有一個指向原始報文頭的指針。協(xié)議分析就是數(shù)據(jù)封裝的逆過程。 第五步調(diào)用 pcap_loop進行循環(huán)捕獲數(shù)據(jù)包，直到用戶中止。 sockaddr * broadaddr。 sockaddr *dstaddr。 /* drops by interface XXX not yet supported */ }。 timeval ts。 指向網(wǎng)卡地址鏈中的第一個元素。 }。 參數(shù)：第一個參數(shù)是會話句柄，接下來是一個整型，它告訴 pcap_loop()在返回前應捕獲多少個數(shù)據(jù)包（若為負值則表示應該一直工作直至錯誤發(fā)生）。接下來的是我們存儲被編譯的過濾器版本的地址的引用。 Libpcap 中基本的數(shù)據(jù)結構和函數(shù) 主要函數(shù) ： int pcap_findalldevs(pcap_if_t *alldevsp, char *errbuf) 功能：枚舉系統(tǒng)所有網(wǎng)絡設備的信息 參數(shù)： alldevsp ： 是 一 個 pcap_if_t 結 構 體 的 指 針 ， 如 果 函 數(shù)pcap_findalldevs 函數(shù)執(zhí)行成功，將獲得一個可用網(wǎng)卡的列表，而里面存儲的就是第一個元素的指針。值得注意的是，包捕獲機 制并不影響操作系統(tǒng)對數(shù)據(jù)包的網(wǎng)絡棧處理。 3 網(wǎng)絡數(shù)據(jù)包捕獲模塊的實現(xiàn) 網(wǎng)絡數(shù)據(jù)包捕獲簡介 網(wǎng)絡數(shù)據(jù)包截獲一般指通過截獲整個網(wǎng)絡的所有信息流量，根據(jù)信息源主機，目標主機，服務協(xié)議端口等信息簡單過濾掉不關心的數(shù)據(jù)，再將用戶感興趣的數(shù)據(jù)發(fā)送給更高層的應用程序進行分析。將里面的數(shù)據(jù)交給傳輸層分析，這樣一直進行下去直到應用層。通過調(diào)用Libpcap庫函數(shù)可以輕易的實現(xiàn)共享以太網(wǎng)中數(shù)據(jù)包的截獲，而且實時性相當?shù)牟檎宜锌捎玫?網(wǎng)卡 是否是以太網(wǎng) 編譯并且設置過濾規(guī)則 開始捕獲數(shù)據(jù) 并分析顯示結果 結束程序 用戶中止嗎？ 選擇用于捕獲的網(wǎng)卡和過濾規(guī)則 開始 N Y N Y 強，因為 Libpcap是處于用戶態(tài)所以減少了系統(tǒng)的開銷。 圖 23 網(wǎng)絡數(shù)據(jù)包的協(xié)議分析程序 的流程圖 系統(tǒng)實現(xiàn)的關鍵技術分析 前面給出了網(wǎng)絡數(shù)據(jù)包協(xié)議分析程序的總體結構、功能模塊和工作流程。 程序的工作流程 圖 23為本程序的流程圖，下面其進行簡要的敘述： 程序開始時首先查找計算機上所 有 可用的網(wǎng)卡，并讓用戶選擇用于捕獲數(shù)據(jù)包的網(wǎng)卡 。 4． 1 協(xié)議分析模塊。該模塊的主要功能是捕獲流經(jīng)本地網(wǎng)卡的所有數(shù)據(jù)。 Fedora Core是 linux的一個發(fā)行版 ， 他的前身是 Redhat linux。在有問題的局域網(wǎng)絡中使用 EtherPeek執(zhí)行一個自定的診斷測試，監(jiān)控網(wǎng)絡的通信和事件，跟蹤非法的網(wǎng)絡活動，測試和調(diào)試網(wǎng) 絡軟硬件。用盡量簡單的話來定義 TcpDump，就是： dump the traffic on a work，根據(jù)使用者的定義對網(wǎng)絡上的數(shù)據(jù)包進行截獲的包分析工具。它目前所提供的強大的協(xié)議分析功能完全可以媲美商業(yè)的網(wǎng)絡分析系統(tǒng)，自從1998 年發(fā)布最早的 版本至今，大量的志愿者為 Wireshark 添加新的協(xié)議解析器，如今 Wireshark 已經(jīng)支持五百多種協(xié)議解析。它是利用計算機的網(wǎng)絡接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種工具。 (3)網(wǎng)絡軟件的漏洞和 “ 后門 ” ：網(wǎng)絡軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經(jīng)出現(xiàn)過黑客攻入網(wǎng)絡內(nèi)部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。對于軍用的自動化指揮網(wǎng)絡和銀行等傳輸敏感數(shù)據(jù)的計算機網(wǎng)絡系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。 Thirdly, we explain the workflow about protocol analysis, and analyze mon work protocols。 本文的主要內(nèi) 容如下： 首先 介紹了網(wǎng)絡數(shù)據(jù)包協(xié)議分析程序的背景和概念 。其中數(shù)據(jù)捕獲模塊和協(xié)議分析模塊是本程序最關鍵、最主要的模塊。 Secondly, after elaborating on the background of packet capture and the Libpcap library, we state a approach to implement a packet capture module with Libpcap。所以網(wǎng)上信息的安全和保密是一個至關重要的問題。這兩種攻擊均可對計算機網(wǎng)絡造成極大的危害，并導致機密數(shù)據(jù)的泄漏。 網(wǎng)絡數(shù)據(jù)包協(xié)議分析程序簡介 網(wǎng)絡數(shù)據(jù)包協(xié)議分析 程序 是一種用于收集網(wǎng)絡中有用數(shù)據(jù)的程序，這些數(shù)據(jù)可以是用戶的帳號和密碼，也可以是一些商用機密數(shù)據(jù)等。 Wireshark 起初由Gerald Combs 開發(fā)，隨后由一個松散的 Wireshark 團隊組織進行維護開發(fā)。它支持針對網(wǎng)絡層、協(xié)議、主機、網(wǎng)絡或 端口的過濾，并提供and、 or、 not 等邏輯語句來幫助你去掉無用的信息。以友好圖形界面出名， EtherPeek 提供非常詳細且多樣化的網(wǎng)絡使用信息，網(wǎng)絡結點的會話和數(shù)據(jù)包內(nèi)容。 圖 21網(wǎng)絡數(shù)據(jù)包協(xié)議分析程序結構框圖 下面對該程序的整體結構進行一下描述 ： 該程序的運行環(huán)境是 Fedora Core 4 linux。 Fedora Core Linux 4 數(shù)據(jù)包捕獲 應用程序接口 數(shù)據(jù)包處理 網(wǎng)絡數(shù)據(jù)報協(xié)議 分析程序 輸入 數(shù)據(jù)捕獲 規(guī)則匹配 數(shù)據(jù)處理 協(xié)議分析 輸出 數(shù)據(jù)捕獲模塊。主要是調(diào)用協(xié)議分析模塊和顯示模塊。因為數(shù)據(jù)包中包含的信息太多，如果全部顯示給用戶有所不便，所以我們挑選其中比較重要的信息輸出給用戶。當用戶停止時就結束程序，否則繼續(xù)捕獲。 Libpcap是用戶態(tài)的數(shù)據(jù)包截獲 API， 具有 獨立 性 和可移植 性 ，支持 BPF過濾機制等 。例如，首先對網(wǎng)絡層的協(xié)議識別后進行脫去網(wǎng)絡層協(xié)議頭。缺點是：一些不常用協(xié)議不能被識別，常用協(xié)議修改端口后也無法識別。而數(shù)據(jù)包捕獲機制是在數(shù)據(jù)鏈路層增加一個旁路處理，對發(fā)送和接收到的數(shù)據(jù)包做過濾 /緩沖等相關處理，最后直接傳遞到應用程序。 ./configure make make install 但如果希望 Libpcap能在 linux上正常工作，則必須使內(nèi)核支持 “packet” 協(xié)議 ，也即在編譯內(nèi)核時打開配置選項 CONFIG_PACKET(選項缺省為打開 )。 int pcap_pile(pcap_t *p, struct bpf_program *fp, char *str, int optimize, bpf_u_int32 mask) 功能：編譯過濾規(guī)則 參數(shù)：第一個參數(shù)是會話句柄（ pcap_t *handle 在前一節(jié)的示例中）。 int pcap_loop(pcap_t *p, int t, pcap_handler callback, u_char *user) 功能：循環(huán)抓包直到用戶中止。 u_int flags。 pcap_addr *addresses。 /*length this packet(off wire)*/ }。 /* number of packets dropped */ u_int ps_ifdrop。 sockaddr *broadaddr。 如果非空，指向包含相對于 addr 指向的地址的一個網(wǎng)絡掩碼的結構。 第四步接收用戶輸入的過濾條件，調(diào)用 pcap_pile和 pcap_setfilter生成過濾規(guī)則。數(shù)據(jù)包的加工工作 如圖41所示： 圖 41 數(shù)據(jù)封裝示意 TCP傳給 IP的數(shù)據(jù)單元稱作 TCP報文段或簡稱為 TCP段 (TCP Segment)； IP傳給用戶數(shù)據(jù) 用戶數(shù)據(jù) APP 首部 應用 數(shù)據(jù) TCP 首部 應用數(shù)據(jù) TCP 首部 IP 首部 應用數(shù)據(jù) TCP 首部 IP 首部 以太網(wǎng)頭 以太網(wǎng)尾 應用程序 TCP IP 以太網(wǎng)驅動程序 網(wǎng)絡接口層的數(shù)據(jù)單元稱作 IP數(shù)據(jù)報 (IP datagram)；通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀，分組既可以是一個 IP數(shù)據(jù)報也可以是 IP數(shù)據(jù)報的一個片 (fragment)。下面就按照數(shù)據(jù)鏈路層、網(wǎng)絡層到傳輸層再到應用層的順序詳細的講解每層包頭的結構以及如何對每層的數(shù)據(jù)報進行協(xié)議分析。這里我們只討論最為常用的以太網(wǎng) II數(shù)據(jù) 報格式，這是在 RFC894中定義的，如圖 43所示，這是以太網(wǎng) II的封裝格式： 字節(jié) 6 6 2 46～ 1500 4 目的地址 源地址 類型 數(shù)據(jù) FCS 圖 43以太網(wǎng) II的封裝格式 其中每個字段的含義如下： (1)幀初始同步 ((Preamble)： 8字節(jié)長，提供接收端的同步和分隔幀的功能。如果在該字段中未注明有上層協(xié)議實體接收有效載荷幀。本子段對于網(wǎng)絡監(jiān)視器來說同樣是不可見的。如圖 44是 IP數(shù)據(jù)報在 RFC791中定義的封裝格式： 比特 0 4 8 16 20 24 31 版本 報頭長 服務類型 數(shù)據(jù)包總長 標識符 標志 片偏移 生存時間 協(xié)議號 報頭校驗和 源 IP地址 目的 IP地址 選項 填充碼 數(shù)據(jù) 圖 44 IP數(shù)據(jù)報格式 其中每個字段的含義如下： (1)版本 (version)：長度為 4位，顯示 IP報頭的版本。其中一個標志是用于表示 IP有效載荷是否符合分片的標準，而另一個是表示對于已分片的 IP數(shù)據(jù)報是否還有更多的分片。 TCP/UDP 首部的分析與提取 TCP/UDP報文頭部的獲取跟 IP報文頭部的獲取類似，將 P指針的位置向后移 IP報文長度個位置即可 (struct tcphdr *) (p + sizeof (struct ether_header) + 4 * iphip_hl)。 TCP端口為 TCP連接數(shù)據(jù)的傳送定義了一種位置 ，表明段被發(fā)送至的應用層進程的一個目的端口。 (4)確認 號 (acknowledgment number)：一個 4位的字段，指示接收方希望收到的輸入字節(jié)流中下一個 8位組的序列號。窗口大小的廣告是一種實現(xiàn)接收流流控制的方式。以下是 UDP協(xié)議的報文頭 格式 ： 比特 0 16 31 圖 46 TCP數(shù)據(jù)包格式 (1)源端口 — 16 位。長度最小值為 8。公認端口被分配給網(wǎng)絡上的服務程序。 } else{ //短暫端口等找不到名稱時 sprintf (portch, e)。 getportname()函數(shù)檢索端口名稱失敗時，返回 NULL。 最后 對關鍵模塊進行回歸測試。 (2)與硬件相結合開發(fā)成熟產(chǎn)品。 [4] 劉文濤 .網(wǎng)絡安全開發(fā)包詳解 [M].北京：電子工業(yè)出版社 ， 2021。 感謝我的爸爸媽媽，焉得諼草，言樹之背，養(yǎng)育之恩，無以回報，你們永遠健康快樂是我最大的心愿。 （ 5）學?？梢怨紝W位論文的全部或部分內(nèi)容（保密學位論文在解密后遵守此規(guī)定）。那是我們藏區(qū)特產(chǎn)，它們已經(jīng)存在幾千萬年了，約在兩千年前流傳到希臘，后到羅馬帝國，又由東歐的斯拉夫族人傳到歐洲各國，至今世界名犬的體內(nèi)還保留著藏獒的研究理論“隔代大遺傳”是否有關?！? 方新教授笑著回復：“是腳指頭截去了，你老哥??”這時，機場已經(jīng)遙遙在望了?！?這是他為了討好導師，特意吩咐下人安排的，沒想到竟然不在拉薩降落，而屬下居然沒告知他，急得他直撓頭。 軍區(qū)某團，團長班覺次仁，是藏區(qū)本地人，長得牛高馬大，方面闊口，兩道濃眉下，一雙厲眼透出煞氣。 秦立的心猛的顫動了一下，一股莫名的悲憤襲來，大腦就像是被閃電劈中一般，在這一瞬間幾乎喪失了思考的能力，腦中再次陷入極度混亂當中。 這次卻不行了，秦立因為受到巨大刺激，吐血昏厥，已經(jīng)有生命危險，秦母也亂了方寸，剛剛去求過小時候最疼她的四哥， 讓他跟父親說一聲，卻不想不但沒見到四哥，還被四哥新娶回來的第八房小妾一通冷嘲熱諷的給罵了回來?? 吳醫(yī)師偷眼看了一下秦寒月，那