【導讀】網絡分析技術作為一種積極的安全監(jiān)測技術，能實時監(jiān)測網絡中發(fā)生的一些事件，也更加有效地保障被監(jiān)測網絡的安全性。基于TCP/IP的分析技術也是具有入侵監(jiān)測能力。所以，研究以捕獲數(shù)據(jù)包為基礎的網絡分析方法在當今是非常。本課題針對10Mbps以太網，設計一個具有實時性的網絡數(shù)據(jù)包捕獲和統(tǒng)計分析系統(tǒng)。體系結構為根本，對數(shù)據(jù)包實現(xiàn)由下至上的層層解析，最終實現(xiàn)對HTTP協(xié)議報文的讀取，

　　

【正文】 loop 函數(shù)則不會因此而返回，只有等到滿足所設定的捕獲數(shù)時才會返回。 pcap_loop 函數(shù)的原型如下： int pcap_loop (pcap_t *p, int t, pcap_handle callback, u_char *user) 其中，參數(shù) t 表示讀取的數(shù)據(jù)包的個數(shù)到達 t 個時，函數(shù)將返回。本系統(tǒng)的設置如下： pcap_loop (adhandle, 0, packet_handler, NULL) 其中 ， 將 t 設置為 0，則表示會不斷捕獲數(shù)據(jù)包。 基于 TCP/IP 的協(xié)議分析器設計 20 使用 pcap_loop 函數(shù)有時可能會遇到障礙，主要是因為它直接由數(shù)據(jù)包捕獲驅動所調用。因此，用戶程序不能直接控制它，這樣可能會增加程序的復雜度特別是多線程的 C++程序中。在這種情況下， 使用非回調函數(shù) pcap_next_ex 會更好一些。這個函數(shù)的參數(shù)與捕獲回調函數(shù)的參數(shù)是一樣的，它會從一個設備接口或一個文件中讀取一個數(shù)據(jù)包。本系統(tǒng)不采用多線程編寫代碼，所以使用 pcap_loop 函數(shù)實現(xiàn)數(shù)據(jù)包的捕獲。 數(shù)據(jù)包的分析 前一節(jié)中已經講述了 TCP/IP 協(xié)議的體系結構，數(shù)據(jù)的封裝過程還有主要協(xié)議的數(shù)據(jù)報格式。所以對于數(shù)據(jù)包的解析，就要以 TCP/IP 協(xié)議簇 為基礎，從數(shù)據(jù)鏈路層開始由下至上層層解析。一般情況下，以太網常用的幀結構標準是 ，所以系統(tǒng)程序捕獲到的數(shù)據(jù)包都是這種以太網幀。 在數(shù)據(jù)鏈路層，可以根據(jù)以太網幀結構中的協(xié)議類型字段值來判斷上層的協(xié)議類型，其中 IP 協(xié)議的字段值為 0x0800；在網際層，一樣是根據(jù)類型值判斷所屬協(xié)議；當數(shù)據(jù)包解包到運輸層后，可以根據(jù)端口號 來 判斷應用層協(xié)議。 本系統(tǒng)的協(xié)議解析過程如圖 313 所示。 開 始 解 析計 算 數(shù) 據(jù) 幀 的 類 型 值A R P 協(xié) 議解 析R A R P 協(xié) 議 I P v 6 協(xié) 議 I P 協(xié) 議 解 析0 x 0 8 0 6 0 x 8 0 3 5 0 x 8 6 d d 0 x 0 8 0 0檢 測 上 一 層 協(xié) 議 類 型I C M P 協(xié) 議解 析I G M P協(xié) 議T C P 協(xié) 議解 析U D P 協(xié) 議解 析類 型 值 = 1 類 型 值 = 2 類 型 值 = 6類 型 值 = 1 7檢 測 端 口 號F T P 協(xié) 議分 析D N S 協(xié) 議 S M T P 協(xié) 議H T T P 協(xié) 議分 析端 口 號 = 2 1端 口 號 = 5 3 端 口 號 = 2 5 端 口 號 = 8 0解 析 以 太 網 幀判 斷 以 太 網 幀 格 式E t h e r n e t V 2 . 0 圖 313 協(xié)議解析流程 在該解析過程中，要注意一些數(shù)據(jù)結構體的定義，本系統(tǒng)中要分析的協(xié)議的數(shù)據(jù)報結構體定義要求對于結構體中的成員數(shù)據(jù)類型要定義到位。同時，在解析過程中，常需要將一個無符號的短整型數(shù)從網絡字 節(jié)順序轉換為主機字節(jié)順序 ，這就需要使用到 ntohs 函數(shù)?；?TCP/IP 的協(xié)議分析器設計 21 該函數(shù)可以返回一個以 主機字節(jié)順序表達的數(shù)，那么這個數(shù)就可以被 C 程序所識別，以完成數(shù)據(jù)的輸出和判斷 [17]。 數(shù)據(jù)包的判斷 從 即時聊天工具誕生到現(xiàn)在，它已經成為我們聯(lián)系朋友的重要工具之一； 作為應用層的應用程序，它的數(shù)據(jù)也要通過 TCP 協(xié)議或 UDP 協(xié)議傳輸出去。 數(shù)據(jù)包裝成以太網幀之后就通過本地端口傳輸出去，而且基于 TCP 協(xié)議類型的 包與基于 UDP 協(xié)議的 包在格式上存在差異。如果本機在以 TCP 協(xié)議類型登錄服務器時，本地端口不固定，但是登錄服務器的端口為 443；而以 UDP 協(xié)議類型登錄服務器時，本地端口一般為4000，登錄服務器端口為 8000。本機中可以對 客戶端做如圖 314 的設置。 本設計只通過判斷源端口號或目的端口號來判斷是 服務器發(fā)給本機的數(shù)據(jù)還是本機發(fā)給服務器的數(shù)據(jù)，不過在這之前必須先確認登錄服務器的類型。 圖 314 客戶端的登錄設置界面基于 TCP/IP 的協(xié)議分析器設計 22 第四章 程序的實現(xiàn) Winpcap 的安裝使用方法 1) 下載 Winpcap 驅動程序安裝包和程序員開發(fā)包 winpcap develop’s packet。 到 winpcap 官方網站 下載 winpcap 的驅動和 dll 文件，以及程序員開發(fā)包，里面有配置好的例子以及 include 和 library。 2) 配置 Microsoft Visual C++的 開發(fā)環(huán)境 要使用 Microsoft Visual C++創(chuàng)建一個可以使用 的應用程序，需要按照以下步驟完成基 本配置 [16]： ? 在每個使用了庫的源程序中，將 頭文件包含進來。 ? 如果要在程序中使用 winpcap 中提供給 win32 平臺的特有函數(shù)，必須在預處理中加入 WPCAP 的定義。 ? 如果程序中使用了 winpcap 的遠程捕獲功能，那么在預處理中必須加入HAVE_REMOTE。不要直接把 直接加入到源文件中去。 ? 設置 VC++的連接器，把 庫文件包含進來。 ? 設置 VC++的連接器，把 庫文件包含進來。這些文件分布于 C 的編譯器，并且包含了 Windows 的一些 socket 函數(shù)。 本次畢業(yè)設計使用的是中文版本的 Microsoft Visual C++軟件。 而且要使用 winpcap 開源包，所以需要添加幾個預處理定義。在新建的工作空間中需要在已創(chuàng)建的工程中打開工程菜單項，選擇 C/C++選項卡，在預處理程序定義的文本框中把需要的定義添加進去。 而且，本次設計需要在已創(chuàng)建的工作空間中添加新庫，所以必須打開 工程 菜單項，選擇 設置中的 連接選項卡，把新庫的名字添加到 對象 /庫模塊中 。 首先是向 VC++ 中添加一個新 library 庫的路徑，方法是打開工具菜單，選擇選項 ,然后選擇目錄選項卡，在顯示目錄的下拉框中選擇 Library files，并將 winpcap develop’s packet 開發(fā)包中的 Lib 庫文件路徑添加到顯示目錄中去。 其次是向 VC++ 中添加一個新 include 包含文件所在的路徑，方法一樣是打開工具菜單，選擇選項 ,然后選擇目錄選項卡，在顯示目錄下拉框中選擇 include files，并將 winpcap develop’s packet開發(fā)包中的 include 庫文件路徑添加到顯 示目錄中去。 基于 TCP/IP 的協(xié)議分析器設計 23 程序的運行 程序在運行后，首先會顯示已連接的網卡信息如圖 41 所示。 圖 41 本機網卡信息 圖中顯示的本機所有已連接網卡的詳細信息，看起來非常直觀。由于本系統(tǒng)沒有設計用戶界面，所以，運行的程序后出現(xiàn)了一個 DOS 界面。本程序利用文件讀寫函數(shù) freopen()將運行結果寫到記事本 中，便于用戶讀取信息。 在選擇好用于捕獲數(shù)據(jù)包的網卡后還要對進入主機中的數(shù)據(jù)包進行過濾。如果想捕獲基于 IP 協(xié)議的數(shù)據(jù)包，即可選擇 IP 選項，如圖 42 所示。 圖 42 過濾選擇 在上述選擇之后，本機 系統(tǒng)就開始捕獲數(shù)據(jù)包并分析數(shù)據(jù)包。由于本系統(tǒng)中捕獲與分析同步，所以每捕獲到一個數(shù)據(jù)包，系統(tǒng)就會對捕獲到的數(shù)據(jù)包進行分析。在校園內使用局域網時，需要連上銳捷認證。也就是說，在捕獲數(shù)據(jù)包時，系統(tǒng)會受到銳捷軟件的影響，從而降低了系統(tǒng)捕獲數(shù)據(jù)包的實時性。但是如果使用校外的局域網時，系統(tǒng)就顯現(xiàn)出良好的捕獲功能。系統(tǒng)程序有設計程序分鐘，該時鐘與本機上的時鐘同步。如果本機在某時刻因訪問網頁發(fā)送或接收到數(shù)據(jù)包，那么系統(tǒng)程序會在同一時刻將符合規(guī)則的數(shù)據(jù)包捕獲并基于 TCP/IP 的協(xié)議分析器設計 24 分析。測試如下： 10:59 分，本機訪問圖書館網站主頁，如圖 43 所 示，網頁地址為 10:59 分，精確到毫秒捕獲到 HTTP 請求報文，并解包分析，結果如圖 44 所示。 當對方服務器收到請求報文后會發(fā)回響應報文，系統(tǒng)程序對捕獲到的響應報文的分析結果如圖 45 所示；響應碼 200 表示對方服務器接受請求。 圖 43 本機訪問的圖書館主頁 圖 44 本機發(fā)出的請求報文的分析結果 基于 TCP/IP 的協(xié)議分析器設計 25 圖 45 服務器返回的響應報文的解析結果 運行 FTP 服務的許多站點都開放匿名服務。這種設置下的匿名用戶 名為“ anonymous”，通常要求輸入的郵箱地址作為認證密碼。圖 46 顯示的本機在 13:17 分以匿名形式登錄校園 FTP 服務網站，站點地址為 用戶進程 向遠程 FTP服務器發(fā)送用戶名及登錄密碼。在此同時，協(xié)議分析程序會將數(shù)據(jù)包捕獲，并送入上層處理程序處理，分析出相應的 FTP 命令： USER 和 PASS；具體的其結果如圖 47 所示。登錄FTP 網站后，可隨后完成一些操作。在 FTP 主頁上，點擊 “ pub”選項下的“ cartoon”選項，再點擊“ naruto 火影忍者”，這時，本機就會向遠程 FTP 系統(tǒng)發(fā)送相應的命令，打開的網頁如圖 48 所示，分析結果如圖 49 所示。 圖 46 登錄校園 ftp 服務器的網頁 基于 TCP/IP 的協(xié)議分析器設計 26 圖 47 FTP 的分析結果 圖 48 訪問遠程 FTP 系統(tǒng)的網頁 圖 49 本機向遠程 FTP 服務器發(fā)送命令 基于 TCP/IP 的協(xié)議分析器設計 27 而對于 數(shù)據(jù)包，本系統(tǒng)程序主要是通過端口號來判斷 數(shù)據(jù)包。圖 410 顯示的是基于 TCP 協(xié)議類型的 數(shù)據(jù)包的判斷，登錄服務器的端口號為 443。 圖 410 數(shù)據(jù)包 的判斷 DNS 基于 TCP 或 UDP 的 端口號都是 53， 客戶機 主要 是 使用 UDP 協(xié)議類型 ， 而 服務器之間備份 才 使用 TCP 協(xié)議類型 。 圖 411 顯示的是基于 UDP 協(xié)議類型的 DNS 的判斷。 圖 411 UDP 數(shù)據(jù)包的判斷分析 對 ICMP 協(xié)議的 分析 結合了 ICMP 的一個重要應用就是分組網間探測 PING，用來測試兩個主機之間的連通性 。 測試如下：本機 打開 命令符 cmd， 根據(jù)屏幕上的提示符后鍵入 ping (測試連通性的主機 )，按回車鍵后看結果如圖 412 所示。同時，系統(tǒng)程序捕獲到的差錯報文分析如圖 413 所示。 其中，報文類型為 3，即表示 終端不可到達 ； 識別號為 0，報文序列號為 0。 基于 TCP/IP 的協(xié)議分析器設計 28 圖 412 ping 操作測試連通性的結果 圖 413 對 ICMP 報文 的分析結果 網絡中的每個主機都設有一個 ARP 高速緩存，里面有本局域網上的 每 個主機和路由器的 IP 地址到硬件地址的映射表，如果說映射表中沒有需要的信息，那么本機就會在網絡中廣播發(fā)送 ARP 請求信息以獲取對方的硬件地址。圖 414 顯示的是本機捕獲到的網絡上的一個 ARP 請求報文。 基于 TCP/IP 的協(xié)議分析器設計 29 圖 414 ARP 信息報文的分析 捕獲程序性能的調整 本系統(tǒng)實現(xiàn)了 基于 TCP/IP 協(xié)議的網絡 數(shù)據(jù)包捕獲和 統(tǒng)計 分析。程序中使用了 winpcap開源包 的 主要 功能函數(shù)，比如 pcap_loop,pcap_next 等。 還可以對程序做以下調整： 1) 調整 使用 pcap_next_ex()函數(shù)，這個函數(shù)只有 被調用了 才會開始捕獲數(shù)據(jù)包，在一定程度上改善網絡。 pcap_loop 函數(shù)會在小段時間內阻塞網絡，有時也會遇到障礙，原因是它直接被數(shù)據(jù)包捕獲驅動調用。 2) pcap_open()函數(shù)中的讀操作等待時間可按需調整。如果想提高數(shù)據(jù)包捕獲的效率，可以將超時時間設置為比較大的數(shù)值，但是如果要求提高響應度，則要將該值設置為比較小的值。 3) 設置嚴格的過濾條件，比如可以設置基于 IP 地址捕獲范圍等。 基于 TCP/IP 的協(xié)議分析器設計 30 第五章 總結與展望 總結 基于 TCP/IP 協(xié)議的分析技術是一種有著積極作用的網絡技術。而且，以太網是一種傳輸速率為 10Mbps 的常用局域網標準，它采用具有沖突檢 測的 CSMA/CD 的方法。這種廣播機制和網卡特定的工作模式的設定為網絡數(shù)據(jù)的捕獲和監(jiān)聽提供了可能。而基于Windows 平臺的 winpcap 函數(shù)庫以完成底層的功能驅動為基礎，簡化了編程者實現(xiàn)數(shù)據(jù)包的捕獲和協(xié)議的分析工作難度。 本文設計的基于 TCP/IP 的協(xié)議分析器設計，可以實現(xiàn)對監(jiān)測以太網內的所有數(shù)據(jù)包的捕獲，而且，它可以分析被捕獲的數(shù)據(jù)包的協(xié)議、發(fā)送方的主機地址 /IP 地址 /發(fā)送端口號、接收方的以太網地址 /IP 地址 /接收端口號、數(shù)據(jù)包的長度大小和 HTTP 報文的信息等。如此一來，不僅可以實現(xiàn)網絡的管理和維護，還 可以防止網絡遭到非法入侵和破壞。甚至說，這樣的課題還有助于學習和加固網絡協(xié)議的相關知識。 對于 Win32 平臺來說， winpcap 確實是一個非常便捷的網絡編程工具，但是， winpcap有不同的版本