【文章內(nèi)容簡介】 DNS（域名系統(tǒng)）、TFTP（簡單 文件傳送協(xié)議 ）等。 圖4 為TCP/IP 網(wǎng)絡(luò)體系結(jié)構(gòu)與上述各協(xié)議之間的關(guān)系模型。 6 圖4 TCP/IP協(xié)議族中不同層次的協(xié)議從圖的模型中可以看到，應(yīng)用層的大多數(shù)應(yīng)用程序通過TCP、UDP來 訪問網(wǎng)絡(luò)層 ，或者通過ICMP 來使用網(wǎng)絡(luò)層，如Ping、Trace Route等也可以使用IP直接 訪問網(wǎng)絡(luò)層。傳輸層中的TCP、UDP為應(yīng) 用層提供可靠的或不可靠網(wǎng)絡(luò)傳輸?shù)木W(wǎng)絡(luò)傳輸服務(wù)。網(wǎng)絡(luò)層的ICMP是IP協(xié)議 的附屬協(xié)議，IP協(xié)議用它與路由器之間交換錯誤報文或其它控制信息。網(wǎng)絡(luò)接口層的ARP 、RARP是以太網(wǎng)和令牌環(huán)使用的特殊協(xié)議，用來轉(zhuǎn)換IP層和網(wǎng)絡(luò)接口層使用的地址。 數(shù)據(jù)封裝與分用過程以用戶用TCP協(xié)議傳送數(shù)據(jù)為例， 數(shù)據(jù)被送入 協(xié)議棧中，然后逐個通過每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。然后逐個通過每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。其中每一層對收到的數(shù)據(jù)都要增加一些首部信息（有時還要增加尾部信息）。TCP傳給IP的數(shù)據(jù)單元稱作TCP報 文段或 簡稱為TCP段（TCP segment）。IP傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作IP數(shù)據(jù)報。通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。這就是通常說的數(shù)據(jù)的封裝過程，如圖5所示。 7 圖 5 數(shù)據(jù)進(jìn)入?yún)f(xié)議棧時的封裝過程當(dāng)目的主機收到一個以太網(wǎng)數(shù)據(jù)幀時，數(shù)據(jù)就開始從協(xié)議棧中由底向上升，同時去掉各層協(xié)議加上的報文首部。每層協(xié)議盒都要去檢查報文首部中的協(xié)議標(biāo)識，以確定接收數(shù)據(jù)的上層協(xié)議。這個過程稱作分用（Demultiplexing ），圖6顯示了該過程是如何發(fā)生的。圖6 數(shù)據(jù)幀的分用過程 8 IP 協(xié)議IP是TCP/IP協(xié)議族中最為核心的協(xié)議。所有的TCP、UDP 、ICMP及IGMP數(shù)據(jù)都以IP數(shù)據(jù)報格式傳輸。IP提供不可靠、無連接的數(shù)據(jù)報傳送服務(wù)。 IP數(shù)據(jù)報的首部信息如圖7：圖7 IP數(shù)據(jù)報格式及首部中的各字段IP各域的含義如下： 版本：當(dāng)前IP協(xié)議的版本號，本論文采用的版本號為4。首部長度：以32bit為單 位的包頭長度。服務(wù)類型：規(guī)定對本數(shù)據(jù)報的處理方式，比如優(yōu)先權(quán)等?？傞L：以Byte為單位的整個 IP數(shù)據(jù)報長度。標(biāo)識：信源主機賦予每個IP數(shù)據(jù)報的唯一標(biāo)識符號，用于控制分片及其重組。標(biāo)志和片偏移：同樣用于控制分片及其重組。生存時間：設(shè)置本數(shù)據(jù)報的最大生存時間，以秒為單位。協(xié)議：表示創(chuàng)建本IP數(shù)據(jù)報數(shù)據(jù)區(qū)數(shù)據(jù)的高層協(xié)議的類型，如TCP,UDP等。頭標(biāo)校驗和：用于保證頭標(biāo)數(shù)據(jù)的完整性。源IP地址和目的IP 地址：分別指發(fā)送本數(shù)據(jù)報的主機IP地址和接受本數(shù)據(jù)報的主機的IP地址。選項：用于控制和測試，是IP數(shù)據(jù)報中可選的部分，包含“ 源路徑”、“路徑記錄”、 “時間戳”等幾種類型。TCP協(xié)議是網(wǎng)絡(luò)中應(yīng)用最為廣泛的協(xié)議，許多的應(yīng)用層協(xié)議都是 9 在建立在TCP協(xié)議之上的。TCP首部的各字段如圖8所示：IP 首部 TCP 首部 TCP 數(shù)據(jù)IP 數(shù)據(jù)報TCP 報文段20 字節(jié) 20 字節(jié)圖 8 TCP 數(shù)據(jù)在 IP 數(shù)據(jù)報中的封裝TCP協(xié)議頭部信息如下：源端口：發(fā)送端TCP端口號。目的端口：接收端TCP端口號。序號：指出段中數(shù)據(jù)在發(fā)送端數(shù)據(jù)流中的位置。確認(rèn)號：指出本機希望下一個接收的字節(jié)的序號。頭標(biāo)長度：以32bit為單 位的段頭標(biāo)長度，是針對變長的“ 選項”域設(shè)計的。碼位：指出段的目的與內(nèi)容，不同的各碼位置位有不同的含義。窗口：用于通告接收端接收緩沖區(qū)的大小。校驗和：這是可選域，置0表示未選，全1表示校驗和為伍緊急指針：當(dāng)碼位的URG置位時，指出緊急指 針的序號。UDP協(xié)議是英文User Datagram Protocol的縮寫，即用戶數(shù)據(jù)報協(xié)議，主要用來支持那些需要在計算機之間傳輸數(shù)據(jù)的網(wǎng)絡(luò)應(yīng)用。包括網(wǎng)絡(luò)視頻會議系統(tǒng)在內(nèi)的眾多的客戶/服務(wù)器模式的網(wǎng)絡(luò)應(yīng)用都需要使用UDP協(xié)議 。UDP協(xié)議 從問世至今已經(jīng)被使用了很多年，雖然其最初的光彩已經(jīng)被一些類似協(xié)議所掩蓋，但是即使是在今天，UDP 仍然不失為一項非常實用和可行的網(wǎng)絡(luò)傳輸層協(xié)議。UDP數(shù)據(jù)報各域的意義與TCP 段中相 應(yīng)的域相同。只有校 驗和有些不同，除 UDP數(shù)據(jù)報本身外，它還 覆蓋一個附加的“偽頭標(biāo)”。這個偽頭標(biāo)來自于IP報頭，包括：源IP 地址、信宿 IP地址、協(xié)議類型、UDP長度及填充域。UDP首部的各字段圖9所示： 10 圖 9 UDP 首部3 需求分析 功能需求隨著個人計算機和互聯(lián)網(wǎng)的普及，越來越多的人開始使用網(wǎng)絡(luò)這個媒介來發(fā)送，接收信息，計算機網(wǎng)絡(luò)給人們生產(chǎn)和生活帶來了巨大的便利。但是由于網(wǎng)絡(luò)是一個面向大眾的開放系統(tǒng)，對數(shù)據(jù)信息的保密和系統(tǒng)的安全性考慮得并不完備，存在著許多的安全隱患。而有的人，就利用這些隱患，通過網(wǎng)絡(luò)來發(fā)送一些包含色情，反動等不良內(nèi)容的信息，達(dá)到擾亂正常社會秩序的目的。網(wǎng)絡(luò)的安全形勢日趨嚴(yán)峻。因此，現(xiàn)在在 Inter 安全隱患中扮演重要角色之一的 網(wǎng)絡(luò)數(shù)據(jù)安全管理軟件受到越來越大的關(guān)注。本軟件的設(shè)計就是為了達(dá)到基本的維護(hù)網(wǎng)絡(luò)安全的作用，對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行捕獲，然后從中得到所有的網(wǎng)絡(luò)數(shù)據(jù)包，并對其進(jìn)行簡單的分析操作。在網(wǎng)絡(luò)入侵取證系統(tǒng)中，對網(wǎng)絡(luò)上傳送的數(shù)據(jù)包進(jìn)行有效的監(jiān)聽即捕獲包是目前取證的關(guān)鍵技術(shù)，只有進(jìn)行高效的數(shù)據(jù)包捕獲，網(wǎng) 絡(luò)管理員才能對所捕獲的數(shù)據(jù)進(jìn)行一系列的分析，從而進(jìn)行可靠的網(wǎng)絡(luò)安全管理。IP是TCP/IP協(xié)議族中最為核心的協(xié)議。所有的TCP、UDP 、ICMP及IGMP數(shù)據(jù)都以IP數(shù)據(jù)報格式傳輸。這些數(shù)據(jù) 類型中又以TCP和UDP兩種數(shù)據(jù) 類型為多數(shù)。所以本軟件需要 設(shè)計出按TCP 協(xié)議類型和按UDP協(xié)議類 型來過濾網(wǎng)絡(luò)中的數(shù)據(jù)。同時 本軟件還還應(yīng)當(dāng)具有一種過濾功能，那就是當(dāng)我們知道某個IP地址發(fā)送的數(shù)據(jù)包信息都是屬于一些不良，反動等等內(nèi)容的信息，那么，我 們 可以通過在軟件上輸出這臺主機IP地址，來 過濾 從這臺主機上發(fā)送的所有TCP和UDP 協(xié)議類 11 型的數(shù)據(jù)。從而達(dá)到信息過濾的要求。 性能要求由于本設(shè)計是安裝在個人電腦上，所以要求用戶界面簡潔，友好，方便使用和操作。網(wǎng)絡(luò)上數(shù)據(jù)包的捕獲是入侵檢測系統(tǒng)的基礎(chǔ)，關(guān)鍵是要保證高速的安全管理和低的丟包率。一方面，網(wǎng)絡(luò)檢測部分的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包，需要經(jīng)過捕獲后方可以提交給分析系統(tǒng)；另一方面，捕獲數(shù)據(jù)包效率的高低直接影響著網(wǎng)絡(luò)探測部分的性能的好壞，如果發(fā)生丟包現(xiàn)象， 則有可能丟掉的包就是攻擊包。在保證高速的安全管理和低的丟包率的同時，要還要求程序能有較強的穩(wěn)定性。一款好的信息過濾軟件，都是將在一個長時間工作的環(huán)境中運行。如果不能保證較強的穩(wěn)定性的話，那么軟件對信息過濾的效率和功能有很大的局限性，對數(shù)據(jù)信息過濾就是失敗的。那么這款軟件就不會具備同其他同類似軟件的競爭力，更不會有市場，那么它就注定成為一款失敗的軟件。試想一下，假如，當(dāng)用戶使用這款軟件時， 軟件占用了太多的系統(tǒng)資源而導(dǎo)致用戶對電腦的其他操作都很難進(jìn)行，那么，誰還會用這款軟件呢？所以，該軟件還應(yīng)該具備一種特點就是：低的系統(tǒng)資源占用率。4 局域網(wǎng)信息捕獲器的設(shè)計 功能概述通過前面的敘述可以知道，這款軟件具有的功能，那就是：能夠分別捕獲局域網(wǎng)中的 TCP 協(xié)議類型數(shù)據(jù)， UDP 協(xié)議類型數(shù)據(jù)和從某一特定的 IP 地址發(fā)送出來的 TCP 協(xié)議類型數(shù)據(jù)和 UDP 協(xié)議數(shù)據(jù)類型。并且，將這些捕獲 出來的數(shù)據(jù)包的基本信息存入到數(shù)據(jù)庫中，提供給網(wǎng)絡(luò)管理員使用和進(jìn)一步的分析。系統(tǒng)流程圖如下圖： 12 開始捕獲數(shù)據(jù)分析協(xié)議類型數(shù)據(jù)庫處理結(jié)束結(jié)束Y E SY E SN ON O圖 10 系統(tǒng)流程圖本系統(tǒng)包括三個基本模塊，分別是數(shù)據(jù)包捕獲模塊，數(shù)據(jù)分析模塊和數(shù)據(jù)庫模塊。其中數(shù)據(jù)包捕獲模塊 的功能是：利用 Winpcap 控件，通過網(wǎng)卡設(shè)備從網(wǎng)絡(luò)中捕獲數(shù)據(jù)包；數(shù)據(jù)分析模塊的功能是：主要實現(xiàn)數(shù)據(jù)的解析，從網(wǎng)絡(luò)適配器中捕獲到的數(shù)據(jù)的為原始數(shù)據(jù)（raw data），這些原始數(shù)據(jù) 為二進(jìn)制格式，必須轉(zhuǎn)化為能比較好明白的格式，這 就要求將這些原始數(shù)據(jù)能按照網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)木唧w格式來保存，主要為了能較 好的讀懂相關(guān)的信息，以便使用者分析；數(shù)據(jù)庫模塊的功能是：經(jīng)過前兩個模塊處理后的數(shù)據(jù)，現(xiàn)在已經(jīng)轉(zhuǎn)化成了對我們有用的信息了，而這 些信息不可能一直 讓他存放在內(nèi)存中，那么就需要在數(shù)據(jù)庫中建立相應(yīng)的表，把這些信息存貯在這 些數(shù)據(jù)庫表的相應(yīng)列名中，以便使用者處理、使用。 系統(tǒng)功能模塊的設(shè)計數(shù)據(jù)包捕獲模塊主要用Winpcap軟件實現(xiàn)，模塊的設(shè)計思想遵循Winpcap捕獲數(shù)據(jù)包的流程，流程分三步：查找設(shè)備，打開設(shè)備和捕獲數(shù)據(jù)的函數(shù)。獲程序。流程圖如下： 1