【文章內(nèi)容簡介】 關(guān)函數(shù)。 (2)基于 windows 的數(shù)據(jù)包捕獲方案有以下幾種 : l)使用原始套接字 (rawsocket)機(jī)制。方法簡單，但功能有限，只能捕獲較高層的數(shù)據(jù)包。在創(chuàng)建 了原始套接字后，需要通過 setsockopt()函數(shù)來設(shè)置 IP 頭操作選項(xiàng)，然后再通過 bind()函數(shù)將原始套接字綁定到本地網(wǎng)卡。為了讓原始套接字能接受所有的數(shù)據(jù)，還需要通過 ioctisocket()來進(jìn)行設(shè)置，而且還可以指定是否親自處理 IP 頭。至此，實(shí)際就可以開始對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行監(jiān)聽了，對數(shù)據(jù)包的獲取仍象流式套接字或數(shù)據(jù)報(bào)套接字那樣通過 recvo 函數(shù)來完成 .但是與其他兩種套接字不同的是，原始套接字此時(shí)捕獲到的數(shù)據(jù)包并不僅僅是單純的數(shù)據(jù)信息，而是包含有 IP 頭、 TCP 頭等信息頭的最原始的數(shù)據(jù)信息，這些信息保留了 它在網(wǎng)絡(luò)傳輸時(shí)的原貌。通過對這些在低層傳輸?shù)脑夹畔⒌姆治隹梢缘玫接嘘P(guān)網(wǎng)絡(luò)的一些信息。由于這些數(shù)據(jù)經(jīng)過了網(wǎng)絡(luò)層和傳輸層的打包，因此需要根據(jù)其附加的幀頭對數(shù)據(jù)包進(jìn)行分析 。 2)直接連接調(diào)用 NDIS 庫函數(shù)，這種方法功能非常強(qiáng)大，但是比較危險(xiǎn)，很可能導(dǎo)致系統(tǒng)崩潰和網(wǎng)絡(luò)癱瘓 。 3)使用或者自行編寫中間層驅(qū)動程序，這是微軟公司推薦使用的一種方法，微軟提供的 win2020DDK 中也提供了幾個(gè)這樣的驅(qū)動程序。在具體的實(shí)現(xiàn)方式上可分為用戶級和內(nèi)核級兩類。其中內(nèi)核級主要是 TDI 捕獲過濾驅(qū)動程序，NDIS 中間層捕獲過濾驅(qū)動程序 ， NDIS 捕獲過濾鉤子 (Hook)驅(qū)動程序等，它們都是利用網(wǎng)絡(luò)驅(qū)動來實(shí)現(xiàn)的 。而用戶級的包括 SPI 接口， Windows2020 包捕獲過濾接口等 。 (4)使用第三方捕獲組件或者庫，比如 Winpcap。 表 是包括了上述的捕包機(jī)制的常用包捕獲機(jī)制表 表 常用的包捕獲機(jī)制 包捕獲機(jī)制 系統(tǒng)平臺 備注 BPF BSD 系列 Berkeley Packet Filter DLPI Solaris,HPUX SCO Open sever Data Link Provider Interface NIT SunOS 3 Network Interface Tap SNOOP IRIX None SNIT SunOS 4 Streams Network 第 8 頁 共 27 頁 Interface Tap SOCKPACKET Linux None LSF =Linux Linux Socket Filter Drain IRIX 用于竊聽系統(tǒng)丟棄的包 實(shí)際的應(yīng)用中， Libpcap(the Paeket eapture Library)是網(wǎng)絡(luò)數(shù)據(jù)包捕獲的代表，它是專門的跨平臺的數(shù)據(jù)捕捉函數(shù)庫， 其捕獲機(jī)制就是 BPF。 Libpcap 是應(yīng)用于Linux 系統(tǒng)的，而對于 windows 系統(tǒng)有相應(yīng)的可兼容的 Winpcap 函數(shù)庫。開發(fā)Winpcap 的目的在于為 win32 應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力。 Libpcap/Winpcap 提供了以下的各項(xiàng)功能 : (1)捕獲原始數(shù)據(jù)包，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送 /接收的以及相互之間交換的數(shù)據(jù)包 。 (2)在數(shù)據(jù)包發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)包過濾掉 : (3)在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)包； (4)收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息。 Winpcap 的主要功能在于 獨(dú)立于主機(jī)協(xié)議 (如 TCP/IP)而發(fā)送和接收原始數(shù)據(jù)包。也就是說， Winpcap 不能阻塞、過濾或控制其他應(yīng)用程序數(shù)據(jù)的發(fā)收，它僅僅只是監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)，本文后面的章節(jié)會對這種技術(shù)作詳細(xì)的討論。 數(shù)據(jù)包過濾與分解 捕獲數(shù)據(jù)包后要進(jìn)行的工作是對其進(jìn)行包過濾與分解，用通俗的語言表達(dá)就是在海量的數(shù)據(jù)里面找感興趣的內(nèi)容。不合理的過濾規(guī)則和程序會導(dǎo)致數(shù)據(jù)包丟失、來不及分析，嚴(yán)重的影響系統(tǒng)的工作效率，甚至導(dǎo)致系統(tǒng)崩潰一些基礎(chǔ)的過濾規(guī)則如下 : (1)站過濾 :專門篩選出來自一臺主機(jī)或者服務(wù)器的數(shù)據(jù) 。 (2)協(xié)議過濾 :根據(jù)不同的協(xié)議來篩選數(shù)據(jù)，例如 :選擇 TCP 數(shù)據(jù)而非 UDP 數(shù)據(jù) 。 (3)服務(wù)過濾 :根據(jù)端口號來選擇特定數(shù)據(jù)包 。 (4)通用過濾 :通過數(shù)據(jù)包中某一特定位置開始，選擇具有某些共同數(shù)據(jù)特征 第 9 頁 共 27 頁 的數(shù)據(jù)包 。 大部分情況下，過濾規(guī)則是上面基本規(guī)則的組合。有時(shí)，為了保證用戶設(shè)置的緩沖區(qū)被一些莫名其妙的無效數(shù)據(jù)溢出，必須在捕獲前進(jìn)行粗過濾，然后在捕獲后再進(jìn)行一次過濾。過濾完成后，為了使得緩沖區(qū)能處理的包更多，必須進(jìn)行包分解 (Slice)，因?yàn)閿?shù)據(jù)包最關(guān)鍵的部分在數(shù)據(jù)包的頭部。包分解時(shí)還要記住包的原始長度，包分解的原則是 對捕獲的包按照相應(yīng)協(xié)議規(guī)定的數(shù)據(jù)結(jié)構(gòu)來提取結(jié)構(gòu)中每個(gè)字段的數(shù)據(jù)。 BPF 機(jī)制在這方面做的非常成功。 網(wǎng)絡(luò)協(xié)議分析 每一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包都是基于某一個(gè)網(wǎng)絡(luò)協(xié)議產(chǎn)生的，所以分析網(wǎng)絡(luò)數(shù)據(jù)包必定要分析其協(xié)議的內(nèi)容。由于網(wǎng)絡(luò)數(shù)據(jù)通信是要在相互公開協(xié)議的前提下對等進(jìn)行的，所以對數(shù)據(jù)包進(jìn)行協(xié)議的分析在原理上是可行的。 一般地，協(xié)議的分析過程是這樣的 :首先捕獲數(shù)據(jù)包，再進(jìn)行相應(yīng)的過濾和分解，最后進(jìn)行具體的協(xié)議分析。本文要研究的 Libpcap 和 Winpcap 不但能夠捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包，還由于其本身就是基于 BPF 包過濾機(jī)制 的，所以它們同樣具有數(shù)據(jù)包的過濾功能。具體地，由于網(wǎng)絡(luò)具有 051 的 7 層協(xié)議模型，協(xié)議數(shù)據(jù)是從上到下封裝后發(fā)送的，反過來，對于協(xié)議分析需要從下至上進(jìn)行，首先對鏈路 層的協(xié)議識別后進(jìn)行組包還原，再脫去鏈路層協(xié)議頭，接下去將里面的數(shù)據(jù)交給網(wǎng)絡(luò)層分析，這樣一直進(jìn)行下經(jīng)過傳輸層直到應(yīng)用層。 網(wǎng)絡(luò)協(xié)議分析技術(shù)除了應(yīng)用到對捕獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析得到數(shù)據(jù)包的協(xié)議內(nèi)容 外，還可以應(yīng)用到網(wǎng)絡(luò)流量統(tǒng)計(jì)、網(wǎng)絡(luò)監(jiān)視、網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)安全掃描等，可見網(wǎng) 絡(luò)協(xié)議分析是網(wǎng)絡(luò)數(shù)據(jù)捕獲技術(shù)之后的各種網(wǎng)絡(luò)安全策略的基礎(chǔ)。 本課題研究意義 有兩類人對于流動在網(wǎng)絡(luò)上的數(shù)據(jù)是非常感興趣的 :網(wǎng)絡(luò)管理員和黑客，他們都要對網(wǎng)絡(luò)上的以包為單位的數(shù)據(jù)流進(jìn)行監(jiān)測。事實(shí)上，一個(gè)好的數(shù)據(jù)包監(jiān)測軟件通常可以在網(wǎng)絡(luò)管理和黑客技術(shù)的工具包中同時(shí)找到。黑客可以用數(shù)據(jù)包監(jiān)測軟件監(jiān)聽互聯(lián)網(wǎng)，并且追蹤一些敏感數(shù)據(jù)的交換如登錄對話和財(cái)經(jīng)交易 。網(wǎng)絡(luò)管理員可以用數(shù)據(jù)包監(jiān)測軟件監(jiān)視網(wǎng)絡(luò)的狀態(tài)、查找網(wǎng)絡(luò)漏洞，檢測網(wǎng)絡(luò)性能和 第 10 頁 共 27 頁 修復(fù)網(wǎng)絡(luò)的故障等。 所以，研究網(wǎng)絡(luò)數(shù)據(jù)的捕獲和網(wǎng)絡(luò)協(xié)議的分析不但能夠有利于管理網(wǎng)絡(luò)和維護(hù)網(wǎng)絡(luò)的健康運(yùn)轉(zhuǎn)，更重要的還可以得知黑客對網(wǎng)絡(luò)攻擊的機(jī)理，有針對地進(jìn)行入侵檢測， 進(jìn)而避免黑客的攻擊破壞和對資料的竊取。 國內(nèi)外研究有關(guān)現(xiàn)狀 當(dāng)今網(wǎng)絡(luò)安全的研究 從廣義的網(wǎng)絡(luò)安全角度來講，近來國內(nèi)外的研究主要集中在密碼理論與技術(shù)、安全協(xié)議理論與技術(shù)、安全體系結(jié)構(gòu)理論與技術(shù)等方面。 密碼理論與技術(shù)是現(xiàn)代信息安全的核心問題，其基礎(chǔ)是可信信息系統(tǒng)的構(gòu)建與評估主要包括兩部分，即基于數(shù)學(xué)的密碼理論與技術(shù)和非數(shù)學(xué)的密碼理論與技術(shù)。自從 1976 年公鑰密碼的思想提出以來，國際上己經(jīng)提出了許多種公鑰密碼體制，近年來又提出了許多新的密碼體系，如基于數(shù)學(xué)的分組密碼、序列密碼、認(rèn)證碼、數(shù)字簽名、 Hash 函數(shù)、身份識別、密鑰管理、 PKI 技術(shù)等和基于非數(shù)學(xué)的信息隱形，量子密碼，基于生物特征的識別理論與技術(shù)等。 數(shù)據(jù)捕獲和協(xié)議分析只是網(wǎng)絡(luò)安全中協(xié)議部分的一個(gè)分支，而且由于還不能完全拋開現(xiàn)有的正在廣泛使用的不安全協(xié)議 (如 TCP/IP 等 )，所以對于當(dāng)今網(wǎng)絡(luò)的協(xié)議分析在一段時(shí)間內(nèi)還是研究的課題。但是，現(xiàn)在已經(jīng)部分使用和今后發(fā)展方向的是采用安全的協(xié)議。 安全協(xié)議的研究主要包括兩方面內(nèi)容，即安全協(xié)議的安全性分析方法研究和各種實(shí)用安全協(xié)議的設(shè)計(jì)與分析研究。安全協(xié)議的安全性分析方法主要有兩類，一類是攻擊檢驗(yàn)方法，一類 是形式化分析方法，其中安全協(xié)議的形式化分析方法是安全協(xié)議研究中最關(guān)鍵的研究問題之一，它的研究始于 80 年代初，目前正處于百花齊放，充滿活力的狀態(tài)之中。許多一流大學(xué)和公司的介入，使這一領(lǐng)域成為研究熱點(diǎn)。隨著各種有效方法及思想的不斷涌現(xiàn)，這一領(lǐng)域在理論上正在走向成熟。目前，在這一領(lǐng)域中比較活躍的群體包括 :以 Meadows 及 Syverson 為代表的美國空軍研究實(shí)驗(yàn)室 。以 Roscoe 為代表的英國 Oxford 學(xué)院 。以 Bolignano 為代表的美國 IBM 公司 。以 及 為代表的美國 Stanford 大學(xué) 。以Stubblebine 為代表的美國 ATamp。T 實(shí)驗(yàn)室 。以 Paulson為代表的英國 cambridge 學(xué)院 。以 Abadi 為代表的美國數(shù)據(jù)設(shè)備公司系統(tǒng)研究中心等等。除了這些群體外，許多較有實(shí)力的計(jì)算機(jī)科學(xué)系及公司都有專業(yè)人員從事這一領(lǐng)域的研究。 目前，已經(jīng)提出了大量的實(shí)用安全協(xié)議，代表的有 :電子商務(wù)協(xié)議， IPSec 協(xié) 第 11 頁 共 27 頁 議， TLS 協(xié)議，簡單網(wǎng)絡(luò)管理協(xié)議 (SNMP)， PGP 協(xié)議， PEM 協(xié)議， S 一 HTTP協(xié)議， S/MIME 協(xié)議等。實(shí)用安全協(xié)議的安全性分析特別是電子商務(wù)協(xié)議， IPSec協(xié)議， TLS 協(xié)議是當(dāng)前 協(xié)議研究中 的另一個(gè)熱點(diǎn)。 現(xiàn)有的網(wǎng)絡(luò)測試分析系統(tǒng) 基于網(wǎng)絡(luò)數(shù)據(jù)捕獲和協(xié)議分析技術(shù)，可以應(yīng)用成為廣義上的協(xié)議分析儀(ProtocofAnalyzer)，之所以這樣定義是因?yàn)橛幸恍┘冘浖模康母鼈?cè)重于網(wǎng)絡(luò)數(shù)據(jù)捕獲和偵聽的協(xié)議分析系統(tǒng)又叫做嗅探器 (Sniffer)，而基于硬件或軟硬件結(jié)合的網(wǎng)絡(luò)數(shù)據(jù)捕獲和分析系統(tǒng)才叫協(xié)議分析儀。但在某些場合他們的分界是模糊的，因?yàn)樗鼈冊诠δ苌隙寄懿东@并分析報(bào)文。實(shí)際上一些網(wǎng)管軟件，和一些網(wǎng)絡(luò)測試儀都使用了嗅探器技術(shù)。 純軟件的嗅探器很多，有 Tcpdump、 Nmap、 linuxsniffer、 Dsniff、 Ngrep、snifferpro/NetXray、甚至有專用于捕獲用戶名和密碼的 linsniffer、 winsniffer。所以 sniffer 技術(shù)本身就是一把雙刃劍，它們同時(shí)被網(wǎng)絡(luò)管理員和黑客在熟練地使用，既可以作為網(wǎng)絡(luò)故障的診斷工具，也可以作為黑客嗅探和監(jiān)聽的工具。 大多數(shù)的純軟件協(xié)議分析儀是可以使用普通的網(wǎng)卡來完成進(jìn)行簡單的數(shù)據(jù)采集工作的，即協(xié)議分析軟件 +PC 網(wǎng)卡。其典型的功能是數(shù)據(jù)包的捕捉、協(xié)議的解碼、統(tǒng)計(jì)分析和數(shù)據(jù)流量的產(chǎn)生。用協(xié)議分析儀可以捕捉網(wǎng)上的實(shí)際流量、提取流量的特征，據(jù)此對網(wǎng)絡(luò)系統(tǒng)的流量進(jìn)行模型化和特征化。此外，網(wǎng)絡(luò)協(xié)議分析儀還可以主動地產(chǎn)生大量的數(shù)據(jù)包施加到網(wǎng)絡(luò)上，分析網(wǎng)絡(luò)的響應(yīng)或?qū)W(wǎng)絡(luò)系統(tǒng)進(jìn)行加重測試。目前典型的協(xié)議分析儀有 HP 公司的 Intemet Advisor(網(wǎng)絡(luò)專家系統(tǒng) )、 Fluke(福祿克公司 )的 optiview 一 PE、 WG 公司的 Domino 系列協(xié)議分析儀， NAI 公司出品的 Network Associates Sniffer Portable 等。但這類協(xié)議分析軟件無論在協(xié)議的解碼能力、解碼和數(shù)據(jù)分析的實(shí)時(shí)性以及數(shù)據(jù)流量的產(chǎn)生能力上與用專門硬件 實(shí)現(xiàn)的協(xié)議分析儀相比仍有差距。另一種就是采用專用的數(shù)據(jù)采集硬件的協(xié)議分析儀，應(yīng)用于復(fù)雜和高速的網(wǎng)絡(luò)鏈路上，采用專用的數(shù)據(jù)采集箱有利于全線速地捕捉或更有效地進(jìn)行實(shí)時(shí)數(shù)據(jù)過濾。 還有一些比協(xié)議分析儀更高層次的網(wǎng)絡(luò)性能測試工具，站在應(yīng)用層的角度使用一些基準(zhǔn)流量對網(wǎng)絡(luò)系統(tǒng)的性能進(jìn)行分析，代表性的軟件是 Ganymede software 公司的 Chariot 軟件。另外還有一類軟件值得介紹，就是用于網(wǎng)絡(luò)系統(tǒng)規(guī)劃驗(yàn)證的網(wǎng)絡(luò)系統(tǒng)模擬環(huán)境，國外己有一些這樣的軟件能對用典型的網(wǎng)絡(luò)技術(shù)或它們的組合構(gòu)建的較大型的網(wǎng)絡(luò)系統(tǒng)進(jìn)行模擬，但 往往價(jià)格十分昂貴。 從協(xié)議分析儀發(fā)展的角度來說，網(wǎng)絡(luò)維護(hù)人員越來越需要使用功能強(qiáng)大并能將多種網(wǎng)絡(luò)測試手段集于一身的綜合式測試分析手段，典型的協(xié)議分析儀上的功 第 12 頁 共 27 頁 能延展就是加入網(wǎng)管功能、自動網(wǎng)絡(luò)信息搜集功能、智能的專家故障診斷功能，并且移動性能要有效。這種綜合的協(xié)議分析儀或者說是綜合的網(wǎng)絡(luò)分析儀成為了當(dāng)今網(wǎng)絡(luò)維護(hù)和測試儀的主要發(fā)展趨勢，像 Fluke 的 Opt View INA 手持式綜合協(xié)議分析儀自上市來在網(wǎng)絡(luò)現(xiàn)場分析、故障診斷、網(wǎng)絡(luò)維護(hù)方法得到了相當(dāng)廣泛的應(yīng)用和發(fā)展 隨著網(wǎng)絡(luò)維護(hù)規(guī)模的加大，網(wǎng)絡(luò)技術(shù)的變化，網(wǎng)絡(luò)關(guān)鍵 數(shù)據(jù)的采集也越來越困難。有時(shí)為了分析和采集數(shù)據(jù)，必須能在異地同時(shí)地進(jìn)行采集，于是將協(xié)議分析儀的數(shù)據(jù)采集系統(tǒng)獨(dú)立開來，能安置在網(wǎng)絡(luò)的不同地方，由能控制多個(gè)采集器的協(xié)議分析儀平臺進(jìn)行管理和數(shù)據(jù)處理，這種應(yīng)用模式就誕生了分布式協(xié)議分析儀。通常這種方式的造價(jià)會非常高的。 本文所做的工作 本課題針對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲和分析技術(shù)做了比較深入的闡述。在對當(dāng)今網(wǎng)絡(luò)數(shù)據(jù)捕獲和分析的有關(guān)基本實(shí)現(xiàn)機(jī)理、方法和手段進(jìn)行分析的基礎(chǔ)上，通過詳細(xì)地分析基于 BPF 的網(wǎng)絡(luò)數(shù)據(jù)包捕獲函數(shù)庫 Libpcap 和 winpcap 的工作機(jī)理和內(nèi)部架構(gòu) ，描述了網(wǎng)絡(luò)數(shù)據(jù)包捕獲和分析程序的層次結(jié)構(gòu)，給出了具體的通過調(diào)用Winpcap 來捕獲和分析數(shù)據(jù)包的程序的設(shè)計(jì)與實(shí)現(xiàn)方法。對于今后網(wǎng)絡(luò)數(shù)據(jù)的監(jiān)測和分析方案 (比如對無線網(wǎng)絡(luò)和交換環(huán)境捕獲和分析 )，本文也在最后部分做了相應(yīng)的闡述和預(yù)測。 第 2 章 捕獲基礎(chǔ)及 L