【文章內容簡介】 關函數(shù)。 (2)基于 windows 的數(shù)據(jù)包捕獲方案有以下幾種 : l)使用原始套接字 (rawsocket)機制。方法簡單，但功能有限，只能捕獲較高層的數(shù)據(jù)包。在創(chuàng)建 了原始套接字后，需要通過 setsockopt()函數(shù)來設置 IP 頭操作選項，然后再通過 bind()函數(shù)將原始套接字綁定到本地網(wǎng)卡。為了讓原始套接字能接受所有的數(shù)據(jù)，還需要通過 ioctisocket()來進行設置，而且還可以指定是否親自處理 IP 頭。至此，實際就可以開始對網(wǎng)絡數(shù)據(jù)包進行監(jiān)聽了，對數(shù)據(jù)包的獲取仍象流式套接字或數(shù)據(jù)報套接字那樣通過 recvo 函數(shù)來完成 .但是與其他兩種套接字不同的是，原始套接字此時捕獲到的數(shù)據(jù)包并不僅僅是單純的數(shù)據(jù)信息，而是包含有 IP 頭、 TCP 頭等信息頭的最原始的數(shù)據(jù)信息，這些信息保留了 它在網(wǎng)絡傳輸時的原貌。通過對這些在低層傳輸?shù)脑夹畔⒌姆治隹梢缘玫接嘘P網(wǎng)絡的一些信息。由于這些數(shù)據(jù)經(jīng)過了網(wǎng)絡層和傳輸層的打包，因此需要根據(jù)其附加的幀頭對數(shù)據(jù)包進行分析 。 2)直接連接調用 NDIS 庫函數(shù)，這種方法功能非常強大，但是比較危險，很可能導致系統(tǒng)崩潰和網(wǎng)絡癱瘓 。 3)使用或者自行編寫中間層驅動程序，這是微軟公司推薦使用的一種方法，微軟提供的 win2020DDK 中也提供了幾個這樣的驅動程序。在具體的實現(xiàn)方式上可分為用戶級和內核級兩類。其中內核級主要是 TDI 捕獲過濾驅動程序，NDIS 中間層捕獲過濾驅動程序 ， NDIS 捕獲過濾鉤子 (Hook)驅動程序等，它們都是利用網(wǎng)絡驅動來實現(xiàn)的 。而用戶級的包括 SPI 接口， Windows2020 包捕獲過濾接口等 。 (4)使用第三方捕獲組件或者庫，比如 Winpcap。 表 是包括了上述的捕包機制的常用包捕獲機制表 表 常用的包捕獲機制 包捕獲機制 系統(tǒng)平臺 備注 BPF BSD 系列 Berkeley Packet Filter DLPI Solaris,HPUX SCO Open sever Data Link Provider Interface NIT SunOS 3 Network Interface Tap SNOOP IRIX None SNIT SunOS 4 Streams Network 第 8 頁 共 27 頁 Interface Tap SOCKPACKET Linux None LSF =Linux Linux Socket Filter Drain IRIX 用于竊聽系統(tǒng)丟棄的包 實際的應用中， Libpcap(the Paeket eapture Library)是網(wǎng)絡數(shù)據(jù)包捕獲的代表，它是專門的跨平臺的數(shù)據(jù)捕捉函數(shù)庫， 其捕獲機制就是 BPF。 Libpcap 是應用于Linux 系統(tǒng)的，而對于 windows 系統(tǒng)有相應的可兼容的 Winpcap 函數(shù)庫。開發(fā)Winpcap 的目的在于為 win32 應用程序提供訪問網(wǎng)絡底層的能力。 Libpcap/Winpcap 提供了以下的各項功能 : (1)捕獲原始數(shù)據(jù)包，包括在共享網(wǎng)絡上各主機發(fā)送 /接收的以及相互之間交換的數(shù)據(jù)包 。 (2)在數(shù)據(jù)包發(fā)往應用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)包過濾掉 : (3)在網(wǎng)絡上發(fā)送原始的數(shù)據(jù)包； (4)收集網(wǎng)絡通信過程中的統(tǒng)計信息。 Winpcap 的主要功能在于 獨立于主機協(xié)議 (如 TCP/IP)而發(fā)送和接收原始數(shù)據(jù)包。也就是說， Winpcap 不能阻塞、過濾或控制其他應用程序數(shù)據(jù)的發(fā)收，它僅僅只是監(jiān)聽共享網(wǎng)絡上傳送的數(shù)據(jù)，本文后面的章節(jié)會對這種技術作詳細的討論。 數(shù)據(jù)包過濾與分解 捕獲數(shù)據(jù)包后要進行的工作是對其進行包過濾與分解，用通俗的語言表達就是在海量的數(shù)據(jù)里面找感興趣的內容。不合理的過濾規(guī)則和程序會導致數(shù)據(jù)包丟失、來不及分析，嚴重的影響系統(tǒng)的工作效率，甚至導致系統(tǒng)崩潰一些基礎的過濾規(guī)則如下 : (1)站過濾 :專門篩選出來自一臺主機或者服務器的數(shù)據(jù) 。 (2)協(xié)議過濾 :根據(jù)不同的協(xié)議來篩選數(shù)據(jù)，例如 :選擇 TCP 數(shù)據(jù)而非 UDP 數(shù)據(jù) 。 (3)服務過濾 :根據(jù)端口號來選擇特定數(shù)據(jù)包 。 (4)通用過濾 :通過數(shù)據(jù)包中某一特定位置開始，選擇具有某些共同數(shù)據(jù)特征 第 9 頁 共 27 頁 的數(shù)據(jù)包 。 大部分情況下，過濾規(guī)則是上面基本規(guī)則的組合。有時，為了保證用戶設置的緩沖區(qū)被一些莫名其妙的無效數(shù)據(jù)溢出，必須在捕獲前進行粗過濾，然后在捕獲后再進行一次過濾。過濾完成后，為了使得緩沖區(qū)能處理的包更多，必須進行包分解 (Slice)，因為數(shù)據(jù)包最關鍵的部分在數(shù)據(jù)包的頭部。包分解時還要記住包的原始長度，包分解的原則是 對捕獲的包按照相應協(xié)議規(guī)定的數(shù)據(jù)結構來提取結構中每個字段的數(shù)據(jù)。 BPF 機制在這方面做的非常成功。 網(wǎng)絡協(xié)議分析 每一個網(wǎng)絡數(shù)據(jù)包都是基于某一個網(wǎng)絡協(xié)議產生的，所以分析網(wǎng)絡數(shù)據(jù)包必定要分析其協(xié)議的內容。由于網(wǎng)絡數(shù)據(jù)通信是要在相互公開協(xié)議的前提下對等進行的，所以對數(shù)據(jù)包進行協(xié)議的分析在原理上是可行的。 一般地，協(xié)議的分析過程是這樣的 :首先捕獲數(shù)據(jù)包，再進行相應的過濾和分解，最后進行具體的協(xié)議分析。本文要研究的 Libpcap 和 Winpcap 不但能夠捕獲網(wǎng)絡上的數(shù)據(jù)包，還由于其本身就是基于 BPF 包過濾機制 的，所以它們同樣具有數(shù)據(jù)包的過濾功能。具體地，由于網(wǎng)絡具有 051 的 7 層協(xié)議模型，協(xié)議數(shù)據(jù)是從上到下封裝后發(fā)送的，反過來，對于協(xié)議分析需要從下至上進行，首先對鏈路 層的協(xié)議識別后進行組包還原，再脫去鏈路層協(xié)議頭，接下去將里面的數(shù)據(jù)交給網(wǎng)絡層分析，這樣一直進行下經(jīng)過傳輸層直到應用層。 網(wǎng)絡協(xié)議分析技術除了應用到對捕獲的網(wǎng)絡數(shù)據(jù)進行分析得到數(shù)據(jù)包的協(xié)議內容 外，還可以應用到網(wǎng)絡流量統(tǒng)計、網(wǎng)絡監(jiān)視、網(wǎng)絡入侵檢測、網(wǎng)絡安全掃描等，可見網(wǎng) 絡協(xié)議分析是網(wǎng)絡數(shù)據(jù)捕獲技術之后的各種網(wǎng)絡安全策略的基礎。 本課題研究意義 有兩類人對于流動在網(wǎng)絡上的數(shù)據(jù)是非常感興趣的 :網(wǎng)絡管理員和黑客，他們都要對網(wǎng)絡上的以包為單位的數(shù)據(jù)流進行監(jiān)測。事實上，一個好的數(shù)據(jù)包監(jiān)測軟件通?？梢栽诰W(wǎng)絡管理和黑客技術的工具包中同時找到。黑客可以用數(shù)據(jù)包監(jiān)測軟件監(jiān)聽互聯(lián)網(wǎng)，并且追蹤一些敏感數(shù)據(jù)的交換如登錄對話和財經(jīng)交易 。網(wǎng)絡管理員可以用數(shù)據(jù)包監(jiān)測軟件監(jiān)視網(wǎng)絡的狀態(tài)、查找網(wǎng)絡漏洞，檢測網(wǎng)絡性能和 第 10 頁 共 27 頁 修復網(wǎng)絡的故障等。 所以，研究網(wǎng)絡數(shù)據(jù)的捕獲和網(wǎng)絡協(xié)議的分析不但能夠有利于管理網(wǎng)絡和維護網(wǎng)絡的健康運轉，更重要的還可以得知黑客對網(wǎng)絡攻擊的機理，有針對地進行入侵檢測， 進而避免黑客的攻擊破壞和對資料的竊取。 國內外研究有關現(xiàn)狀 當今網(wǎng)絡安全的研究 從廣義的網(wǎng)絡安全角度來講，近來國內外的研究主要集中在密碼理論與技術、安全協(xié)議理論與技術、安全體系結構理論與技術等方面。 密碼理論與技術是現(xiàn)代信息安全的核心問題，其基礎是可信信息系統(tǒng)的構建與評估主要包括兩部分，即基于數(shù)學的密碼理論與技術和非數(shù)學的密碼理論與技術。自從 1976 年公鑰密碼的思想提出以來，國際上己經(jīng)提出了許多種公鑰密碼體制，近年來又提出了許多新的密碼體系，如基于數(shù)學的分組密碼、序列密碼、認證碼、數(shù)字簽名、 Hash 函數(shù)、身份識別、密鑰管理、 PKI 技術等和基于非數(shù)學的信息隱形，量子密碼，基于生物特征的識別理論與技術等。 數(shù)據(jù)捕獲和協(xié)議分析只是網(wǎng)絡安全中協(xié)議部分的一個分支，而且由于還不能完全拋開現(xiàn)有的正在廣泛使用的不安全協(xié)議 (如 TCP/IP 等 )，所以對于當今網(wǎng)絡的協(xié)議分析在一段時間內還是研究的課題。但是，現(xiàn)在已經(jīng)部分使用和今后發(fā)展方向的是采用安全的協(xié)議。 安全協(xié)議的研究主要包括兩方面內容，即安全協(xié)議的安全性分析方法研究和各種實用安全協(xié)議的設計與分析研究。安全協(xié)議的安全性分析方法主要有兩類，一類是攻擊檢驗方法，一類 是形式化分析方法，其中安全協(xié)議的形式化分析方法是安全協(xié)議研究中最關鍵的研究問題之一，它的研究始于 80 年代初，目前正處于百花齊放，充滿活力的狀態(tài)之中。許多一流大學和公司的介入，使這一領域成為研究熱點。隨著各種有效方法及思想的不斷涌現(xiàn)，這一領域在理論上正在走向成熟。目前，在這一領域中比較活躍的群體包括 :以 Meadows 及 Syverson 為代表的美國空軍研究實驗室 。以 Roscoe 為代表的英國 Oxford 學院 。以 Bolignano 為代表的美國 IBM 公司 。以 及 為代表的美國 Stanford 大學 。以Stubblebine 為代表的美國 ATamp。T 實驗室 。以 Paulson為代表的英國 cambridge 學院 。以 Abadi 為代表的美國數(shù)據(jù)設備公司系統(tǒng)研究中心等等。除了這些群體外，許多較有實力的計算機科學系及公司都有專業(yè)人員從事這一領域的研究。 目前，已經(jīng)提出了大量的實用安全協(xié)議，代表的有 :電子商務協(xié)議， IPSec 協(xié) 第 11 頁 共 27 頁 議， TLS 協(xié)議，簡單網(wǎng)絡管理協(xié)議 (SNMP)， PGP 協(xié)議， PEM 協(xié)議， S 一 HTTP協(xié)議， S/MIME 協(xié)議等。實用安全協(xié)議的安全性分析特別是電子商務協(xié)議， IPSec協(xié)議， TLS 協(xié)議是當前 協(xié)議研究中 的另一個熱點。 現(xiàn)有的網(wǎng)絡測試分析系統(tǒng) 基于網(wǎng)絡數(shù)據(jù)捕獲和協(xié)議分析技術，可以應用成為廣義上的協(xié)議分析儀(ProtocofAnalyzer)，之所以這樣定義是因為有一些純軟件的，目的更側重于網(wǎng)絡數(shù)據(jù)捕獲和偵聽的協(xié)議分析系統(tǒng)又叫做嗅探器 (Sniffer)，而基于硬件或軟硬件結合的網(wǎng)絡數(shù)據(jù)捕獲和分析系統(tǒng)才叫協(xié)議分析儀。但在某些場合他們的分界是模糊的，因為它們在功能上都能捕獲并分析報文。實際上一些網(wǎng)管軟件，和一些網(wǎng)絡測試儀都使用了嗅探器技術。 純軟件的嗅探器很多，有 Tcpdump、 Nmap、 linuxsniffer、 Dsniff、 Ngrep、snifferpro/NetXray、甚至有專用于捕獲用戶名和密碼的 linsniffer、 winsniffer。所以 sniffer 技術本身就是一把雙刃劍，它們同時被網(wǎng)絡管理員和黑客在熟練地使用，既可以作為網(wǎng)絡故障的診斷工具，也可以作為黑客嗅探和監(jiān)聽的工具。 大多數(shù)的純軟件協(xié)議分析儀是可以使用普通的網(wǎng)卡來完成進行簡單的數(shù)據(jù)采集工作的，即協(xié)議分析軟件 +PC 網(wǎng)卡。其典型的功能是數(shù)據(jù)包的捕捉、協(xié)議的解碼、統(tǒng)計分析和數(shù)據(jù)流量的產生。用協(xié)議分析儀可以捕捉網(wǎng)上的實際流量、提取流量的特征，據(jù)此對網(wǎng)絡系統(tǒng)的流量進行模型化和特征化。此外，網(wǎng)絡協(xié)議分析儀還可以主動地產生大量的數(shù)據(jù)包施加到網(wǎng)絡上，分析網(wǎng)絡的響應或對網(wǎng)絡系統(tǒng)進行加重測試。目前典型的協(xié)議分析儀有 HP 公司的 Intemet Advisor(網(wǎng)絡專家系統(tǒng) )、 Fluke(福祿克公司 )的 optiview 一 PE、 WG 公司的 Domino 系列協(xié)議分析儀， NAI 公司出品的 Network Associates Sniffer Portable 等。但這類協(xié)議分析軟件無論在協(xié)議的解碼能力、解碼和數(shù)據(jù)分析的實時性以及數(shù)據(jù)流量的產生能力上與用專門硬件 實現(xiàn)的協(xié)議分析儀相比仍有差距。另一種就是采用專用的數(shù)據(jù)采集硬件的協(xié)議分析儀，應用于復雜和高速的網(wǎng)絡鏈路上，采用專用的數(shù)據(jù)采集箱有利于全線速地捕捉或更有效地進行實時數(shù)據(jù)過濾。 還有一些比協(xié)議分析儀更高層次的網(wǎng)絡性能測試工具，站在應用層的角度使用一些基準流量對網(wǎng)絡系統(tǒng)的性能進行分析，代表性的軟件是 Ganymede software 公司的 Chariot 軟件。另外還有一類軟件值得介紹，就是用于網(wǎng)絡系統(tǒng)規(guī)劃驗證的網(wǎng)絡系統(tǒng)模擬環(huán)境，國外己有一些這樣的軟件能對用典型的網(wǎng)絡技術或它們的組合構建的較大型的網(wǎng)絡系統(tǒng)進行模擬，但 往往價格十分昂貴。 從協(xié)議分析儀發(fā)展的角度來說，網(wǎng)絡維護人員越來越需要使用功能強大并能將多種網(wǎng)絡測試手段集于一身的綜合式測試分析手段，典型的協(xié)議分析儀上的功 第 12 頁 共 27 頁 能延展就是加入網(wǎng)管功能、自動網(wǎng)絡信息搜集功能、智能的專家故障診斷功能，并且移動性能要有效。這種綜合的協(xié)議分析儀或者說是綜合的網(wǎng)絡分析儀成為了當今網(wǎng)絡維護和測試儀的主要發(fā)展趨勢，像 Fluke 的 Opt View INA 手持式綜合協(xié)議分析儀自上市來在網(wǎng)絡現(xiàn)場分析、故障診斷、網(wǎng)絡維護方法得到了相當廣泛的應用和發(fā)展 隨著網(wǎng)絡維護規(guī)模的加大，網(wǎng)絡技術的變化，網(wǎng)絡關鍵 數(shù)據(jù)的采集也越來越困難。有時為了分析和采集數(shù)據(jù)，必須能在異地同時地進行采集，于是將協(xié)議分析儀的數(shù)據(jù)采集系統(tǒng)獨立開來，能安置在網(wǎng)絡的不同地方，由能控制多個采集器的協(xié)議分析儀平臺進行管理和數(shù)據(jù)處理，這種應用模式就誕生了分布式協(xié)議分析儀。通常這種方式的造價會非常高的。 本文所做的工作 本課題針對網(wǎng)絡數(shù)據(jù)包的捕獲和分析技術做了比較深入的闡述。在對當今網(wǎng)絡數(shù)據(jù)捕獲和分析的有關基本實現(xiàn)機理、方法和手段進行分析的基礎上，通過詳細地分析基于 BPF 的網(wǎng)絡數(shù)據(jù)包捕獲函數(shù)庫 Libpcap 和 winpcap 的工作機理和內部架構 ，描述了網(wǎng)絡數(shù)據(jù)包捕獲和分析程序的層次結構，給出了具體的通過調用Winpcap 來捕獲和分析數(shù)據(jù)包的程序的設計與實現(xiàn)方法。對于今后網(wǎng)絡數(shù)據(jù)的監(jiān)測和分析方案 (比如對無線網(wǎng)絡和交換環(huán)境捕獲和分析 )，本文也在最后部分做了相應的闡述和預測。 第 2 章 捕獲基礎及 L