【文章內(nèi)容簡介】 應(yīng)該為全1，如果結(jié)果不是全 1（即檢驗(yàn)和錯誤），那么 IP就丟棄收到的數(shù)據(jù)報，但是不生成差錯報文，由石河子大學(xué)學(xué)士學(xué)位論文 第二章 網(wǎng)絡(luò)協(xié)議及協(xié)議仿真技術(shù) 7 上層去發(fā)現(xiàn)丟失的數(shù)據(jù)報并進(jìn)行重傳。 源 IP地址： 32位，發(fā)送 IP的主機(jī)地址。 目的 IP地址： 32位，數(shù)據(jù)發(fā)往的 IP主機(jī)地址。 2） TCP 如果 IP數(shù)據(jù)包中有已經(jīng)封好的 TCP數(shù)據(jù)包，那么 IP將把它們向 ‘ 上 ’ 傳送到 TCP層。 TCP將包排序并進(jìn)行錯誤檢查，同時實(shí)現(xiàn)虛電路間的連接。 TCP數(shù)據(jù)包中包括序號和確認(rèn)，所以 未按照順序收到的包可以被排序，而損壞的包可以被重傳。 TCP將它的信息送到更高層的應(yīng)用程序，例如 Tel的服務(wù)程序和客戶程序。應(yīng)用程序輪流將信息送回 TCP層， TCP層便將它們向下傳送到 IP層，設(shè)備驅(qū)動程序和物理介質(zhì)，最后到接收方。 面向連接的服務(wù)（例如 Tel、 FTP、 rlogin、 X Windows和 SMTP）需要高度的可靠性，所以它們使用了 TCP。 DNS在某些情況下使用 TCP（發(fā)送和接收 域名 數(shù)據(jù)庫），但使用 UDP傳送有關(guān)單個主機(jī)的信息。 TCP數(shù)據(jù)被封裝在一個 IP數(shù)據(jù)報中，如圖 22所示： 圖 22 TCP 數(shù)據(jù)在 IP 數(shù)據(jù)報中的封裝 圖 23顯示 TCP首部的數(shù)據(jù)格式。如果不計任選字段，它通常是 20個字節(jié)。 圖 23 TCP 包首部 石河子大學(xué)學(xué)士學(xué)位論文 第二章 網(wǎng)絡(luò)協(xié)議及協(xié)議仿真技術(shù) 8 3） UDP UDP與 TCP位于同一層，但它不管數(shù)據(jù)包的順序、錯誤或重發(fā)。因此， UDP不被應(yīng)用于那些使用虛電路的面向連接的服務(wù)， UDP主要用于那些面向查詢 應(yīng)答的服務(wù)，例如 NFS。相對于 FTP或Tel，這些服務(wù)需要交換的信息量較小。使用 UDP的服務(wù)包括 NTP（網(wǎng)絡(luò)時間協(xié)議）和 DNS（ DNS也使用 TCP）。 欺騙 UDP包比欺騙 TCP包更容易，因?yàn)?UDP沒有建立初始化連接（也可以稱為握手）（因?yàn)樵趦蓚€系統(tǒng)間沒有虛電路），也就是說，與 UDP相關(guān)的服務(wù)面臨著更大的危險。 UDP是一個簡單的面向數(shù)據(jù)報的運(yùn)輸層協(xié)議，進(jìn)程的每個輸出操作都正好產(chǎn)生一個 UDP數(shù)據(jù)報，并組裝成一份待發(fā)送的 IP數(shù)據(jù)報。 UDP數(shù)據(jù)報格式有首部和數(shù)據(jù)兩個部分，如圖 24： 圖 24 UDP 數(shù)據(jù)報格式 首部 很簡單，共 8字節(jié)，如圖 25： 圖 25 UDP 首部 包括： 源端口（ Source Port）： 2字節(jié)，源端口號。 目的端口（ Destination Port ）： 2字節(jié)，目的端口號。 長度（ Length）： 2字節(jié)， UDP用戶數(shù)據(jù)報的總長度，以字節(jié)為單位。 檢驗(yàn)和（ Checksum）： 2字節(jié)，用于校驗(yàn) UDP數(shù)據(jù)報的數(shù)字段和包含 UDP數(shù)據(jù)報首部的“偽首部”。盡管 UDP校驗(yàn)和的基本計算方法與 IP 首部校驗(yàn)和的計算方法類似（ 16bit字的二進(jìn)制反碼和），但是它們之間存在不同的地方， UDP數(shù)據(jù)報長度可以為奇數(shù)字節(jié) ，但是校驗(yàn)和的算法是把若干個16bit字相加。解決方法是必要時在最后增加填充字節(jié) 0，這只是為了校驗(yàn)和的計算（也就是說，可能增加的填充字節(jié)不被傳送）。 UDP數(shù)據(jù)報和 TCP段都包含一個 12字節(jié)長的偽首部，它是為了計算校驗(yàn)和而設(shè)置的。偽首部包含 IP首部一些字段，其目的是讓 UDP兩次檢查數(shù)據(jù)是否已經(jīng)正確到達(dá)目的地（例如， IP有沒有接受地址不是本主機(jī)的數(shù)據(jù)報，以及 IP有沒有把應(yīng)傳給另一高層的數(shù)據(jù)報傳送給 UDP）。 UDP數(shù)據(jù)報中的偽首部格式如圖 26所示： 石河子大學(xué)學(xué)士學(xué)位論文 第二章 網(wǎng)絡(luò)協(xié)議及協(xié)議仿真技術(shù) 9 圖 26 UDP 數(shù)據(jù)報的偽首部格式 4） ICMP ICMP與 IP位于同一層，它被用來傳送 IP的的控制信息。它主要是用來提供有關(guān)通向目的地址的路徑信息。 IP協(xié)議提供的是面向無連接的服務(wù)，不存在關(guān)于網(wǎng)絡(luò)連接的建立和維護(hù)過程，也不包括流量控制與差錯控制功能 ,但需要對網(wǎng)絡(luò)的狀態(tài)有一些了解，因此在網(wǎng)際層提供了因特網(wǎng)控制消息協(xié)議（ Inter control message protocol，簡稱 ICMP）來檢測網(wǎng)絡(luò)，包括路由、擁塞、服務(wù)質(zhì)量等問題。在網(wǎng)絡(luò)中， ICMP報文將作為 IP層數(shù)據(jù)報的數(shù)據(jù)，封裝在 IP數(shù)據(jù)報中進(jìn)行傳輸，如圖 27所示 ,但 ICMP并不是高層協(xié)議，而仍被 視為網(wǎng)絡(luò)層協(xié)議。 圖 27 ICMP 數(shù)據(jù)在 IP 數(shù)據(jù)報中的封裝 ICMP報文的類型很多，且各自又有各自的代碼，因此， ICMP并沒有一個統(tǒng)一的報文格式，不同的 ICMP類別分別有不同的報文字段。 ICMP報文只是在前 4個字節(jié)有統(tǒng)一的格式，共有類型、代碼和校驗(yàn)和 3個字段。如圖 28所示。 圖 28 ICMP 報文的格式 其中類型字段表示 ICMP報文的類型；代碼字段是為了進(jìn)一步區(qū)分某種類型的幾種不同情況；校驗(yàn)和字段用來檢驗(yàn)整個 ICMP報文，接著的 4個字節(jié)的內(nèi)容與 ICMP的類型有關(guān)，再后面是數(shù)據(jù)字段，其長度取決于 ICMP的類型。 5） TCP 和 UDP 的端口結(jié)構(gòu) TCP和 UDP服務(wù)通常有一個客戶 /服務(wù)器的關(guān)系，例如，一個 Tel服務(wù)進(jìn)程開始在系統(tǒng)上處于空閑狀態(tài)，等待著連接。用戶使用 Tel客戶程序與服務(wù)進(jìn)程建立一個連接?？蛻舫绦蛳蚍?wù)石河子大學(xué)學(xué)士學(xué)位論文 第二章 網(wǎng)絡(luò)協(xié)議及協(xié)議仿真技術(shù) 10 進(jìn)程寫入信息，服務(wù)進(jìn)程讀出信息并發(fā)出響應(yīng)，客戶程序讀出響應(yīng)并向用戶報告。因而，這個連接是雙工的，可以用來進(jìn)行讀寫。 數(shù)據(jù)包在 TCP/IP 網(wǎng)絡(luò)中的封裝解封過程 數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時要經(jīng)過封裝和解封的過程，這是兩個正好相反的過程，一個組包，一個解包，下面是數(shù)據(jù)包在網(wǎng)絡(luò)中封裝的過程：首先，計算機(jī) 生成用戶數(shù)據(jù)，數(shù)據(jù)經(jīng)過應(yīng)用層后，被加上應(yīng)用層協(xié)議的首部，然后傳遞到傳輸層變成了傳輸層的數(shù)據(jù)單元，傳輸層把收到的大的報文分割成小的包，再給每一個包加上這一層的報文頭，如 TCP頭或者 UDP頭，形成新的數(shù)據(jù)單元然后再交給網(wǎng)絡(luò)層，網(wǎng)絡(luò)層又在各個數(shù)據(jù)包上加上自己的 IP頭部，包括源 IP及目的 IP，以方便路由，這樣就到了網(wǎng)絡(luò)接口層，這一層給到來的數(shù)據(jù)加上鏈路層的頭部和尾部，此處是以太網(wǎng)頭部和尾部，最后形成比特流傳輸?shù)骄€路上。包的封裝過程如圖 29所示： 當(dāng)數(shù)據(jù)到達(dá)網(wǎng)絡(luò)另一端的計算機(jī)時，又經(jīng)過相反的解包過程：首先，數(shù)據(jù)鏈路 層接收到從另一端計算機(jī)發(fā)過來的數(shù)據(jù)幀，并由鏈路層的協(xié)議來讀取數(shù)據(jù)幀的內(nèi)容，對于以太網(wǎng)的數(shù)據(jù)鏈路層幀其中有一個字段是標(biāo)志上層協(xié)議的，此處我們假設(shè)是 IP協(xié)議，鏈路層協(xié)議會把以太網(wǎng)首部和尾部都去掉，然后把數(shù)據(jù)交給上層的網(wǎng)絡(luò)層，數(shù)據(jù)經(jīng)過網(wǎng)絡(luò)層的處理去掉 IP 首部后交給相應(yīng)的上層協(xié)議TCP或 UDP去處理，同樣道理， TCP或 UDP協(xié)議經(jīng)過對數(shù)據(jù)的處理后去掉 TCP或 UDP頭部，又把數(shù)據(jù)交給應(yīng)用層去處理，最終還原成用戶數(shù)據(jù)，這就是數(shù)據(jù)進(jìn)入?yún)f(xié)議棧時的解封過程，如圖 210所示： 圖 29 數(shù)據(jù)進(jìn)入?yún)f(xié)議棧時的封裝過程 石河子大學(xué)學(xué)士學(xué)位論文 第二章 網(wǎng)絡(luò)協(xié)議及協(xié)議仿真技術(shù) 11 圖 210 數(shù)據(jù)進(jìn)入?yún)f(xié)議棧時的解封過程 數(shù)據(jù)在協(xié)議棧里面的封裝與解封的原理是網(wǎng)絡(luò)數(shù)據(jù)包捕獲和進(jìn)行協(xié)議分析的基礎(chǔ)，本論文所構(gòu)建的數(shù)據(jù)包嗅探器就運(yùn)用了上述的封裝解封原理，并對所捕獲的數(shù)據(jù)包以協(xié)議樹的形式來顯示包內(nèi)所包含的協(xié)議層次結(jié)構(gòu)，另外，本論文最高只是涉及到傳輸層的 TCP和 UDP協(xié)議的解析，考慮到因特網(wǎng)應(yīng)用層協(xié)議的繁多，并且有可能涉及到加密與解密等一系列的問題，如果要對應(yīng)用層協(xié)議進(jìn)行支持，必須首先去了解掌握這種協(xié)議，然后加入相應(yīng)的應(yīng)用層協(xié)議解析模塊，由于涉及到眾多問題，所以本論文目前并不支持應(yīng)用層協(xié)議的解 析，將留待下一步繼續(xù)研究。 仿真技術(shù)簡介 本課題做的網(wǎng)絡(luò)協(xié)議仿真軟件實(shí)際是嗅探器，嗅探器是指運(yùn)行在 TCP/IP協(xié)議、以太網(wǎng)協(xié)議、IPX協(xié)議或者其他協(xié)議的網(wǎng)絡(luò)上，可以獲取網(wǎng)絡(luò)信息流的軟件或硬件，硬件形式的 Sniffer稱為網(wǎng)絡(luò)分析儀，一般都是商業(yè)性的，價格也比較貴。軟件形式的 Sniffer有很多，其優(yōu)點(diǎn)是價格便宜，易于學(xué)習(xí)使用，缺點(diǎn)是無法抓取網(wǎng)絡(luò)上所有的傳輸，某些情況下也就無法真正了解網(wǎng)絡(luò)的運(yùn)行情況[2][3]。現(xiàn)在的嗅探器一般都是指軟件意義上的，而不是硬件意義上的，軟件嗅探器成本要比硬件嗅探器低得多，并且使 用方便，但是在性能方面會比硬件嗅探器差，后者一般是用在要求比較高的地方。 通過對國內(nèi)外的文獻(xiàn)調(diào)研發(fā)現(xiàn)，網(wǎng)絡(luò)嗅探中的數(shù)據(jù)包捕獲主要可以分兩種方式 [1]，一種是基于操作系統(tǒng)內(nèi)核的，如 Unix、 Linux系統(tǒng)，它們系統(tǒng)內(nèi)核本身就提供包捕獲機(jī)制；第二種就是基于外界提供的驅(qū)動程序庫，如 Unix下的 Libpcap和 Windows下的 WinPcap。由操作系統(tǒng)內(nèi)核提供的捕獲機(jī)制主要有以下四種： BPF(Berkeley Packet Filter)， DLPI(Data Link Provider Interface)，NIT(Network Interface Tap)， SOCK_PACKET套接口。其中 BPF由基于 BSD的 Unix系統(tǒng)內(nèi)核所實(shí)石河子大學(xué)學(xué)士學(xué)位論文 第二章 網(wǎng)絡(luò)協(xié)議及協(xié)議仿真技術(shù) 12 現(xiàn)，而 DLPI是 Solaris系統(tǒng)的子系統(tǒng)，對于 NIT則是 SunOS 4系統(tǒng)的一部分，但在 Solaris系統(tǒng)中已經(jīng)被 DLPI取代， Linux系統(tǒng)內(nèi)核則實(shí)現(xiàn)了 SOCK_PACKET的包捕獲機(jī)制。從性能上看， BPF比DLPI及 NIT效率要高的多，而 SOCK_PACKET最差。 嗅探器是網(wǎng)絡(luò)管理員用來管理網(wǎng)絡(luò)的一種工具，通過嗅探器可監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌?。但是黑?們也常通過嗅探器對網(wǎng)絡(luò)進(jìn)行攻擊，網(wǎng)絡(luò)嗅探技術(shù)在給管理員帶來方便的同時，對網(wǎng)絡(luò)信息安全也構(gòu)成了潛在的威脅。 一臺計算機(jī)和其他計算機(jī)進(jìn)行通訊，一般都需要安裝一塊網(wǎng)卡，嗅探器要想工作，首先要有網(wǎng)卡的支持，由網(wǎng)卡來負(fù)責(zé)接收和發(fā)送網(wǎng)絡(luò)數(shù)據(jù)。每塊網(wǎng)卡在出廠時都有一個全球唯一的 48bit長的MAC地址，這樣就保證了網(wǎng)卡地址的唯一性。 在以太網(wǎng)上，數(shù)據(jù)是以很小的稱為幀 (Frame)的單位傳輸?shù)模粋€數(shù)據(jù)幀有以下幾部分組成，如表 24。 (1)目的 MAC地址 (2)源 MAC地址 (3)0800(表示承載的 IPv4)(4)IP頭 (5)TCP頭或 UDP頭(6)數(shù)據(jù) (7)校驗(yàn)和。 表 24 數(shù)據(jù)鏈路層幀格式 目的 MAC地址 源 MAC地址 0800(表示承載的 IPv4) IP頭 TCP頭或 UDP頭 數(shù)據(jù) 校驗(yàn)和 計算機(jī)所直接傳送的數(shù)據(jù)是大量的二進(jìn)制數(shù)據(jù)即比特流，在數(shù)據(jù)鏈路層被稱為幀。數(shù)據(jù)發(fā)送和接收的過程是：計算機(jī)發(fā)送數(shù)據(jù)時，數(shù)據(jù)從應(yīng)用層向物理層向下傳遞，此過程不斷加上每一層的頭部，逐步包裝成鏈路層數(shù)據(jù)幀，然后通過網(wǎng)卡發(fā)送到線路上，到達(dá)目的計算機(jī)后，再執(zhí)行相反的解包過程，最終把數(shù)據(jù)交給應(yīng)用層協(xié)議處理，還原成真實(shí)數(shù)據(jù)。對于一個嗅探 器來說，也必須使用特定的網(wǎng)絡(luò)協(xié)議如 TCP協(xié)議來分解嗅探到的數(shù)據(jù)，這就要求嗅探器本身提供對這種協(xié)議的解碼支持，只有這樣才能夠進(jìn)行正確的解碼看到數(shù)據(jù)包里面的數(shù)據(jù)。另外，嗅探器一般是部署到網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵位置如路由器和服務(wù)器上面的。網(wǎng)絡(luò)嗅探在局域網(wǎng)中的應(yīng)用比較廣泛，按照嗅探環(huán)境的不同，可以分為共享式網(wǎng)絡(luò)嗅探和交換式網(wǎng)絡(luò)嗅探。前者相對發(fā)展較早，只要將網(wǎng)卡設(shè)置為混雜模式，并輔以相應(yīng)的捕獲程序即可達(dá)到嗅探的目的。隨著交換機(jī)的普及，交換式網(wǎng)絡(luò)嗅探也有了一定的發(fā)展。交換式網(wǎng)絡(luò)嗅探區(qū)別于共享式網(wǎng)絡(luò)嗅探的地方是它主要利用交換網(wǎng)工 作機(jī)制中的漏洞來實(shí)現(xiàn)。知道了嗅探器的工作原理，我們應(yīng)該認(rèn)識到嗅探器并不是專為網(wǎng)絡(luò)攻擊入侵而開發(fā)的，其實(shí)一些網(wǎng)絡(luò)診斷命令就屬于嗅探器的范疇，利用嗅探器可以幫助我們檢查底層傳輸數(shù)據(jù)封包的能力，對網(wǎng)絡(luò)進(jìn)行診斷。 石河子大學(xué)學(xué)士學(xué)位論文 第二章 網(wǎng)絡(luò)協(xié)議及協(xié)議仿真技術(shù) 13 反嗅探措施 嗅探的檢測 嗅探作為一種重要的網(wǎng)絡(luò)安全技術(shù)手段，應(yīng)得到網(wǎng)絡(luò)安全人員的充分認(rèn)識。由于共享式以太網(wǎng)中的監(jiān)聽原理非常簡單，而且又不干擾正常的網(wǎng)絡(luò)通信，所以發(fā)生在其中的嗅探行為很難被發(fā)現(xiàn)。同時，隨著交換式局域網(wǎng)的流行，網(wǎng)絡(luò)監(jiān)聽也已經(jīng)出現(xiàn)在交換式局域網(wǎng)中，因此，如何有效地檢測和發(fā)現(xiàn)局域網(wǎng)中的嗅探行為并進(jìn) 行相應(yīng)的防范己成為維護(hù)局域網(wǎng)安全非常重要的環(huán)節(jié)。盡管網(wǎng)絡(luò)嗅探比較隱蔽不易被發(fā)覺，但仍然可以采用以下幾種方法加以防范。 (1)采用加密手段對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以密文形式傳輸，即使入侵者監(jiān)聽到了傳輸?shù)臄?shù)據(jù)包信息，也不能立刻理解其中的含義，還需要再進(jìn)一步的破解，自然增加了監(jiān)聽的難度。例如 Tel、FTP等采用 SSH2進(jìn)行傳輸數(shù)據(jù)，它是提