【正文】 是一個(gè)我們可以存入 任何錯(cuò)誤信息的字符串（就像上面的 errbuf）。當(dāng) promisc 設(shè)為 true 時(shí)將置指定接口為混雜模式（然而，當(dāng)它置為 false 時(shí)接口仍處于混雜模式的特殊情況也是有可能的）。返回值： int，如果返回 0則執(zhí)行成功，錯(cuò)誤返回 1。 Libpcap 中基本的數(shù)據(jù)結(jié)構(gòu)和函數(shù) 主要函數(shù) ： int pcap_findalldevs(pcap_if_t *alldevsp, char *errbuf) 功能：枚舉系統(tǒng)所有網(wǎng)絡(luò)設(shè)備的信息 參數(shù)： alldevsp ： 是 一 個(gè) pcap_if_t 結(jié) 構(gòu) 體 的 指 針 ， 如 果 函 數(shù)pcap_findalldevs 函數(shù)執(zhí)行成功，將獲得一個(gè)可用網(wǎng)卡的列表，而里面存儲(chǔ)的就是第一個(gè)元素的指針。在 windows平臺(tái)下，一個(gè)與 Libpcap很類似的函 數(shù)包 winpcap提供捕獲功能，其官方網(wǎng)站是 Libpcap軟件包可從 載，解壓后依此執(zhí)行下列三條命令即可安裝。 第 8 頁(yè) 共 23 頁(yè) 基于 Libpcap 的網(wǎng)絡(luò)數(shù)據(jù)包捕獲的實(shí)現(xiàn) Libpcap 安裝 Libpcap提供了系統(tǒng)獨(dú)立的用戶級(jí)別網(wǎng)絡(luò)數(shù)據(jù)包捕獲接口，并充分考慮到應(yīng)用程序的可移植性。這樣一來(lái)，針對(duì)特定操作系統(tǒng)的捕獲機(jī)制對(duì)用戶透明，使用戶程序有比較好的可移植性。值得注意的是，包捕獲機(jī)制并不影響操作系統(tǒng)對(duì)數(shù)據(jù)包的網(wǎng)絡(luò)棧處理。數(shù)據(jù)包常規(guī)的傳輸路徑依次為網(wǎng)卡、設(shè)備驅(qū)動(dòng)層、數(shù)據(jù)鏈路層、 IP層、傳輸層、最后到達(dá)應(yīng)用程序。 從廣義的角度上看，一個(gè)包捕獲機(jī)制包含三個(gè)主要部分：最底層是針對(duì)特定操作系統(tǒng)的包捕獲機(jī)制，最高層是針對(duì)用戶程序的接口，第三部分是包過(guò)濾機(jī)制。另方面，數(shù)據(jù)截取模塊截取數(shù)據(jù)包的效率也是很重要的。 3 網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊的實(shí)現(xiàn) 網(wǎng)絡(luò)數(shù)據(jù)包捕獲簡(jiǎn)介 網(wǎng)絡(luò)數(shù)據(jù)包截獲一般指通過(guò)截獲整個(gè)網(wǎng)絡(luò)的所有信息流量，根據(jù)信息源主機(jī)，目標(biāo)主機(jī)，服務(wù)協(xié)議端口等信息簡(jiǎn)單過(guò)濾掉不關(guān)心的數(shù)據(jù)，再將用戶感興趣的數(shù)據(jù)發(fā)送給更高層的應(yīng)用程序進(jìn)行分析。端口識(shí)別的優(yōu)點(diǎn)是：簡(jiǎn)單、容易實(shí)現(xiàn)。在本程序中我們采用的是端口識(shí)別技術(shù)。但是應(yīng)用層的協(xié)議種類相當(dāng)多，無(wú)法從下層協(xié)議中識(shí)別。將里面的數(shù)據(jù)交給傳輸層分析，這樣一直進(jìn)行下去直到應(yīng)用層。對(duì)于協(xié)議的識(shí)別需要從下至上進(jìn)行。對(duì)各種協(xié)議進(jìn)行分析時(shí)主要是將報(bào)頭中的重要信息顯示給用戶，還有可能對(duì)數(shù)據(jù)包的正文信息解碼?，F(xiàn)有的大部分 Linux捕包系統(tǒng)都是基于這套函數(shù)庫(kù)或者是在它基礎(chǔ)上做一些針對(duì)性的改進(jìn)。通過(guò)調(diào)用Libpcap庫(kù)函數(shù) 可以輕易的實(shí)現(xiàn)共享以太網(wǎng)中數(shù)據(jù)包的截獲， 而且實(shí)時(shí)性相當(dāng)?shù)膹?qiáng)，因?yàn)?Libpcap是處于用戶態(tài)所以減少了系統(tǒng)的開(kāi)銷。在 Linux有一個(gè)專門(mén)為程序員編寫(xiě)數(shù)據(jù)包捕獲程序而開(kāi)發(fā)的庫(kù)： Libpcap。因此實(shí)現(xiàn)數(shù)據(jù)包捕獲是本程序設(shè)計(jì)的基礎(chǔ)也是首先要解決的技術(shù)問(wèn)題。網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序要實(shí)現(xiàn)的關(guān)鍵技 術(shù)包括：數(shù)據(jù)包捕獲技術(shù)、對(duì) TCP/IP各層基本協(xié)議進(jìn)行分析的技術(shù)、協(xié)議識(shí)別技術(shù)。 第 6 頁(yè) 共 23 頁(yè) 圖 23 網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議分析程序 的流程圖 系統(tǒng)實(shí)現(xiàn)的關(guān)鍵技術(shù)分析 前面給出了網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序的總體結(jié)構(gòu)、功能模塊和工作流程。 開(kāi)始進(jìn)行捕獲，并分析數(shù)據(jù)，將數(shù)據(jù)顯示給用戶。因?yàn)楸境绦蛑荒茉诠蚕硪蕴W(wǎng)中進(jìn)行數(shù)據(jù)捕獲。只過(guò)濾用戶所關(guān)心的信息 。 程序的工作流程 圖 23為本程序的流程圖，下面其進(jìn)行簡(jiǎn)要的敘述： 程序開(kāi)始時(shí)首先查找計(jì)算機(jī)上所 有 可用的網(wǎng)卡，并讓用戶選擇用于捕獲數(shù)據(jù)包的網(wǎng)卡。對(duì)數(shù)據(jù)包進(jìn)行協(xié)議分析后要把結(jié)果顯示給用戶本程序才結(jié)束。 4． 2 顯示模塊。把數(shù)據(jù)包捕獲下來(lái)后，我們需要對(duì)其 分析才能知道網(wǎng)絡(luò)中存在的安全問(wèn)題。 4． 1 協(xié)議分析模塊。該模塊的主要功能是對(duì)捕獲的數(shù)據(jù)進(jìn)行分析顯示處理。因此我們?cè)O(shè)置 了 一個(gè)規(guī)則匹配模塊，當(dāng)所捕獲的信息與我們?cè)O(shè)置的規(guī)則相符時(shí)我們就把它交給數(shù)據(jù)處理模塊，否則就丟棄。 規(guī)則匹配模塊，該模塊的主要功能是根據(jù)用戶的需求對(duì)需要捕獲的數(shù)據(jù)包進(jìn)行過(guò)濾設(shè)置。該模塊的主要功能是捕獲流經(jīng)本地網(wǎng)卡的所有數(shù)據(jù)。其中包括選擇用于捕獲的網(wǎng)絡(luò)接口和需要過(guò)濾的內(nèi)容。 系統(tǒng)的結(jié)構(gòu)和功能 網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議分析程序是一個(gè)基于 Libpcap開(kāi)發(fā)庫(kù)，應(yīng)用與共享以太網(wǎng)的網(wǎng)絡(luò)分析程序如圖 22所示，系統(tǒng)主要包括 4大模塊： 圖 22網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議分析程序的層次圖 數(shù)據(jù)輸入模塊。然后將捕獲后的數(shù)據(jù)包交給上層的數(shù)據(jù)處理模塊，進(jìn) 行協(xié)議分析。 Fedora Core是 linux的一個(gè)發(fā)行版 ， 他的前身是 Redhat linux。 系統(tǒng)的組成結(jié) 構(gòu)和工作流程 系統(tǒng)的結(jié)構(gòu)框圖 基于以上分析，本文設(shè)計(jì)了網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序，圖 21是程序的結(jié)構(gòu)框圖 。為了減少設(shè)計(jì)的復(fù)雜度，程序采用字符界面。本程序所要實(shí)現(xiàn)的目標(biāo)就是在共享式以太網(wǎng)中捕獲根據(jù)過(guò)濾規(guī)則設(shè)置的流經(jīng)本地網(wǎng)卡的數(shù)據(jù)包，并且對(duì)數(shù)據(jù)包中的信息進(jìn)行分析。在有問(wèn)題的局域網(wǎng)絡(luò)中使用 EtherPeek執(zhí)行一個(gè)自定的診斷測(cè)試，監(jiān)控網(wǎng)絡(luò)的通信和事件，跟蹤非法的網(wǎng)絡(luò)活動(dòng)，測(cè)試和調(diào)試網(wǎng)絡(luò)軟硬件。 EtherPeek 采用工業(yè)標(biāo)準(zhǔn)，非常容易使用，提供解碼、過(guò)濾和診斷網(wǎng)絡(luò)的功能。支持Macintosh 和 Windows 平臺(tái)。 EtherPeek：這個(gè)工具軟件開(kāi)始只是一個(gè)網(wǎng)絡(luò)分析器型的數(shù)據(jù)包監(jiān)測(cè)軟件，經(jīng)過(guò)這些年的發(fā)展已經(jīng)成為一個(gè)真正的網(wǎng)絡(luò)管理工具并具有網(wǎng)站監(jiān)視和分析等新的功能，被美國(guó)聯(lián)邦調(diào)查局用來(lái)追蹤逃犯、販賣毒品的人、電腦黑客和一些被懷疑為外國(guó)間諜的人。用盡量簡(jiǎn)單的話來(lái)定義TcpDump，就是： dump the traffic on a work，根據(jù)使用者的定義對(duì)網(wǎng)絡(luò)上 第 3 頁(yè) 共 23 頁(yè) 的數(shù)據(jù)包進(jìn)行截獲的包分析工具。 TcpDump： 顧名思義， TcpDump 可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的 “ 頭 ” 完全截獲下來(lái)提供分析。一個(gè)好的協(xié)議分析器必需有很好的可擴(kuò)展性和結(jié)構(gòu)。這都?xì)w功于Wireshark 良好的設(shè)計(jì)結(jié)構(gòu)。它目前所提供的強(qiáng)大的協(xié)議分析功能完全可以媲美商業(yè)的網(wǎng)絡(luò)分析系統(tǒng)，自從 1998年發(fā)布最早的 版本至今，大量的志愿者為 Wireshark 添加新的協(xié)議解析器，如今 Wireshark 已經(jīng)支持五百多種協(xié)議解析。商用軟件：EtherPeek 下面對(duì)這幾種軟件進(jìn)行簡(jiǎn)要的介 紹： Wireshark： Wireshark 是一個(gè)開(kāi)放源碼的網(wǎng)絡(luò)分析系統(tǒng)，也是是目前最好的開(kāi)放源碼的網(wǎng)絡(luò)協(xié)議分析器，支持 Linux 和 Windows 平臺(tái)。 國(guó)內(nèi)外研究現(xiàn)狀 現(xiàn)在國(guó)內(nèi)外已經(jīng)有很多成熟并且功能強(qiáng)大的網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析軟件。例如，假設(shè)網(wǎng)絡(luò)的某一段運(yùn)行得不是很好，報(bào)文的發(fā)送比較慢 ,而我們又不知道問(wèn)題出在什么地方，此時(shí)就可以用 網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序 來(lái)作出精確的問(wèn)題判斷。它是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。本文將介紹網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序的工作原理以及它的實(shí)現(xiàn)。網(wǎng)絡(luò)安全管理員運(yùn)用網(wǎng)絡(luò)封包 截 獲技術(shù)，抓取網(wǎng)絡(luò) 中 有用 的 數(shù)據(jù)包，然后通過(guò)對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行分析， 確定哪些是有害的 或者 含有攻擊企圖的包，以此來(lái)達(dá)到對(duì)網(wǎng)絡(luò)攻擊的預(yù)防。 為了及早發(fā)現(xiàn)并制止網(wǎng)絡(luò)上的各種攻擊，我們需要通過(guò)對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行分 析來(lái)發(fā)現(xiàn)并找出問(wèn)題，提前預(yù)防。 (3)網(wǎng)絡(luò)軟件的漏洞和 “ 后門(mén) ” ：網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的，然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)，曾經(jīng)出現(xiàn)過(guò)黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，這些事件的大部分就是因?yàn)榘踩胧┎煌晟扑兄碌目喙?。此類攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式 有選擇地破壞信息的有效性和完整性；另一類是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。影響計(jì)算機(jī)網(wǎng)絡(luò)的因素很多，有些因素可能是有意的，也可能是無(wú)意的；可能是人為的，也可能是非人為的；可能是外來(lái)黑客對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非法使有，歸結(jié)起來(lái)，針對(duì)網(wǎng)絡(luò)安全的威脅主要有三種： (1)人為的無(wú)意失誤：如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。在計(jì)算機(jī)網(wǎng)絡(luò) 的世界里，存在著很多潛在的威脅，因此網(wǎng)絡(luò)的安全措施應(yīng)能全方位地應(yīng) 對(duì)各種不同的威脅，這樣才可以真正的做到網(wǎng)絡(luò)服務(wù)于社會(huì)，體現(xiàn)網(wǎng)絡(luò)的先進(jìn)性。對(duì)于軍用的自動(dòng)化指揮網(wǎng)絡(luò)和銀行等傳輸敏感數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。但由于計(jì)算機(jī)網(wǎng)絡(luò)自身所特具有的特點(diǎn)，比如聯(lián)結(jié)形式 多樣性和網(wǎng)絡(luò)的開(kāi)放性、互連性等特征，所以導(dǎo)致網(wǎng)絡(luò)易受黑客還有一些病毒的攻擊。 聲 明 .............................................................................................. 錯(cuò)誤 !未定義書(shū)簽。 參考文獻(xiàn) .............................................................................................. 錯(cuò)誤 !未定義書(shū)簽。 Application layer。 Linux。 Thirdly, we explain the workflow about protocol analysis, and analyze mon work protocols。 and we make an integrated design on the program, define functions of it, figure out its structure and hierarchical graphs, describe the workflow of it, and analyze the key techniques used in it。最后進(jìn)行了 程序的測(cè)試與運(yùn)行：測(cè)試了程序能否按照預(yù)期的效果正確執(zhí)行，印證了預(yù)期結(jié)果。接著， 介紹 完數(shù)據(jù)包捕獲的相關(guān)背景和 Libpcap函數(shù)庫(kù) 后 ，闡述了如何利用 Libpcap函數(shù)庫(kù)實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊 。 本文的主要內(nèi)容如下： 首先 介紹了網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序的背景和概念 。程序由輸入 /輸出模塊、規(guī)則匹配模塊、數(shù)據(jù)捕獲模塊、協(xié)議分析模塊組成。 網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議分析程序的設(shè)計(jì)開(kāi)發(fā) 摘 要 本文設(shè)計(jì)與實(shí)現(xiàn)了一個(gè)基于 Linux下 Libpcap庫(kù)函數(shù)的網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析程序。程序的主要功能包括網(wǎng)絡(luò)數(shù)據(jù)包捕獲和常用網(wǎng)絡(luò)協(xié)議分析。其中數(shù)據(jù)捕獲模塊和協(xié)議分析模塊是本程序最關(guān)鍵、最主要的模塊。其次 進(jìn)行了程序的總體設(shè)計(jì)：確定了程序的功能，給出了程序的結(jié)構(gòu)圖和層次圖，描述了程序的工作流程，對(duì)實(shí)現(xiàn)程序的關(guān)鍵技術(shù)做出了分析 。然后 對(duì)協(xié)議分析流程進(jìn)行了詳細(xì)的講解，分析了常用網(wǎng)絡(luò)協(xié)議 。 關(guān)鍵詞： Libpcap； Linux； 數(shù)據(jù)包捕獲；應(yīng)用層 ； 協(xié)議識(shí)別