【正文】 圖 51是程序 運行時的 界面。其次，選定一臺 PC 對 數(shù)據(jù)包捕獲 模塊、 規(guī)則過濾 模塊 、協(xié)議分析模塊 進行功能測試 。這時，常把端口號作為端口的名稱來用。在這里使用的 s_name成員。此函數(shù)完成的是取得端口號和區(qū)別 TCP/UDP類別的兩個參數(shù)并返回端口名稱的工作。因為常用端口和常用協(xié)議對應(yīng)，我們可以 利用這個原理來識別應(yīng)用層協(xié)議。由此，可以利用與端口號對應(yīng)的特定的網(wǎng)絡(luò)服務(wù)。端口分為兩種。 IP 協(xié)議頭、 UDP協(xié)議頭和數(shù)據(jù)位，最后用 0填補的信息假協(xié)議頭總和。 (3)長度 — 16 位。當使用時，它表示發(fā)送程序的端口，同時它還被認為是沒有其它信息的情況下需要被尋址的答復(fù)端口。此協(xié)議提供了向另一用戶程序發(fā)送信息的最簡便的協(xié)議機制。 (10)緊急指針 (urgent pointer)：一個 2字節(jié)字段，它表明段中緊急數(shù)據(jù)的位置。這 6個標志是： URG(緊急 )、 ACK(確訓(xùn) )、 PSH(推 )、 RST(復(fù)句 )、 SYN(同步 )、 FIN(結(jié)束 )。 (5)數(shù)據(jù)偏移 (data offset)：表示 TCP數(shù)據(jù)的起始位置，以 4字節(jié)的整數(shù)倍表示，數(shù)據(jù)偏移字段也是 TCP頭的大小。用于保證數(shù)據(jù)的到達順序與可靠性。表 41顯示了常用的應(yīng)用層協(xié)議對應(yīng)的端口號。 第 17 頁 共 23 頁 比特 0 8 16 24 31 源端口 目的端口 順序號 確認號 數(shù)據(jù)偏移 保留 標志 窗口 校驗和 緊急指示符 選項（長度可變） 填充 數(shù)據(jù) 圖 45 TCP數(shù)據(jù) 報 格式 其中，每一段的含義如下： (1)源端口 (source port)：指示發(fā)送 TCP段的源應(yīng)用層協(xié)議，是一個 2字節(jié)的字段。 TCP(傳輸控制協(xié)議 )為面向事務(wù)的應(yīng)用提供了可靠的面向連接的傳輸協(xié)議。 (11)源目的 IP地址 (source/destination address)：長度為 4字節(jié)，包含源 /目的主機的 IP地址。 (8)生存時間（ time to live)：長度為 1字節(jié)，表示 IP數(shù)據(jù)包的壽命，目的是廢棄掉在網(wǎng)絡(luò)中循環(huán)著的 IP數(shù)據(jù)包，一 般地，每通過一次路由器，生存時間就被減去 1，當生存時間為 0時，數(shù)據(jù)包將被拋棄。 (5)標識 (identifier)：長度為 2位，作為分割以及組裝數(shù)據(jù)包時的識別標志來使用，被分割的數(shù)據(jù)包被分配有同一數(shù)值標識。 (2)報頭長 (header length)：長度為 4位，表示 IP頭的長度。 實際上， IP數(shù)據(jù)報是作為 IP包來發(fā)送的， IP包將 IP數(shù)據(jù)報通過交換設(shè)備一跳一跳地中繼到目的系統(tǒng)。所以在提取 IP包頭的時候可以將指針 P加上以太幀包頭的長度后，把 格式強制轉(zhuǎn)化為 IP包頭格式即： (struct ip *) (p + sizeof (struct ether_header))。如果上 層的協(xié)議數(shù)據(jù)單元小于 46字節(jié)，則必須填充到 46字節(jié)。比如，對于 IP數(shù)據(jù)報，這個字段的值為 0x0800；對于 ARP消息，該字段的值被設(shè)置為 0x0806。 (4)以太網(wǎng)類型 (Ether Type)： 2字節(jié)長，指明在以太網(wǎng)幀中上層協(xié)議的類型。 (2)目的地址 (Destination Address)： 6字節(jié)長，指明目的地址。以太網(wǎng)是當今 TCP/IP采用的主要的局域網(wǎng)技術(shù)，它采用一種稱作 CSMA/CD的媒體接入方法，其意思是帶沖突檢測的載波偵聽多路接入 (Carrier Sense Multiple Access with Collision Detection)，發(fā)送端在傳輸之前要偵聽信道。假設(shè)這個指針為 p。 開始 讀取原始數(shù)據(jù)報文 提取并分析鏈路層報頭 提取并分析 IP 地址信息 提取并分析 TCP/UDP 地址信息 根據(jù)端口判斷應(yīng)用層協(xié)議 顯示 提取報頭中的主要信息 結(jié)束 顯示 第 14 頁 共 23 頁 (5)對所有的數(shù)據(jù) 報 頭分析處理后，取出其中的主要信息然后顯示給用戶 。協(xié)議分析的流程圖如圖 42所示： 圖 42 網(wǎng)絡(luò) 協(xié)議分析流程圖 從圖可以看到，對于監(jiān)聽程序捕獲到的數(shù)據(jù)報，需要按以下步驟分層次進行協(xié)議分析： (1)首先是讀取數(shù)據(jù)鏈路層的 報 頭，從報頭中可以得到：計算機的源 MAC地址和目的 MAC地址、數(shù)據(jù)包的長度以及上層協(xié)議的類型。 當數(shù)據(jù)包被傳輸?shù)侥骋粚拥臅r候，該層都會對數(shù)據(jù)包進行加工，在發(fā)送方通常是加上一個與該層 協(xié)議有關(guān)的控制或標志信息，即數(shù)據(jù)包的包頭或包尾；而在接受方則是需要逐層拆下本層標志，即去掉數(shù)據(jù)包的包頭或包尾，根據(jù)控制信息進行相應(yīng)的處理，將分解后的數(shù)據(jù)報逐層上傳，直至應(yīng)用程序獲得最終數(shù)據(jù)。 具體流程入下圖所示： 圖 31數(shù)據(jù)捕獲模塊流程圖 4 協(xié)議分析模塊的實現(xiàn) 雖然到此為止 已經(jīng)可以順利完成數(shù)據(jù)包的監(jiān)聽工作，但這并不意味著己經(jīng)大功告成了，因為從前面的數(shù)據(jù)包監(jiān)聽的原理中可以知道，數(shù)據(jù)包捕獲程序工作在網(wǎng)絡(luò)底層，將網(wǎng)卡設(shè)置 為混雜模式以后，從網(wǎng)絡(luò)底層捕獲到的數(shù)據(jù)包會直接往上發(fā)給應(yīng)用程序 進行 處理，而不再像普通的數(shù)據(jù)包那樣經(jīng)過操作系統(tǒng)的層層過濾。 第二步用戶輸入用于 捕獲數(shù)據(jù)包的網(wǎng)卡后，調(diào)用 pcap_open_live生成一個抓包描述符。 如果非空，指向包含相對于 addr 指向的地址的一個廣播地址，如果網(wǎng)絡(luò)不支持廣播可能為空。 指向包含一個地址的 sockaddr 的結(jié)構(gòu)的 指針。 }。 sockaddr * addr。 u_int ps_recv。 struct pcap_stat { u_int ps_recv。 數(shù)據(jù)報時間戳； bpf_u_int32 caplen。/*time stamp*/ 第 10 頁 共 23 頁 bpf_u_int32 caplen。 u_int flags。 指向一個字符串，該字符串是傳給 pcap_open_live()函數(shù)的設(shè)備名； char *description。 pcap_if *next。 char *description。第三個參數(shù)是回調(diào)函數(shù)的名稱（正像其標識符所指，無括號）。 int pcap_setfilter(pcap_t *p, struct bpf_program *fp) 功能：設(shè)置過濾規(guī)則。再接下來的則是表達式本身，存儲在規(guī)定的字符串格式里。 to_ms 是讀取時的超時值，單位是毫秒 (如果為 0則一直嗅探直到錯誤發(fā)生，為 1 則不確定 )。 Errbuf：存儲錯誤信息的字符串。 Libpcap可以在絕大多數(shù)類 unix平臺下工作。對用戶程序而言，包捕獲機制提供 了一個統(tǒng)一的接口，使用戶程序只需要簡單的調(diào)用若干函數(shù)就能獲得所期望的數(shù)據(jù)包。不同的操作系統(tǒng)實現(xiàn)的底層包捕獲機制可能是不一樣的，但從形式上看大同小異。一方面要，網(wǎng)絡(luò)截取模塊要能保證截取到所有網(wǎng)絡(luò)上的數(shù)據(jù)包，尤其是檢測到被分片的數(shù)據(jù)包（這可能蘊涵著攻擊）。端口 識別 的原理是常用協(xié)議使用固定端口來進行通信 。 應(yīng)用層以下的各種協(xié)議一般都可以通過下一層的協(xié)議中的關(guān)鍵信息來識別。 協(xié)議識別技術(shù) ： 由于 OSI 的 7 層協(xié)議模型，協(xié)議 數(shù)據(jù)是從上到下封裝后發(fā)送的。 Libpcap是一個基于 BPF查找所有可用的網(wǎng)卡 是否是以 太網(wǎng) 編譯并且設(shè)置過濾規(guī)則 開始捕獲數(shù)據(jù) 并分析顯示結(jié)果 結(jié)束程序 用戶中止嗎？ 選擇用于捕獲的網(wǎng)卡和過濾規(guī)則 開始 N Y N Y 第 7 頁 共 23 頁 的開放源碼的捕包函數(shù)庫。要實現(xiàn)共享以太網(wǎng)中的數(shù)據(jù)捕獲，各個平臺有不同的技術(shù)。要實現(xiàn)程序預(yù)定的功能，就必須解決實現(xiàn)程序的關(guān)鍵技術(shù)。 編譯用戶設(shè)置的過濾規(guī)則。 用戶輸入用于捕獲數(shù)據(jù)包的網(wǎng)卡和過濾規(guī)則。該模塊的主要功能是將分析的結(jié)果顯示給用戶。該模塊的主要功能是對捕獲的數(shù)據(jù)包進行協(xié)議分析。 數(shù)據(jù)處理模塊。其Fedora Core Linux 4 數(shù)據(jù)包捕獲 應(yīng)用程序接口 數(shù)據(jù)包處理 網(wǎng)絡(luò)數(shù)據(jù)報協(xié)議 分析程序 輸入 數(shù)據(jù)捕獲 規(guī)則匹配 數(shù)據(jù)處理 協(xié)議分析 輸出 第 5 頁 共 23 頁 原理是通過把網(wǎng)卡設(shè)置為混雜模式，使得網(wǎng)卡對所有流經(jīng) 它 的數(shù)據(jù)包都交給上 層程序處理。該模塊主要功能是接收用戶輸入用于捕獲數(shù)據(jù)包的信息。本程序通過調(diào)用安裝在 linux上的 Libpcap函數(shù)庫抓取經(jīng)過本地網(wǎng)卡的數(shù)據(jù)包 ， 從而完成數(shù)據(jù)包的捕獲。對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲、規(guī)則過濾和對數(shù)據(jù)包的分析是本程序的主要功能。 2 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序的總體設(shè)計 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序的 功能分析 對于網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序進行功能分析的第一步是要確立程序所要實現(xiàn)的目標，也就是程序最終要解決的問題。 EtherPeek 把查找和修復(fù)多平臺上的復(fù)雜網(wǎng)絡(luò)任務(wù)變得簡單化。 TcpDump 以其強大的功能，靈活的截取策略，成為每個高級的系統(tǒng)管理員分析網(wǎng)絡(luò)，排查問題等所必備的工具之一。這樣才能適應(yīng)網(wǎng)絡(luò)發(fā)展的需要不斷加入新的協(xié)議解析器。很難想象如此多的人開發(fā)的代碼可以很好的融入系 統(tǒng)中；并且在系統(tǒng)中加入一個新的協(xié)議解析器很簡單，一個不了解系統(tǒng)的結(jié)構(gòu)的新手也可以根據(jù)留出的接口進行自己的協(xié)議開發(fā)。比較著名的網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析軟件有：開源軟件： Wireshark、 TcpDump。 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序 的正當用處主要是分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。同時許多防火墻 也是基于包過濾技術(shù)的。另外，軟件的 “ 后門 ” 都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的，一般不為外人所知，但一旦 “ 后門 ” 洞開，其造成 的后果將不堪設(shè)想。 (2)人為的惡意攻擊：這是計算機網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。因此，網(wǎng)絡(luò)必須有足夠強的安全措施，否則該網(wǎng)絡(luò)將是個無用、甚至?xí)＜皣野踩木W(wǎng)絡(luò)。 第 1 頁 共 23 頁 1 引言 課題背景 隨著計算機網(wǎng)絡(luò)的不斷發(fā)展，全球信息化 已 成為當今社會發(fā)展的趨勢。 Protocol identification 目 錄 論文總頁數(shù)： 23頁 1 引言 .......................................................................................................................... 1 課題背景 ......................................................................................................