【文章內(nèi)容簡介】 NIT(Network Interface Tap), Sock Packet類型套接口。 BPF由基于 BSD的 Unix系統(tǒng)內(nèi)核所實現(xiàn)。 DLPI是 Solaris(和其它 System V Unix)系統(tǒng)的內(nèi)嵌子系統(tǒng)。從性能上看， Sock Packet最弱。 Windows操作系統(tǒng)沒有提供內(nèi)置的包 截獲 機制。它只提供了數(shù)量很少并且功能有限的API調(diào)用。 WinPcap(Windows Packet Capture)是 Win32上的第一個用來 截獲 數(shù)據(jù)包的開放系統(tǒng)軟件包，它是一種新提出的強有力并且可擴展的框架結(jié)構(gòu)。 WinPcap包含了一系列以前系統(tǒng)所沒有的創(chuàng)新特性。本文 將 對 目前比較流行的 WinPcap軟件包提供 的截獲 機制 進行簡單介紹。 WinPcap 數(shù)據(jù) 包截獲機制 WinPcap的體系結(jié)構(gòu)如圖 5所示 ： 圖 5 Winpcap 的體系結(jié)構(gòu) 由 WinPcap體系結(jié)構(gòu)圖可以看出它采用的是分層化的驅(qū)動程序模型， 并包含有三個組件 ： 截獲 驅(qū)動程序 () () WinPcap(Windows Packet Capture)是由微軟資助的一個項目，其核心仍是基于 NDIS 第 7 頁 共 27 頁 的，但它對 NDIS進 行封裝，它是 Windows平臺下一個免費 、 公共的網(wǎng)絡訪問系統(tǒng)，它為 win32應用程序提供訪問網(wǎng)絡底層的能力 .它提供了以下的各項功能： 原始數(shù)據(jù)報，包括在共享網(wǎng)絡上各主機發(fā)送 /接收以及相互之間交換的數(shù)據(jù)報 ； ，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報過濾掉 ； ； 。 在 Windows NT下 WinPcap包截獲驅(qū)動和網(wǎng)卡設備驅(qū)動的交互是通過 NDIS(Network Device Interface Specification)來實現(xiàn)的。而且包截獲驅(qū)動既與網(wǎng)絡驅(qū)動通信又與用戶應用程序通信 ,所以它在 NDIS結(jié)構(gòu)中如同一個協(xié)議驅(qū)動，對 WindowsNT操作系統(tǒng)中的 NDIS結(jié)構(gòu)中的高端驅(qū)動進行編程，這樣編制的程序與上層應用程序更容易連接，應用程序?qū)︱?qū)動設置的工作也更方便。如圖 6所示： 圖 6 數(shù)據(jù) 包截獲驅(qū) 動在 NDIS中所處位置 套接字數(shù)據(jù)包截獲機制 上世紀 80年代初 ，加利福尼亞大學 Berkeley分校在 UNIX操作系統(tǒng)下實現(xiàn)了 TCP/IP協(xié)議，它們?yōu)?TCP/IP網(wǎng)絡通信開發(fā)了一個應用程序接口（ API），這個 API稱為 socket（套接字）接口。 Socket給程序員提供了一個高層接口，它的出現(xiàn)使得程序員在編寫網(wǎng)絡應用程序時只需要調(diào)用函數(shù)，對網(wǎng)絡的底層細節(jié)并不需要精通，因此十分方便。 socket實質(zhì)上是提供了進程通信的端點。進程通信之前，雙方首先必須各自創(chuàng)建一個端點，否則是沒有辦法建立聯(lián)系并相互通信的 。正如打電話之前，雙方必須擁有各自的電話機一樣。 在網(wǎng)間 和 網(wǎng)內(nèi)部，每一個 socket用一個半相關(guān)描述 ：（ 協(xié)議，本地地址，本地端口 ） 一個完整的 socket連接則用一個相關(guān)描述 : （ 協(xié)議，本地地址，本地端口，遠地地址，遠地端口 ） 每一個 socket有一個本地唯一的 socket號，由操作系統(tǒng)分配。 最重要的是， socket是面向客戶 —— 服務器模型而設計出來的，針對客戶和服務器程序提供不同的 socket系統(tǒng)調(diào)用。客戶隨機申請一個 socket(相當于一個想打電話的人可以在任何一臺入網(wǎng)電話上撥號呼叫 )，系統(tǒng)為之分配一 個 socket號 ， 服務器擁有全局公認的socket(在 LINUX中， /etc/services用于存儲全局公認的 socket號 )，任何客戶都可以向它發(fā)出連接請求和信息請求。 下面我們一一給出重要的 socket系統(tǒng)調(diào)用。 第 8 頁 共 27 頁 函數(shù) socket()可以創(chuàng)建一個 socket對象， socket()函數(shù)的原型如下： SOCKET socket(int af, int type, int protocol)。 創(chuàng)建一個 socket實際上是向系統(tǒng)申請一個屬于自己的 socket號。 af(Address Family)俗稱套接 字地址族，如表 1所示。 表 1 Linux支持的套接字地址族 協(xié)議族、 socket 類型和協(xié)議常用的 組合如表 2所示 : 表 2 系統(tǒng)調(diào)用三參數(shù)組合關(guān)系 指 定本地地址 使用函數(shù) bind()一一 綁定 socket()系統(tǒng)調(diào)用創(chuàng)建 socket時，只指定了相關(guān)五元組的協(xié)議元，沒有指定其余四元(本地地址、本地端口、遠地地址、遠地端口 )，因此需要別的系統(tǒng)調(diào)用加以補充。 bind()將本地 socket地址 (包括本地主機地址和本地端口 )與所創(chuàng)建的 socket號聯(lián)系起來，即將本地 socket地址賦予 socket，以指定本地半相關(guān)。其用于 Linux性能評估的測試工具的設計與實現(xiàn)調(diào)用格式為 : bind(sockid, localaddr, addrlen) 總的來說，各種 socket地址數(shù)據(jù)結(jié)構(gòu)包括兩大部分 :地址類型和協(xié)議地址。網(wǎng)絡協(xié)議地址又包括主機地址和端口號。 監(jiān)聽 — listen() 對于服務器來說，在它接受客戶機的連接之前，首先要監(jiān)聽。只有進入了監(jiān)聽模式，才能接受來自客戶機的連接。這一點可以通過 listen()函數(shù)來實現(xiàn)，它的原型如下： int listen(SOCKET s, int backlog)。 各參數(shù)意義如下： s:進行監(jiān)聽的套接字。 Backlog:正在等待連接的最大隊列的長度。如果 backlog的只為 3，有 4個客戶機同時發(fā)出連接請求，則前 3個會放在等待連接隊列中，最后一個將被忽略。 套接字地址族 描述 UNIX UNIX域套接字 INET 通過 TCP/IP協(xié)議支持的 Inter地址族 AX25 Amater radio X25 IPX Novell IPX APPLETALK AppleTalk DDP X25 X25 協(xié)議族（ af） Socket類型（ type） 協(xié)議（ UNIX表示） 實際協(xié)議 AF_INET Sock_DGRAM IPPROC_UDP UDP Sock STREAM IPPROC_TCP TCP Sock RAM IPPROC_ICMP ICMP Sock RAM IPPROC_RAM 某低級協(xié)議 第 9 頁 共 27 頁 如果函數(shù)成功，則返回 0；否則返回 SOCKET_ERROR。 當客戶機和服務器的連接建立起來后，用函數(shù) send()和 recv()來進行數(shù)據(jù)傳輸。 4 基于原始套接字的設計與實現(xiàn) 原始套 接字是網(wǎng)絡的基本構(gòu)件 。 套接字 是從 Berkeley Sockets 擴展而來的，其在繼承 Berkeley Sockets 的基礎上，又進行了新的擴充。這些擴充主要是提供了一些異步函數(shù)，并增加了符合 WINDOWS消息驅(qū)動特性的網(wǎng)絡事件異步選擇機制。 套接字 由兩部分組成：開發(fā)組件和運行組件。開發(fā)組件 是指 套接字 實現(xiàn)文檔、應用程序接口 (API)引入庫和一些頭文件。運行組件 是指 套接字 應用程序接口的動態(tài)鏈接庫 ()。它是可以被命名和尋址的通信端點，使用中的每一個套接字都有其類型和一個與之相連聽進程。套接字存在通信區(qū)域（通信區(qū)域又稱地址簇） 中。套接字只與同一區(qū)域套接字只支持一個中的套接字交換數(shù)據(jù)（跨區(qū)域時，需要執(zhí)行某和轉(zhuǎn)換進程才能實現(xiàn)）。 WINDOWS 中的域 —— 網(wǎng)際域。套接字具有類型 ， WINDOWS SOCKET 版本支持兩種套接字：流套接字 (SOCK_STREAM)和數(shù)據(jù)報套接字 (SOCK_DGRAM)。本文使用的 WINDOWS SOCKET 版本 。 數(shù)據(jù)包截獲技術(shù)是開發(fā)網(wǎng)絡管理工具軟件的重要基礎之一，因為許多故障及入侵判斷都是建立在網(wǎng)絡流量或數(shù)據(jù)的分析基礎上的。具體來說，數(shù)據(jù)包截獲可以應用 在檢測網(wǎng)絡流量，分析網(wǎng)絡故障；網(wǎng)絡協(xié)議工作原理及過程分析；非法數(shù)據(jù)截獲與入侵檢測；網(wǎng)絡設備開發(fā)。 程序可以設置針對 IP 地址和協(xié)議類別包過濾器，專門截獲某一協(xié)議（如TCP,UDP,ICMP）或某一主機的數(shù)據(jù)包。對數(shù)據(jù)進一步分析可以了解該類協(xié)議的各種過程及協(xié)議內(nèi)容，這在計算機網(wǎng)絡課程的教學對網(wǎng)絡知識的掌握。另外，也可以對數(shù)據(jù)包的內(nèi)容進行分析與理解，獲得所需的信息。 入侵檢測是網(wǎng)絡安全領(lǐng)域一個重要的研究方向，如請檢測系統(tǒng)由探測器、分析器、用戶接口等三個部分組成，其中探測器負責采集數(shù)據(jù)（如網(wǎng)絡數(shù)據(jù)報、日志文件和系統(tǒng) 調(diào)用記錄等）；分析器則主要是設定一系列規(guī)則，對探測器送來的數(shù)據(jù)進行分析，用戶接口負責與用戶交互。顯然，數(shù)據(jù)包截獲是入侵檢測系統(tǒng)信息的重要來源之一。 利用 套接字 開發(fā) 數(shù)據(jù)包截獲 程序時 的一般步驟如圖 7所示 第 10 頁 共 27 頁 如圖 7所示， 在利用 套接字 開發(fā) 數(shù)據(jù)包截獲程序 時 的一般步驟是：首先，創(chuàng)建原始套接字，其次將原始套接字綁定到本地網(wǎng)卡地址上；設置網(wǎng)卡為混雜模式， 這樣網(wǎng)卡就可以收到任何在網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包 ；在以上條件下開始對數(shù)據(jù)包進行截獲、分析。 數(shù)據(jù)包截獲程序 作為 一種網(wǎng)絡通訊程序，是通過對網(wǎng)卡的編程來實現(xiàn)網(wǎng)絡通訊的，對網(wǎng)卡的編程是使用通常的套接字（ socket）方式來進行。但是，通常的套接字程序只能響應與自己硬件地址相匹配的或是以廣播形式發(fā)出的數(shù)據(jù)幀，對于其他形式的數(shù)據(jù)幀比如已到達網(wǎng)絡接口但卻不是發(fā)給此地址的數(shù)據(jù)幀，網(wǎng)絡接口在驗證投遞地址并非自身地址之后將不引起響應，也就是說應用程序無法收取到達的數(shù)據(jù)包。 而本設計的要求通過數(shù)據(jù)包截獲程序 從網(wǎng)卡接收所有經(jīng)過它的數(shù)據(jù)包， 因此，在該系統(tǒng)中將網(wǎng)卡以混雜模式替代 通常的正常模式 。 本設計中 ，這種對網(wǎng)卡混雜模式的設置是通過原始套 接字（ raw socket）來實現(xiàn)的，這也有別于通常經(jīng)常使用的數(shù)據(jù)流套接字和數(shù)據(jù)報套接字。在創(chuàng)建了原始套接字后，需要通過 bind()函數(shù)將原始套接字綁定到本地網(wǎng)卡。為了讓原始套接字能接受所有的數(shù)據(jù)，還需要通過 WSAIoctl ()來進行設置。 完成以上設置 就可以開始對網(wǎng)絡數(shù)據(jù)包進行嗅探了，對數(shù)據(jù)包的獲取仍 像 流式套接字或數(shù)據(jù)報套接字那樣通過 recv()函數(shù)來完成。但是與其他兩種套接字不同的是，原始套接字此時 截獲 到的數(shù)據(jù)包并不僅僅是單純的數(shù)據(jù)信息，而是包含有 IP頭、 TCP頭等信息頭的最原始的數(shù)據(jù)信息，這些信息 保留了它在網(wǎng)絡傳輸時的原貌。通過對這些在低層傳輸?shù)脑夹畔⒌姆治隹梢缘玫接嘘P(guān)網(wǎng)絡的一些信息。由于這些N 構(gòu)造運行環(huán)境，生成輸 出條件 創(chuàng)建原始套接字，并初始化 截獲 IP包 解析 IP 包 輸出 IP 包 信息 停止 截獲 開始 結(jié)束 Y 圖 7 數(shù)據(jù)包截獲分析工作流程 第 11 頁 共 27 頁 數(shù)據(jù)經(jīng)過了網(wǎng)絡層和傳輸層的打包，因此需要根據(jù)其附加的幀頭對數(shù)據(jù)包進行分析。下面先給出結(jié)構(gòu) ， 數(shù)據(jù)包的總體結(jié)構(gòu) 如表 3所示 ： 表 3 數(shù)據(jù)包總體結(jié)構(gòu) 數(shù)據(jù)包 IP頭 TCP頭（或其他信息頭） 數(shù)據(jù) 數(shù)據(jù)在從應用層到達傳輸層時，將添加 TCP數(shù)據(jù)段頭，或是 UDP數(shù)據(jù)段頭。其中 UDP數(shù)據(jù)段頭比較簡單，由一個 8字節(jié)的頭和數(shù)據(jù)部分組成，具體格式如 表 4所示 ： 表 4 UDP數(shù)據(jù)段頭格式 16位 16位 源端口 目的端口 UDP長度 UDP校驗和 對于此 UDP數(shù)據(jù)段頭的分析在編程實現(xiàn)中可通過數(shù)據(jù)結(jié)構(gòu) UDP_HEADER 來定義： typedef struct _udphdr { unsigned short uh_sport。 //16 位源端口 unsigned short uh_dport。 //16 位目的端口 unsigned short uh_len。 //16 位長度 unsigned short uh_sum。 //16 位校驗和 } UDP_HEADER。 而 TCP 數(shù)據(jù)頭則比較復雜，以 20 個固定字節(jié)開始，在固定頭后面還可以有一些長度不固定的可選項， 表 5給出 TCP 數(shù)據(jù)段頭的格式組成 : 表 5 TCP數(shù)據(jù)段頭格式 16位 16位 源端口 目的端口 順序號 確認號 TCP頭長 （保留） 7位 URG ACK PSH RST SYN FIN 窗口大小 校驗和 緊急指針 可選項（ 0或更多的 32位字） 數(shù)據(jù)（可選項） 對于此 TCP數(shù)據(jù)段頭的分析在編程實現(xiàn)中可通過數(shù)據(jù)結(jié)構(gòu) TCP_HEADER 來定義： typedef struct _tcphdr { USHORT th_sport。 //16 位源端口 USHORT th_dport。 //16 位目的端口 unsigned int th_seq。 //32 位序列號 unsigned int th_ack。 //32 位確認號 unsigned char th_lenres。 //4 位首部長度 /6 位保留字 unsigned char th_flag。 //6 位標志位 U