【正文】 秦立的心猛的顫動了一下，一股莫名的悲憤襲來，大腦就像是被閃電劈中一般，在這一瞬間幾乎喪失了思考的能力，腦中再次陷入極度混亂當中?！?這是他為了討好導師，特意吩咐下人安排的，沒想到竟然不在拉薩降落，而屬下居然沒告知他，急得他直撓頭。那是我們藏區(qū)特產，它們已經存在幾千萬年了，約在兩千年前流傳到希臘，后到羅馬帝國，又由東歐的斯拉夫族人傳到歐洲各國，至今世界名犬的體內還保留著藏獒的研究理論“隔代大遺傳”是否有關。 感謝我的爸爸媽媽，焉得諼草，言樹之背，養(yǎng)育之恩，無以回報，你們永遠健康快樂是我最大的心愿。 (2)與硬件相結合開發(fā)成熟產品。 getportname()函數(shù)檢索端口名稱失敗時，返回 NULL。公認端口被分配給網絡上的服務程序。以下是 UDP協(xié)議的報文頭 格式 ： 比特 0 16 31 圖 46 TCP數(shù)據包格式 (1)源端口 — 16 位。 (4)確認 號 (acknowledgment number)：一個 4位的字段，指示接收方希望收到的輸入字節(jié)流中下一個 8位組的序列號。 TCP/UDP 首部的分析與提取 TCP/UDP報文頭部的獲取跟 IP報文頭部的獲取類似，將 P指針的位置向后移 IP報文長度個位置即可 (struct tcphdr *) (p + sizeof (struct ether_header) + 4 * iphip_hl)。如圖 44是 IP數(shù)據報在 RFC791中定義的封裝格式： 比特 0 4 8 16 20 24 31 版本 報頭長 服務類型 數(shù)據包總長 標識符 標志 片偏移 生存時間 協(xié)議號 報頭校驗和 源 IP地址 目的 IP地址 選項 填充碼 數(shù)據 圖 44 IP數(shù)據報格式 其中每個字段的含義如下： (1)版本 (version)：長度為 4位，顯示 IP報頭的版本。如果在該字段中未注明有上層協(xié)議實體接收有效載荷幀。下面就按照數(shù)據鏈路層、網絡層到傳輸層再到應用層的順序詳細的講解每層包頭的結構以及如何對每層的數(shù)據報進行協(xié)議分析。 第四步接收用戶輸入的過濾條件，調用 pcap_pile和 pcap_setfilter生成過濾規(guī)則。 sockaddr *broadaddr。 /*length this packet(off wire)*/ }。 u_int flags。 int pcap_pile(pcap_t *p, struct bpf_program *fp, char *str, int optimize, bpf_u_int32 mask) 功能：編譯過濾規(guī)則 參數(shù)：第一個參數(shù)是會話句柄（ pcap_t *handle 在前一節(jié)的示例中）。而數(shù)據包捕獲機制是在數(shù)據鏈路層增加一個旁路處理，對發(fā)送和接收到的數(shù)據包做過濾 /緩沖等相關處理，最后直接傳遞到應用程序。例如，首先對網絡層的協(xié)議識別后進行脫去網絡層協(xié)議頭。當用戶停止時就結束程序，否則繼續(xù)捕獲。主要是調用協(xié)議分析模塊和顯示模塊。 圖 21網絡數(shù)據包協(xié)議分析程序結構框圖 下面對該程序的整體結構進行一下描述 ： 該程序的運行環(huán)境是 Fedora Core 4 linux。它支持針對網絡層、協(xié)議、主機、網絡或 端口的過濾，并提供and、 or、 not 等邏輯語句來幫助你去掉無用的信息。 網絡數(shù)據包協(xié)議分析程序簡介 網絡數(shù)據包協(xié)議分析 程序 是一種用于收集網絡中有用數(shù)據的程序，這些數(shù)據可以是用戶的帳號和密碼，也可以是一些商用機密數(shù)據等。所以網上信息的安全和保密是一個至關重要的問題。其中數(shù)據捕獲模塊和協(xié)議分析模塊是本程序最關鍵、最主要的模塊。 Thirdly, we explain the workflow about protocol analysis, and analyze mon work protocols。 (3)網絡軟件的漏洞和 “ 后門 ” ：網絡軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經出現(xiàn)過黑客攻入網絡內部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。它目前所提供的強大的協(xié)議分析功能完全可以媲美商業(yè)的網絡分析系統(tǒng)，自從1998 年發(fā)布最早的 版本至今，大量的志愿者為 Wireshark 添加新的協(xié)議解析器，如今 Wireshark 已經支持五百多種協(xié)議解析。在有問題的局域網絡中使用 EtherPeek執(zhí)行一個自定的診斷測試，監(jiān)控網絡的通信和事件，跟蹤非法的網絡活動，測試和調試網 絡軟硬件。該模塊的主要功能是捕獲流經本地網卡的所有數(shù)據。 程序的工作流程 圖 23為本程序的流程圖，下面其進行簡要的敘述： 程序開始時首先查找計算機上所 有 可用的網卡，并讓用戶選擇用于捕獲數(shù)據包的網卡 。通過調用Libpcap庫函數(shù)可以輕易的實現(xiàn)共享以太網中數(shù)據包的截獲，而且實時性相當?shù)牟檎宜锌捎玫?網卡 是否是以太網 編譯并且設置過濾規(guī)則 開始捕獲數(shù)據 并分析顯示結果 結束程序 用戶中止嗎？ 選擇用于捕獲的網卡和過濾規(guī)則 開始 N Y N Y 強，因為 Libpcap是處于用戶態(tài)所以減少了系統(tǒng)的開銷。 3 網絡數(shù)據包捕獲模塊的實現(xiàn) 網絡數(shù)據包捕獲簡介 網絡數(shù)據包截獲一般指通過截獲整個網絡的所有信息流量，根據信息源主機，目標主機，服務協(xié)議端口等信息簡單過濾掉不關心的數(shù)據，再將用戶感興趣的數(shù)據發(fā)送給更高層的應用程序進行分析。 Libpcap 中基本的數(shù)據結構和函數(shù) 主要函數(shù) ： int pcap_findalldevs(pcap_if_t *alldevsp, char *errbuf) 功能：枚舉系統(tǒng)所有網絡設備的信息 參數(shù)： alldevsp ： 是 一 個 pcap_if_t 結 構 體 的 指 針 ， 如 果 函 數(shù)pcap_findalldevs 函數(shù)執(zhí)行成功，將獲得一個可用網卡的列表，而里面存儲的就是第一個元素的指針。 參數(shù)：第一個參數(shù)是會話句柄，接下來是一個整型，它告訴 pcap_loop()在返回前應捕獲多少個數(shù)據包（若為負值則表示應該一直工作直至錯誤發(fā)生）。 指向網卡地址鏈中的第一個元素。 /* drops by interface XXX not yet supported */ }。 sockaddr * broadaddr。協(xié)議分析就是數(shù)據封裝的逆過程。需要注意的是，幀初始同步字段在網絡監(jiān)視器中是不可見的。 IP 首部的分析與提取 因為以太幀報頭的長度都是 一樣的。 (7)片偏移 (fragment offset)：長度為 13位，表示分片相對于原始 IP數(shù)據報有效載荷的偏移量。在一般情況下，應用層協(xié)議的服務器端在己知的端口上偵聽。 (9)校驗和 (checksum)：一個 2字節(jié)的字段，為 TCP段提供位級別的完整性校驗。 (4)校驗和 — 16 位。 } } 現(xiàn)在介紹一下 getportname()函數(shù)。 測試結果評價 本設計在 Fedora Core 4 環(huán)境試運行下，編碼后經過多次測試并將發(fā)現(xiàn)的錯誤及時修改，系統(tǒng)運行正常，基本達到設計目標，運行結果比較良好。 [5] Libpcap的數(shù)據結構和函數(shù)介紹 [OL].LinuxAid網站 . [6] 王學磊 .網絡數(shù)據包截獲與分析研究 [D].沈陽：東北大學 [碩士論文 ],2021。 除非另有科研合同和其他法律文書的制約，本論文的科研成果屬于成都信息工程學院。 方新收起電腦，喃喃道：“入藏后，就不能無線上網了，只是電腦里的很多資料很有用處。次仁剛吃過午飯，一名士兵來報，上級領導打來電話，某教授會乘 A3097次專機在軍區(qū)機場降落，他們會從機場直赴蒙河，希望他能安排一下，準備輛車接應。只是，秦母又怎么可能看上他這種人，若不是為了兒子，根本連看都懶得看他一眼。兩人遂登上軍用專機，從上海往西，朝著圣潔的高原 —— 西藏飛去。我一直想到上海來探望你，看看是不是真的。 （ 4）學校可允許學位論文被查閱或借閱。 [3] 謝希仁 .計算機網絡 [M].北京：電子工業(yè)出版社 ， 2021。 然后 對每個功能模塊進行數(shù)據合 法性檢查、數(shù)據一致性檢查。關鍵代碼如下 void getportname (int portn, char portch[], char *protocol){ if (getservbyport (htons (portn), protocol) != NULL){ strcpy(portch, getservbyport(htons(portn),protocol)s_name)。該用戶數(shù)據報的八位長度，包括協(xié)議頭和數(shù)據。 (8)窗口 (window)：一個 2字節(jié)的字段，表明該段的發(fā)送方的接收緩沖區(qū)中可 供使用的空間有多少字節(jié)數(shù)。 IP頭中的源地址和 TCP頭中的源端口聯(lián)合起來提供一個源套接字。 (6)標志 (flags)：長度為 3位，包含兩個用于分片的標志。 (6)幀校驗序列 (Frame Check Sequence, FCS)： 4字節(jié)長，提供位級別的完整性校驗，也被稱為循環(huán)冗余校驗 (CRC)。在以太網內的 IP和 ARP數(shù)據報或者使用以太網 II的或者使用 IEEE： 子網訪問協(xié)議 (SNAP)來封裝數(shù)據。比如發(fā)送方在數(shù)據鏈路層通常會在包頭加上目的 MAC地址、源 MAC地址、其他一些具體網絡信息及幀定界符，在包尾加上循環(huán)冗余碼，并使用字節(jié)填充或位填充，由接收方數(shù)據鏈路層去掉包頭與包尾進行相關解釋工作。 sockaddr * mask。 /* number of packets received */ u_int ps_drop。 如果非空，指向一個對設備的人性化的描述字符串。 參數(shù)：這非常直觀，第一個參數(shù)是會話句柄，第二個參數(shù)是被編譯表達式版本的引用（可推測出它與 pcap_pile()的第二個參數(shù)相同）。在 windows平臺下，一個與 Libpcap很類似的函數(shù)包 winpcap提供捕獲功能，其官方網站是 Libpcap軟件包可從 載，解壓后依此執(zhí)行下列三條命令即可安裝。端口識別的優(yōu)點是：簡單、容易實現(xiàn)。在 Linux有一個專門為程序員編寫數(shù)據包捕獲程序而開發(fā)的庫： Libpcap。對數(shù)據包進行協(xié)議分析后要把結果顯示給用戶本程序才結束。其中包括選擇用于捕獲的網絡接口和需要過濾的內容。 EtherPeek 采用工業(yè)標準，非常容易使用，提供解碼、過濾和診斷網絡的功能。商用軟件：EtherPeek 下面對這幾種軟件進行簡要的介紹： Wireshark： Wireshark 是一個開放源碼的網絡分析系統(tǒng)，也是是目前最好的開放源碼的網絡協(xié)議分析器，支持 Linux 和 Windows 平臺。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。 and we make an integrated design on the program, define functions of it, figure out its structure and hierarchical graphs, describe the workflow of it, and analyze the key techniques used in it。其次 進行了程序的總體設計：確定了程序的功能，給出了程序的結構圖和層次圖，描述了程序的工作流程，對實現(xiàn)程序的關鍵技術做出了分析 。因此，網絡必須有足夠強的安全措施，否則該網絡將是個無用、甚至會危及國家安全的網絡。 網絡數(shù)據包協(xié)議分析程序 的正當用處主要是分析網絡的流量，以便找出所關心的網絡中潛在的問題。 TcpDump 以其強大的功能，靈活的截取策略，成為每個高級的系統(tǒng)管理員分析網絡，排查問題等所必備的工具之一。本程序通過調用安裝在 linux上的 Libpcap函數(shù)庫抓取經過本地網卡的數(shù)據包 ， 從而完成數(shù)據包的捕獲。該模塊的 主要功能是對捕獲的數(shù)據包進行協(xié)議分析。要實現(xiàn)程序預定的功 能，就必須解決實現(xiàn)程序的關鍵技術。 應用層以下的各種協(xié)議一般都可以通過下一層的協(xié)議中的關鍵信息來識別。對用戶程序而言，包捕獲機制提供了一個統(tǒng)一的接口，使用戶程序只需要簡單的調用若干函數(shù)就能獲得所期望的數(shù)據包。再接下來的則是表達式本身，存儲在規(guī)定的字符串格式里 。 pcap_if *next。 數(shù)據報時間戳； bpf_u_int32 caplen。 }。 具體流程入下圖所示： 圖 31數(shù)據捕獲模塊流程圖 4 協(xié)議分析模塊的實 現(xiàn) 雖然到此為止已經可以順利完成數(shù)據包的監(jiān)聽工作，但這并不意味著己經大功告成了，因為從前面的數(shù)據包監(jiān)聽的原理中可以知道，數(shù)據包捕獲程序工作在