【文章內(nèi)容簡介】 據(jù)端口是 20H，控制端口是 21H。Tel 服務(wù)是用戶遠程登錄服務(wù)，使用 23H 端口，使用明碼傳送，保密性差、簡單方便。DNS(Domain Name Service）是域名解析服務(wù)，提供域名到 IP 地址之間的轉(zhuǎn)換，使用端口 53。SMTP(Simple Mail Transfer Protocol）是簡單郵件傳輸協(xié)議，用來控制信件的發(fā)送、中轉(zhuǎn)，使用端口 25。NFS（Network File System）是網(wǎng)絡(luò)文件系統(tǒng)，用于網(wǎng)絡(luò)中不同主機間的文件共享。HTTP(Hypertext Transfer Protocol）是超文本傳輸協(xié)議，用于實現(xiàn)互聯(lián)網(wǎng)中的WWW 服務(wù)，使用端口 80[8]。 OSI 模型OSI 是 Open System Interconnect 的縮寫，意為開放式系統(tǒng)互聯(lián)。 一般都叫OSI 參考模型，是 ISO（國際標準化組織）組織在 1985 年研究的網(wǎng)絡(luò)互聯(lián)模型。該體系結(jié)構(gòu)標準定義了網(wǎng)絡(luò)互連的七層框架。主要如下：(1)應(yīng)用層(Application Layer)應(yīng)用層是 OSI 參考模型的頂層，該層通過應(yīng)用程序來完成用戶的需求，是用戶與網(wǎng)絡(luò)的接口。主要完成文件傳輸、收發(fā)電子郵件等功能。(2)表示層(Presentation Layer)早期的表示層用來轉(zhuǎn)化字符數(shù)據(jù)的編碼等顯示相關(guān)功能?，F(xiàn)在由于應(yīng)用層能完成一部分表示層功能，因此功能有所淡化。寧波工程學(xué)院本科畢業(yè)設(shè)計論文12(3)會話層(Session Layer)會話指的是用戶與用戶的連接。會話層負責在兩臺計算機之間建立，管理和終止通信，就如同兩臺計算機之間的對話。會話層因此而得名。(4)傳輸層(Transport Layer)傳輸層是整個 OSI 模型中最關(guān)鍵的一層，是模型中的中心層，充當心臟的作用。在它之下的層級實現(xiàn)通信，而它之上的層級則對通信進行管理。它負責數(shù)據(jù)傳輸和控制，提供端到端的數(shù)據(jù)控制。傳輸層獨立于物理網(wǎng)絡(luò)運行。另外它還負責數(shù)據(jù)重傳任務(wù)。(5)網(wǎng)絡(luò)層(Network Layer)網(wǎng)絡(luò)層定義了通信的協(xié)議，它把邏輯地址轉(zhuǎn)換成物理地址。同時，網(wǎng)絡(luò)層還提供選擇路由功能，路由器的功能就在這一層實現(xiàn)。它為傳輸層提供支持。(6)數(shù)據(jù)鏈路層(Data Link Layer)數(shù)據(jù)鏈路層位于物理層與網(wǎng)絡(luò)層之間。在數(shù)據(jù)鏈路層上傳輸?shù)臄?shù)據(jù)為幀。該層的目的是保證在節(jié)點之間傳輸數(shù)據(jù)幀的正確性。(7)物理層(Physical Layer)物理層是 OSI 參考模型的最底層。顧名思義，它為數(shù)據(jù)傳輸建立物理連接。完成通過物理線路在兩個節(jié)點間傳輸比特流 [9]。 TCP/IP 模型和 OSI 模型的關(guān)系TCP/IP 協(xié)議并不能夠與 OSI 模型完全匹配，TCP/IP 不是使用 7 層，而是使用 4 層，它通常也叫做 Inter 協(xié)議套件，它分為下面的 4 層：1. 網(wǎng)絡(luò)接口層2. 互連網(wǎng)層3. 傳輸層4. 應(yīng)用層這 4 層的每一層對應(yīng)于 OSI 模型的一層或者多個層。表 21 TCP/IP 協(xié)議簇和 OSI 對應(yīng)層級比較OSI 層級 TCP/IP 協(xié)議 功能應(yīng)用層 TFTP,HTTP,SNMP,FTP 等 文件傳輸，電子郵件，文件服務(wù)等表示層 無 數(shù)據(jù)格式化，代碼轉(zhuǎn)換，數(shù)據(jù)加密寧波工程學(xué)院本科畢業(yè)設(shè)計論文13會話層 無 解除或建立別的連接點聯(lián)系傳輸層 TCP,UDP 提供端對端的接口網(wǎng)絡(luò)層 IP,ICMP,OSPF,ARP 等 為數(shù)據(jù)包選擇路由數(shù)據(jù)鏈路層 SLIP,PPP,MTU,RARP 等 傳輸有地址的幀以及錯誤檢測功能物理層 ISO2110,IEEE802 等 二進制形式在物理媒體上傳輸數(shù)據(jù)TCP/IP 協(xié)議簇對應(yīng) OSI 的相應(yīng)層級，如下圖所示：應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層T E L N E TS M T PT F T PF T PT C P U D PI P , I C M P , A R PO S I 參考模型 T C P / I P 協(xié)議簇圖 21 TCP/IP 協(xié)議簇對應(yīng) OSI 的相應(yīng)層級寧波工程學(xué)院本科畢業(yè)設(shè)計論文14 主要數(shù)據(jù)包結(jié)構(gòu) 以太網(wǎng)幀格式以太網(wǎng)幀是 OSI 參考模型數(shù)據(jù)鏈路層的封裝。它是對網(wǎng)絡(luò)層傳輸?shù)臄?shù)據(jù)包加上幀頭幀尾進行封裝，從而構(gòu)成了可被數(shù)據(jù)鏈路層識別的數(shù)據(jù)幀。在以太網(wǎng)幀當中，幀頭和幀尾的數(shù)據(jù)大小是固定不變的，但是因為被封裝的數(shù)據(jù)包大小是可變的，所以以太網(wǎng)幀的大小是可變不固定的。大小范圍在 641518 字節(jié)之間。以太網(wǎng) V2 的 MAC 幀格式。該標準由 5 個字段組成：目的地址、源地址、類型、數(shù)據(jù)報、效驗。前導(dǎo)碼：包括同步碼（用來使局域網(wǎng)中的所有節(jié)點同步，7 字節(jié)長）和幀標志（幀的起始標志，1 字節(jié)）兩部分；目的地址：接收端的 MAC 地址，6 字節(jié)長；源地址：發(fā)送端的 MAC 地址，6 字節(jié)長；類型：數(shù)據(jù)包的類型（即上層協(xié)議的類型） ，2 字節(jié)長；數(shù)據(jù)：被封裝的數(shù)據(jù)包，461500 字節(jié)長：校驗碼：錯誤檢驗，4 字節(jié)長。分析每一幀可以得到此數(shù)據(jù)包的源 MAC 地址和目的 MAC 地址，并且可以得到 IP 數(shù)據(jù)報的完整內(nèi)容（如果是 ARP 協(xié)議則沒有 IP 數(shù)據(jù)包） 。IP 數(shù)據(jù)報的第4 至 7 位是 IP 首部長度，該字段可以用來準確定位上層協(xié)議的起始位置。第 10字節(jié)是協(xié)議字段，指出該 IP 數(shù)據(jù)報攜帶的數(shù)據(jù)使用何種協(xié)議。以太網(wǎng)頭數(shù)據(jù)結(jié)構(gòu)描述如下：typedef struct ether_header{u_char dstmac[6]。 //目標 mac 地址u_char srcmac[6]。 //源 mac 地址u_short eth_type。 //以太網(wǎng)類型}ether_header。 [10]寧波工程學(xué)院本科畢業(yè)設(shè)計論文15 IP 數(shù)據(jù)包格式圖 22 IP 數(shù)據(jù)報首部的組成表 22 IP 數(shù)據(jù)包總體結(jié)構(gòu)數(shù)據(jù)包IP 首部 信息首部（如TCP、UDP 首部）數(shù)據(jù)以太網(wǎng) V2 標準的主要特點是通過類型域標識了封裝在幀里的數(shù)據(jù)包所采用的協(xié)議，類型域是一個有效的指針，通過它，數(shù)據(jù)鏈路層就可以承載多個上層（網(wǎng)絡(luò)層）協(xié)議。但是，它的缺點是沒有標識幀長度的字段。根據(jù)前面的定義，數(shù)據(jù)包一般都從數(shù)據(jù)鏈路層獲取，因此，本軟件按照獲取數(shù)據(jù)格式的先后，先處理鏈路層之上的數(shù)據(jù)幀，之后分別是網(wǎng)絡(luò)層，傳輸層以及應(yīng)用層上的數(shù)據(jù)。在對數(shù)據(jù)鏈路層上的太網(wǎng)幀進行分析之后，我們就可以得到 IP數(shù)據(jù)包。IP 數(shù)據(jù)包數(shù)據(jù)結(jié)構(gòu)描述如下:typedef struct ip_header { u_char ihl:4。 /*首部長度(4 bits)*/ u_char ver:4。/*版本(4 bits)*/u_char tos。 /* 服務(wù)類型 */ u_short tlen。 /*總長度*/ 寧波工程學(xué)院本科畢業(yè)設(shè)計論文16u_short identification。 /*標識*/ u_short fo:13。 /*片偏移(13 bits)*/ u_short flags:3。/*標志 (3 bits) */u_char ttl。 /*生存時間*/ u_char proto。 /*協(xié)議*/ u_short crc。 /*首部檢驗和 */ ip_address saddr。/*源地址*/ ip_address daddr。/*目標地址*/ u_int op_pad。 /*可選+填充*/ }ip_header。 TCP 數(shù)據(jù)報圖 23 TCP 數(shù)據(jù)報的組成源端口和目的端口字段——各占 2 字節(jié)。端口是傳輸層與應(yīng)用層的服務(wù)接口。傳輸層的復(fù)用和分用功能都要通過端口才能實現(xiàn)。序號字段——占 4 字節(jié)。TCP 連接中傳送的數(shù)據(jù)流中的每一個字節(jié)都編上一個序號。序號字段的值則指的是本報文段所發(fā)送的數(shù)據(jù)的第一個字節(jié)的序號。確認號字段——占 4 字節(jié)，是期望收到對方的下一個報文段的數(shù)據(jù)的第一個字節(jié)的序號。數(shù)據(jù)偏移——占 4bit，它指出 TCP 報文段的數(shù)據(jù)起始處距離 CP 報文段的起始處有多遠。 “數(shù)據(jù)偏移” 的單位不是字節(jié)而是 32bit 字（4 字節(jié)為計算單位） 。寧波工程學(xué)院本科畢業(yè)設(shè)計論文17保留字段——占 6bit，保留為今后使用，但目前應(yīng)置為 0。緊急比特 URG——當 URG＝1 時，表明緊急指針字段有效。它告訴系統(tǒng)此報文段中有緊急數(shù)據(jù)，應(yīng)盡快傳送(相當于高優(yōu)先級的數(shù)據(jù))。確認比特 ACK——只有當 ACK＝1 時確認號字段才有效。當 ACK＝0 時，確認號無效。復(fù)位比特 RST(Reset) —— 當 RST＝1 時，表明 TCP 連接中出現(xiàn)嚴重差錯（如由于主機崩潰或其他原因） ，必須釋放連接，然后再重新建立運輸連接。同步比特 SYN——同步比特 SYN 置為 1，就表示這是一個連接請求或連接接受報文。終止比特 FIN——用來釋放一個連接。當 FIN＝1 時，表明此報文段的發(fā)送端的數(shù)據(jù)已發(fā)送完畢，并要求釋放運輸連接。窗口字段——占 2 字節(jié)。窗口字段用來控制對方發(fā)送的數(shù)據(jù)量，單位為字節(jié)。TCP 連接的一端根據(jù)設(shè)置的緩存空間大小確定自己的接收窗口大小，然后通知對方以確定對方的發(fā)送窗口的上限。檢驗和——占 2 字節(jié)。檢驗和字段檢驗的范圍包括首部和數(shù)據(jù)這兩部分。在計算檢驗和時，要在 TCP 報文段的前面加上 12 字節(jié)的偽首部。緊急指針字段——占 16bit。緊急指針指出在本報文段中的緊急數(shù)據(jù)的最后一個字節(jié)的序號。選項字段——長度可變。TCP 首部可以有多達 40 字節(jié)的可選信息，用于把附加信息傳遞給終點，或用來對齊其它選項。填充字段——這是為了使整個首部長度是 4 字節(jié)的整數(shù)倍。TCP 數(shù)據(jù)報的數(shù)據(jù)結(jié)構(gòu)描述如下：typedef struct tcp_header //20 bytes : default{u_short sport。 //源端口u_short dport。 //目標端口u_long seqno。 //Sequence nou_long ackno。 //Ack nou_char reserved_1:4。 //保留 6 位中的 4 位首部長度寧波工程學(xué)院本科畢業(yè)設(shè)計論文18u_char offset:4。 //tcp 頭部長度u_char flag:6。 //6 位標志u_char reserved_2:2。 //保留 6 位中的 2 位u_short win。u_short checksum。u_short uptr。}tcp_header。 WinPCap 簡介WinPCap 是在 Windows 環(huán)境下的鏈路層網(wǎng)絡(luò)訪問的行業(yè)標準工具。它允許應(yīng)用程序繞過協(xié)議棧進行數(shù)據(jù)捕獲和發(fā)送，并且還有其他的功能，其中包括內(nèi)核級別的包過濾，網(wǎng)絡(luò)流量統(tǒng)計以及遠程數(shù)據(jù)包捕獲等功能。WinPCap 擴展了操作系統(tǒng)所提供的低級別的網(wǎng)絡(luò)訪問功能，它也提供了一個庫用于更方便的訪問網(wǎng)絡(luò)層級中的底層。該庫也包含了 UNIX 下的眾所周知的libpcap API 的 Windows 版本 [11][12]。WinPCap 主要提供以下功能：(1)捕獲原始數(shù)據(jù)包，無論它是發(fā)往某臺機器的，還是在其他設(shè)備（共享媒介）上進行交換的，在數(shù)據(jù)包發(fā)送給某應(yīng)用程序前，根據(jù)用戶指定的規(guī)則過濾數(shù)據(jù)包，將原始數(shù)據(jù)包通過網(wǎng)絡(luò)發(fā)送出去。(2)設(shè)置 filter,只捕獲自己敢興趣的數(shù)據(jù)包。(3)方便的把捕獲的數(shù)據(jù)包輸出到文件和從文件輸入。(4)統(tǒng)計網(wǎng)絡(luò)流量。 WinPCap 主要函數(shù) 結(jié)構(gòu)體，表示適配器列表中的一項。struct pcap_if { struct pcap_if *next。 char *name。 /* name to hand to pcap_open_live() */ char *description。 /* textual description of interface, or NULL */寧波工程學(xué)院本科畢業(yè)設(shè)計論文19 struct pcap_addr *addresses。 bpf_u_int32 flags。 /* PCAP_IF_ interface flags */() 獲取適配器列表，返回 0 表示正常， 1 表示出錯。int pcap_findalldevs_ex(char *source, struct pcap_rmtauth *auth, pcap_if_t **alldevs, char *errbuf)。() 釋放適配器鏈表空間。void pcap_freealldevs(pcap_if_t *)。() 通過名字打開適配器。pcap_t *pcap_open(const char *source, int snaplen, int flags, int read_timeout, struct pcap_rmtauth *auth, char *errbuf)。() 編譯數(shù)據(jù)包過濾器，將程序中高級的過濾表達式，轉(zhuǎn)換成能被內(nèi)核級的過濾引擎所處理的東西。對于 bpf_program 結(jié)構(gòu)體我們只需要知道它是 pcap_pile()最終要得到用來過濾的東西。 [13]int pcap_pile(pcap_t *, struct bpf_program *, const char *, int, bpf_u_int32)