【正文】 主要的局域網(wǎng)技術(shù)，它采用一種稱作 CSMA/CD的媒體接入方法，其意思是帶沖突檢測的載波偵聽多路接入 (Carrier Sense Multiple Access with Collision Detection)，發(fā)送端在傳輸之前要偵聽信道。如果上 層的協(xié)議數(shù)據(jù)單元小于 46字節(jié)，則必須填充到 46字節(jié)。 (5)標(biāo)識 (identifier)：長度為 2位，作為分割以及組裝數(shù)據(jù)包時(shí)的識別標(biāo)志來使用，被分割的數(shù)據(jù)包被分配有同一數(shù)值標(biāo)識。 第 17 頁 共 23 頁 比特 0 8 16 24 31 源端口 目的端口 順序號 確認(rèn)號 數(shù)據(jù)偏移 保留 標(biāo)志 窗口 校驗(yàn)和 緊急指示符 選項(xiàng)（長度可變） 填充 數(shù)據(jù) 圖 45 TCP數(shù)據(jù) 報(bào) 格式 其中，每一段的含義如下： (1)源端口 (source port)：指示發(fā)送 TCP段的源應(yīng)用層協(xié)議，是一個(gè) 2字節(jié)的字段。這 6個(gè)標(biāo)志是： URG(緊急 )、 ACK(確訓(xùn) )、 PSH(推 )、 RST(復(fù)句 )、 SYN(同步 )、 FIN(結(jié)束 )。 (3)長度 — 16 位。因?yàn)槌Ｓ枚丝诤统Ｓ脜f(xié)議對應(yīng)，我們可以 利用這個(gè)原理來識別應(yīng)用層協(xié)議。其次，選定一臺 PC 對 數(shù)據(jù)包捕獲 模塊、 規(guī)則過濾 模塊 、協(xié)議分析模塊 進(jìn)行功能測試 。這時(shí)，常把端口號作為端口的名稱來用。由此，可以利用與端口號對應(yīng)的特定的網(wǎng)絡(luò)服務(wù)。當(dāng)使用時(shí)，它表示發(fā)送程序的端口，同時(shí)它還被認(rèn)為是沒有其它信息的情況下需要被尋址的答復(fù)端口。 (5)數(shù)據(jù)偏移 (data offset)：表示 TCP數(shù)據(jù)的起始位置，以 4字節(jié)的整數(shù)倍表示，數(shù)據(jù)偏移字段也是 TCP頭的大小。 TCP(傳輸控制協(xié)議 )為面向事務(wù)的應(yīng)用提供了可靠的面向連接的傳輸協(xié)議。 (2)報(bào)頭長 (header length)：長度為 4位，表示 IP頭的長度。比如，對于 IP數(shù)據(jù)報(bào)，這個(gè)字段的值為 0x0800；對于 ARP消息，該字段的值被設(shè)置為 0x0806。假設(shè)這個(gè)指針為 p。 具體流程入下圖所示： 圖 31數(shù)據(jù)捕獲模塊流程圖 4 協(xié)議分析模塊的實(shí)現(xiàn) 雖然到此為止 已經(jīng)可以順利完成數(shù)據(jù)包的監(jiān)聽工作，但這并不意味著己經(jīng)大功告成了，因?yàn)閺那懊娴臄?shù)據(jù)包監(jiān)聽的原理中可以知道，數(shù)據(jù)包捕獲程序工作在網(wǎng)絡(luò)底層，將網(wǎng)卡設(shè)置 為混雜模式以后，從網(wǎng)絡(luò)底層捕獲到的數(shù)據(jù)包會直接往上發(fā)給應(yīng)用程序 進(jìn)行 處理，而不再像普通的數(shù)據(jù)包那樣經(jīng)過操作系統(tǒng)的層層過濾。 }。 數(shù)據(jù)報(bào)時(shí)間戳； bpf_u_int32 caplen。 pcap_if *next。再接下來的則是表達(dá)式本身，存儲在規(guī)定的字符串格式里。對用戶程序而言，包捕獲機(jī)制提供 了一個(gè)統(tǒng)一的接口，使用戶程序只需要簡單的調(diào)用若干函數(shù)就能獲得所期望的數(shù)據(jù)包。 應(yīng)用層以下的各種協(xié)議一般都可以通過下一層的協(xié)議中的關(guān)鍵信息來識別。要實(shí)現(xiàn)程序預(yù)定的功能，就必須解決實(shí)現(xiàn)程序的關(guān)鍵技術(shù)。該模塊的主要功能是對捕獲的數(shù)據(jù)包進(jìn)行協(xié)議分析。本程序通過調(diào)用安裝在 linux上的 Libpcap函數(shù)庫抓取經(jīng)過本地網(wǎng)卡的數(shù)據(jù)包 ， 從而完成數(shù)據(jù)包的捕獲。 TcpDump 以其強(qiáng)大的功能，靈活的截取策略，成為每個(gè)高級的系統(tǒng)管理員分析網(wǎng)絡(luò)，排查問題等所必備的工具之一。 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序 的正當(dāng)用處主要是分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。因此，網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是個(gè)無用、甚至?xí)＜皣野踩木W(wǎng)絡(luò)。 關(guān)鍵詞： Libpcap； Linux； 數(shù)據(jù)包捕獲；應(yīng)用層 ； 協(xié)議識別 The Design and Development of Network Packet Protocol Analyzing Program Abstract The thesis is an attempt to introduce an implementation of work protocol analyzing program which is based on Libpcap, a famous work packet capture library on Linux. It has a rich feature set which includes capturing work packets and analyzing popular work protocols on Inter. The program is made up of an input/output module, a rules matching module, a packet capturing module and a protocol analyzing module. And the last two modules are key modules. The research work was described as followed. firstly, we introduce the background and concepts about work protocol analyzing programs。接著， 介紹 完數(shù)據(jù)包捕獲的相關(guān)背景和 Libpcap函數(shù)庫 后 ，闡述了如何利用 Libpcap函數(shù)庫實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊 。但由于計(jì)算機(jī)網(wǎng)絡(luò)自身所特具有的特點(diǎn)，比如聯(lián)結(jié)形式 多樣性和網(wǎng)絡(luò)的開放性、互連性等特征，所以導(dǎo)致網(wǎng)絡(luò)易受黑客還有一些病毒的攻擊。本文將介紹網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序的工作原理以及它的實(shí)現(xiàn)。 TcpDump： 顧名思義， TcpDump 可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的 “ 頭 ” 完全截獲下來提供分析。 系統(tǒng)的組成結(jié) 構(gòu)和工作流程 系統(tǒng)的結(jié)構(gòu)框圖 基于以上分析，本文設(shè)計(jì)了網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序，圖 21是程序的結(jié)構(gòu)框圖 。該模塊的主要功能是對捕獲的數(shù)據(jù)進(jìn)行分析顯示處理。 開始進(jìn)行捕獲，并分析數(shù)據(jù)，將數(shù)據(jù)顯示給用戶。對于協(xié)議的識別需要從下至上進(jìn)行。數(shù)據(jù)包常規(guī)的傳輸路徑依次為網(wǎng)卡、設(shè)備驅(qū)動層、數(shù)據(jù)鏈路層、 IP層、傳輸層、最后到達(dá)應(yīng)用程序。最后， ebuf 是一個(gè)我們可以存入 任何錯(cuò)誤信息的字符串（就像上面的 errbuf）。 struct pcap_addr *addresses。 /*length of portion present*/ bpf_u_int32 len。 sockaddr * mask。 第三步通過調(diào)用 pcap_datalink檢查該網(wǎng)卡所在網(wǎng)絡(luò)是不是以太網(wǎng)，如果不是則中止程序。 對 TCP/IP 模型中各層協(xié)議的分析 前面的內(nèi)容已經(jīng)提到過，我們在對數(shù)據(jù)包根據(jù)應(yīng)用層協(xié)議進(jìn)行分析的時(shí)候都需要首先剝離數(shù)據(jù)包中的包頭并且需要根據(jù)包頭信息判斷是何種應(yīng)用層協(xié)議。這個(gè)字段被用來將以太網(wǎng)的有效載荷傳給正確的上層協(xié)議實(shí)體。雖 然很多時(shí)候一個(gè) IP數(shù)據(jù)報(bào)就是一個(gè) IP包，但它們在概念上是不同 的 實(shí)體。 (12)選項(xiàng)和填充：此字段跟在 IP頭之后，但必須是以 4個(gè)字節(jié)為增量單位，以使 IP頭的大小能用報(bào)頭長度字段表示。利用隨機(jī)值確定初始值，以字節(jié)為單位表示所發(fā)送數(shù)據(jù)的位置。此協(xié)議是面向操作的，未提供提交和復(fù)制保護(hù)。一種為公認(rèn)端口，另一種為短暫端口。把端口名稱賦給 s_name。 測試結(jié)果評價(jià) 本設(shè)計(jì)在 Fedora Core 4 環(huán)境試運(yùn)行下，編碼后經(jīng)過多次測試并將發(fā)現(xiàn)的錯(cuò)誤及時(shí)修改，系統(tǒng)運(yùn)行正常，基本達(dá)到設(shè)計(jì)目標(biāo)，運(yùn)行結(jié)果比較良好。 } } 現(xiàn)在介紹一下 getportname()函數(shù)。 (4)校驗(yàn)和 — 16 位。 (9)校驗(yàn)和 (checksum)：一個(gè) 2字節(jié)的字段，為 TCP段提供位級別的完整性校驗(yàn)。在一般情況下，應(yīng)用層協(xié)議的 服務(wù)器端在己知的端口上偵聽。 (7)片偏移 (fragment offset)：長度為 13位，表示分片相對于原始 IP數(shù)據(jù)報(bào)有效載荷的偏移量。 IP 首部的分析與提取 因?yàn)橐蕴珟瑘?bào)頭的長度都是一樣的。需要注意的是，幀初始同步字段在網(wǎng)絡(luò)監(jiān)視器中是不可見的。協(xié)用戶數(shù)據(jù) 用戶數(shù)據(jù) APP 首部 應(yīng)用數(shù)據(jù) TCP 首 部 應(yīng)用數(shù)據(jù) TCP 首部 IP 首部 應(yīng)用數(shù)據(jù) TCP 首部 IP 首部 以太網(wǎng)頭 以太網(wǎng)尾 應(yīng)用程序 TCP IP 以太網(wǎng)驅(qū)動程序 第 13 頁 共 23 頁 議分析就是數(shù)據(jù)封裝的逆過程。 sockaddr * broadaddr。 /* drops by interface XXX not yet supported */ }。 指向網(wǎng)卡地址鏈中的第一個(gè)元素。 參數(shù)：第一個(gè)參數(shù)是會話句柄，接下來是一個(gè)整型，它告訴 pcap_loop()在返回前應(yīng)捕獲多少個(gè)數(shù)據(jù)包（若為負(fù)值則表示應(yīng)該一直工作直至錯(cuò)誤發(fā)生）。 Libpcap 中基本的數(shù)據(jù)結(jié)構(gòu)和函數(shù) 主要函數(shù) ： int pcap_findalldevs(pcap_if_t *alldevsp, char *errbuf) 功能：枚舉系統(tǒng)所有網(wǎng)絡(luò)設(shè)備的信息 參數(shù)： alldevsp ： 是 一 個(gè) pcap_if_t 結(jié) 構(gòu) 體 的 指 針 ， 如 果 函 數(shù)pcap_findalldevs 函數(shù)執(zhí)行成功，將獲得一個(gè)可用網(wǎng)卡的列表，而里面存儲的就是第一個(gè)元素的指針。 3 網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊的實(shí)現(xiàn) 網(wǎng)絡(luò)數(shù)據(jù)包捕獲簡介 網(wǎng)絡(luò)數(shù)據(jù)包截獲一般指通過截獲整個(gè)網(wǎng)絡(luò)的所有信息流量，根據(jù)信息源主機(jī)，目標(biāo)主機(jī)，服務(wù)協(xié)議端口等信息簡單過濾掉不關(guān)心的數(shù)據(jù)，再將用戶感興趣的數(shù)據(jù)發(fā)送給更高層的應(yīng)用程序進(jìn)行分析。通過調(diào)用Libpcap庫函數(shù) 可以輕易的實(shí)現(xiàn)共享以太網(wǎng)中數(shù)據(jù)包的截獲， 而且實(shí)時(shí)性相當(dāng)?shù)膹?qiáng)，因?yàn)?Libpcap是處于用戶態(tài)所以減少了系統(tǒng)的開銷。 程序的工作流程 圖 23為本程序的流程圖，下面其進(jìn)行簡要的敘述： 程序開始時(shí)首先查找計(jì)算機(jī)上所 有 可用的網(wǎng)卡，并讓用戶選擇用于捕獲數(shù)據(jù)包的網(wǎng)卡。該模塊的主要功能是捕獲流經(jīng)本地網(wǎng)卡的所有數(shù)據(jù)。在有問題的局域網(wǎng)絡(luò)中使用 EtherPeek執(zhí)行一個(gè)自定的診斷測試，監(jiān)控網(wǎng)絡(luò)的通信和事件，跟蹤非法的網(wǎng)絡(luò)活動，測試和調(diào)試網(wǎng)絡(luò)軟硬件。它目前所提供的強(qiáng)大的協(xié)議分析功能完全可以媲美商業(yè)的網(wǎng)絡(luò)分析系統(tǒng)，自從 1998年發(fā)布最早的 版本至今，大量的志愿者為 Wireshark 添加新的協(xié)議解析器，如今 Wireshark 已經(jīng)支持五百多種協(xié)議解析。 (3)網(wǎng)絡(luò)軟件的漏洞和 “ 后門 ” ：網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)，曾經(jīng)出現(xiàn)過黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，這些事件的大部分就是因?yàn)榘踩胧┎煌晟扑兄碌目喙?Application layer。 網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議分析程序的設(shè)計(jì)開發(fā) 摘 要 本文設(shè)計(jì)與實(shí)現(xiàn)了一