【正文】 議 21 FTP 23 Tel 25 SMTP 53 DNS 80 HTTP 110 POP3 161 SNMP 基于 TCP/IP 的協(xié)議分析器設(shè)計(jì) 14 6) HTTP 的數(shù)據(jù)報(bào)格式 HTTP 有兩類的報(bào)文：一類是請(qǐng)求報(bào)文，它是從客戶向服 務(wù)器發(fā)送的請(qǐng)求報(bào)文，其報(bào)文結(jié)構(gòu)如圖 310 所示；另一類是響應(yīng)報(bào)文，它是從服務(wù)器到客戶的回答，其報(bào)文結(jié)構(gòu)如圖311 所示。我們可以通過(guò)端口號(hào)來(lái)判斷應(yīng)用層的協(xié)議類型。UDP 數(shù)據(jù)包格式如圖 39 所示。 ? FIN：發(fā)端完成發(fā)送任務(wù)。 ? RST：重建連接。 ? ACK：確認(rèn)序號(hào)有效。 其中碼元比特為 TCP 的標(biāo)志比特。這 是計(jì)算機(jī)為確保數(shù)據(jù)的正確到達(dá)而采取的措施。 ICMP 的數(shù)據(jù)報(bào)格式如圖 37 所示。 該標(biāo)識(shí) 存儲(chǔ)在 IP 數(shù)據(jù)結(jié)構(gòu)的協(xié)議 域，分別是用數(shù)值 1 表示 ICMP 協(xié)議， 數(shù)值 2 表示 IGMP 協(xié)議， 數(shù)值 6 表示 TCP協(xié)議， 數(shù)值 17 表示 UDP 協(xié)議。 IP 數(shù)據(jù)報(bào)的結(jié)構(gòu)類型如圖 36 所示。ARP的格式如圖 35 所示。 表 31 類型字段對(duì)照表 類型字段值 上層協(xié)議類型 0x0080 IP 0x0806 ARP 0x0835 RARP 0x86dd IPv6 2) ARP 信息格式 地址解析協(xié)議 ARP 就是將計(jì)算機(jī)中的 IP 地址轉(zhuǎn)換 成物理地址，而且地址解析只能在本地網(wǎng)絡(luò)中進(jìn)行。由于 標(biāo)準(zhǔn)規(guī)定的類型字段的有效值均大于 數(shù)據(jù)的最大長(zhǎng)度 1500，所以，可以根據(jù)這個(gè)來(lái)判斷接收到的以太網(wǎng)幀是否為常用的 RFC894 的封裝格式。其物理幀格式如圖 34 所示。圖 33 顯示了該過(guò)程是如何發(fā)生的。此時(shí)，數(shù)據(jù)包就開始從協(xié)議棧中由數(shù)據(jù)鏈路層至應(yīng)用層，同時(shí) 去掉各層協(xié)議加上的報(bào)文首部。而 IP 數(shù)據(jù)報(bào)需要在以太網(wǎng)上傳輸，所以要將其封裝成以太網(wǎng)幀，通過(guò)以太網(wǎng)傳輸?shù)谋忍亓骶涂梢酝ㄟ^(guò)物理介質(zhì)發(fā)送數(shù)據(jù)了。數(shù)據(jù)封裝的過(guò)程還 是在在 TCP/IP 協(xié)議棧中進(jìn)行。協(xié)議棧的每一層對(duì)收到的數(shù)據(jù)報(bào)都要進(jìn)行再處理，主要是增加所在層的首部信息（有時(shí)還要增加尾部信息），直到數(shù)據(jù)轉(zhuǎn)化為一串二進(jìn)制比特流送入網(wǎng)絡(luò)，這個(gè)過(guò)程稱為數(shù)據(jù)的封裝 [14]。 TCP/IP 的協(xié)議 簇分層結(jié)構(gòu)如圖 31 所示。 4) 網(wǎng)絡(luò)接口層通常包括操作系統(tǒng)中的設(shè)備驅(qū)動(dòng)程序和計(jì)算機(jī)中對(duì)應(yīng)的網(wǎng)絡(luò)接口卡。 3) 網(wǎng)際層負(fù)責(zé)為分組交換網(wǎng)上的不同主機(jī)提供通信服務(wù)。 2) 運(yùn)輸層的任務(wù)即使負(fù)責(zé)向兩個(gè)主機(jī)上的應(yīng)用程序提供端到端的通信。 ? SMTP 簡(jiǎn)單郵件傳送協(xié)議。在因特網(wǎng)中的應(yīng)用層協(xié)議很多，幾乎各種不同的 TCP/IP 實(shí)現(xiàn)都會(huì)提供下面這些通用的應(yīng)用程序： ? Tel 遠(yuǎn)程登錄。而 TCP/IP 通信協(xié)議通常被認(rèn) 為是一種四層協(xié)議系統(tǒng)，它包含應(yīng)用層、運(yùn)輸層、網(wǎng)際層、網(wǎng)絡(luò)接口層； 每一層分別負(fù)責(zé)不同的功能 [13]： 1) 應(yīng)用層負(fù)責(zé)處理特定的應(yīng)用程序細(xì)節(jié)。在 TCP/IP 協(xié)議棧中，駐留有兩個(gè)不同的協(xié)議，即無(wú)連接的 UDP 和面向連接的 TCP 協(xié)議 [12]， TCP/IP 并不完全符合 OSI 的七層協(xié)議體體系結(jié)構(gòu)。 7) pcap_setfilter；用于將一個(gè)過(guò)濾的字節(jié)碼與一個(gè)內(nèi)核捕獲示例相關(guān)聯(lián)。 5) pcap_next_ex；用于從一個(gè)網(wǎng)絡(luò)適配器設(shè)備或從一個(gè)脫機(jī)文件中讀取一個(gè)數(shù)據(jù)包。用于釋放打開函數(shù) pcap_openxxx 所獲得的相關(guān)資源。獲得本機(jī)的網(wǎng)絡(luò)接口。用于打開本地主機(jī)的網(wǎng)絡(luò)適配器，并且可進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的捕獲。一般情況下， 能自動(dòng)調(diào)用 的函數(shù)，所以程序員可以直接使用 動(dòng)態(tài)鏈接庫(kù)的函數(shù)。因?yàn)?winpcap是以 libpcap 為基礎(chǔ) 設(shè)計(jì)的，所以它繼承了 libpcap 的一些函數(shù)，又開發(fā)出一些其他高層的函數(shù)，而且這些函數(shù)的調(diào)用方法不變。它 是一個(gè)包含了公共 winpcap API的動(dòng)態(tài)鏈接庫(kù)，它輸出了一組依賴于系統(tǒng) 、 用來(lái)捕獲和分析網(wǎng)絡(luò)流量的函數(shù) ， 但是它的調(diào)用不依賴于操作系統(tǒng)，它提供了更加高層的、抽象的函數(shù)。并且它還輸出一個(gè)可以在所有 Windows 操作系統(tǒng)中通用的 API，這樣，操作系統(tǒng)和庫(kù)就可以在所有的Windows 操作系統(tǒng)下重新編譯運(yùn)行。 2. 動(dòng)態(tài)鏈接庫(kù)模塊 是一個(gè)動(dòng)態(tài)鏈接庫(kù)，并提供了一些低層的函數(shù)，用來(lái)實(shí)現(xiàn)以下功能： 基于 TCP/IP 的協(xié)議分析器設(shè)計(jì) 7 ? 安 裝、 啟動(dòng)、設(shè)置和停止 NPF 設(shè)備驅(qū)動(dòng)程序； ? 設(shè)置 NPF 驅(qū)動(dòng)程序 實(shí)現(xiàn)數(shù)據(jù)包的 發(fā)送和接收； ? 獲取已連接 的網(wǎng)絡(luò)適配器列表； ? 獲取適配器的不同列表的所有地址信息； ? 查詢 /設(shè)置一個(gè)低層的適配器參數(shù)。為了使配置更具靈活性，在運(yùn)行的時(shí)候，內(nèi)核與用戶控件緩沖區(qū)的設(shè)置也能夠被改變，而 與 庫(kù)則提供了實(shí)現(xiàn)該功能的接口函數(shù)。 2) 環(huán)形緩沖區(qū) 為避免數(shù)據(jù)包的丟失， NPF 使用一個(gè)環(huán)形緩沖區(qū)用來(lái)保存 捕獲到的 數(shù)據(jù)包。對(duì)于一個(gè)數(shù)據(jù)包而言，如果 該 函數(shù)的返回值為 TRUE，則把數(shù)據(jù)包復(fù)制到應(yīng)用層中，如果返回值是 FALTE，則將數(shù)據(jù)包丟棄。數(shù)據(jù)包的捕獲過(guò)程依賴于下列兩個(gè)組件 [6]： 1) 數(shù)據(jù)包過(guò)濾器 數(shù)據(jù)包過(guò)濾器決定是否將到來(lái)的數(shù)據(jù)包接收并復(fù)制到一個(gè)應(yīng)用程序中。 NPF 能夠執(zhí)行許多操作，包括數(shù)據(jù)包捕獲、數(shù)據(jù)包發(fā)送、網(wǎng)絡(luò)統(tǒng)計(jì)及數(shù)據(jù)包轉(zhuǎn)儲(chǔ)到磁盤等，其中，最重要的功能是執(zhí)行數(shù)據(jù)包的捕獲。 本系統(tǒng)與 winpcap 的依賴關(guān)系如圖 21所示。對(duì)于介質(zhì)共 享式的網(wǎng)絡(luò)上的主機(jī)，無(wú)論數(shù)據(jù)包是被發(fā)送到運(yùn)行winpcap 的機(jī)器上，還是被發(fā)送到其他主機(jī)上進(jìn)行交換，它都可以被捕獲； 2) 在 數(shù)據(jù)包 傳送給上層處理程序之前，可根據(jù)用戶指定的 或 是 自定義的規(guī)則 將不需要數(shù)據(jù)包 過(guò)濾掉； 3) 將原始的數(shù)據(jù)包從接口處發(fā)送到網(wǎng)絡(luò)上； 4) 收集網(wǎng)路通信過(guò)程中統(tǒng)計(jì)信息，如網(wǎng)絡(luò)流量、網(wǎng)絡(luò)狀態(tài)等。網(wǎng)絡(luò)數(shù)據(jù)包捕獲函數(shù)庫(kù)winpcap 便是如此，本次設(shè)計(jì)主要調(diào)用 winpcap 開源庫(kù) 。最后，根據(jù)數(shù)據(jù)包的封裝過(guò)程，依次在協(xié)議棧中由下至上層層傳送，最終將數(shù)據(jù)傳遞給相應(yīng)的 應(yīng)用程序。 本開發(fā)包的捕獲引擎 有三個(gè)主要組成部分：最底層是在不同操作系統(tǒng)中具有差異性的設(shè)備驅(qū)動(dòng)程序，高層的則是與用戶程序相連接的接口，第三部分是實(shí)現(xiàn)數(shù)據(jù)包的過(guò)濾 錯(cuò)誤 !未找到引用源。 目前 ,以 C 語(yǔ)言為編程語(yǔ)言的常用的網(wǎng)絡(luò)數(shù)據(jù)開發(fā)函數(shù)庫(kù)有 [10]： ? UNIX 平臺(tái)下的 數(shù)據(jù)包捕獲函數(shù)庫(kù) libpcap； ? Windows 平臺(tái)下的數(shù)據(jù)包捕獲函數(shù)庫(kù) winpcap； ? 網(wǎng)絡(luò)數(shù)據(jù)包構(gòu)造可發(fā)送函數(shù)庫(kù) lib； ? 網(wǎng)絡(luò)入侵檢測(cè)函數(shù)庫(kù) libnids； ? 通用網(wǎng)絡(luò)安全函數(shù)庫(kù) libd。這樣一來(lái)，不僅使網(wǎng) 絡(luò)安全程序的開發(fā)過(guò)程簡(jiǎn)化，而且也提高了程序的性能與穩(wěn)定性。 網(wǎng)絡(luò)開發(fā)工具 網(wǎng)絡(luò)開發(fā)現(xiàn)有的函數(shù)庫(kù) 本機(jī)上大多數(shù)的應(yīng)用程序是通過(guò)操作系統(tǒng)自帶的驅(qū)動(dòng)程序訪問(wèn)網(wǎng)絡(luò)的，如套接字驅(qū)動(dòng)程序 [6]；通常，安全檢測(cè)程序都需要對(duì)網(wǎng)絡(luò)中的通信細(xì)節(jié)（如連接通信雙方的網(wǎng)絡(luò)地址或或端口號(hào)，服務(wù)類型等）進(jìn)行相應(yīng)的檢查、控制和處理。即使說(shuō) 主機(jī)的網(wǎng)卡工作在混雜模式 ，其結(jié)果也是一樣。交換機(jī)擁有自己的地址緩沖區(qū)，它可以通過(guò)地址映射表來(lái)決定 把數(shù)據(jù)包發(fā)送到哪個(gè)端口 [9]；與集線器把一個(gè)數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)到各個(gè)端口的工作方式相比，這種做法既提高網(wǎng)絡(luò)的性能，也提高了網(wǎng)絡(luò)的安全性。 交換式的網(wǎng)絡(luò)數(shù)據(jù)捕獲 交換環(huán)境下的以太網(wǎng) 其實(shí)就是 使用交換機(jī)來(lái)連接各網(wǎng)絡(luò)結(jié)點(diǎn) 的網(wǎng)絡(luò) 。每個(gè)主機(jī)都獨(dú)立地連接到集線器基于 TCP/IP 的協(xié)議分析器設(shè)計(jì) 4 上，如果主機(jī)或線路發(fā)生問(wèn)題，也只會(huì)影 響本機(jī)的線路，不會(huì)影響其他計(jì)算機(jī)的運(yùn)作。 共享式的網(wǎng)絡(luò)數(shù)據(jù)捕獲 從上 面介紹的網(wǎng)卡模式可知，主機(jī)的網(wǎng)卡一般只接收發(fā)給自己的數(shù)據(jù)包，所以在網(wǎng)絡(luò)通信中，主機(jī)中的套接字程序只會(huì)對(duì)那些與本機(jī)的硬件地址相匹配的數(shù)據(jù)幀，還有那些在以太網(wǎng)中廣播的數(shù)據(jù)幀產(chǎn)生響應(yīng) [7]；如果網(wǎng)卡在混雜模式下工作，那么本機(jī)就會(huì)對(duì)流經(jīng)本本機(jī)的每個(gè)數(shù)據(jù)報(bào)文產(chǎn)生中斷，以響應(yīng)數(shù)據(jù)包。當(dāng)網(wǎng)卡工作在混雜模式下時(shí)，不做任何判斷，直接將接收到的所有數(shù)據(jù)包直接交給上層處理程序。 混雜模式 網(wǎng)卡能夠接收所有 流過(guò)本機(jī)網(wǎng)卡的數(shù)據(jù)包 ， 不管該數(shù)據(jù) 是 傳給 誰(shuí)的。一般情況下，組播幀 不能 夠 被組外的主機(jī)接收，只可以被組內(nèi)的其他主機(jī)同時(shí)接收；工作在 組播模式 下的網(wǎng)卡 可以接收所有的組播幀。 表 21 網(wǎng)卡的工作模式 網(wǎng)卡模式 說(shuō)明 廣播模式 網(wǎng)卡能夠接收網(wǎng)絡(luò)中所有以 0xffffffffffff 作為目的物 理地址的廣播幀?；?TCP/IP 的協(xié)議分析器設(shè)計(jì) 3 第二章 網(wǎng)絡(luò)數(shù)據(jù)捕獲及 winpcap 的相關(guān)知識(shí) 網(wǎng)絡(luò)數(shù)據(jù)捕獲 網(wǎng)卡的工作模式 正常情況下，接收數(shù)據(jù)的主機(jī)網(wǎng)卡會(huì)根據(jù)數(shù)據(jù)包中所包含的目的 物理 地址進(jìn)行判斷，若檢驗(yàn)出是自己的 物理 地址 ,則接收該 數(shù)據(jù)包，上層的處理程序會(huì)繼續(xù)對(duì)數(shù)據(jù)包進(jìn)行處理，否則丟棄該數(shù)據(jù)包； 如果檢驗(yàn)出目的物理地址為廣播地址，那么這種數(shù)據(jù)包全部接收。也闡述了程序性能方面可實(shí)現(xiàn)的改進(jìn)。本章節(jié)的重點(diǎn)在于闡述了以 winpcap 開源包為基礎(chǔ)的協(xié)議解析的原理，包括數(shù)據(jù)包捕獲的實(shí)現(xiàn)、數(shù)據(jù)包過(guò)濾規(guī)則的設(shè)置、數(shù)據(jù)包的逐層分析等等。而且，這章還介紹了用于 網(wǎng)絡(luò)開發(fā)的函數(shù)庫(kù)，并深入介紹 winpcap 的相關(guān)知識(shí)，其中特別闡述了 winpcap 開源包的主要功能模塊、主要函數(shù)等。 . 論文結(jié)構(gòu) 本論文在結(jié)構(gòu)上分為五個(gè)章節(jié)： 第一章闡述了本次設(shè)計(jì)所選課題的研究背景、研究現(xiàn)狀以及本文的研究?jī)?nèi)容等。 winpcap開源包 的優(yōu)點(diǎn)在于它有強(qiáng)大的捕獲網(wǎng)絡(luò)數(shù)據(jù)包的功能 ， 它能夠 利用底層驅(qū)動(dòng)實(shí)現(xiàn)對(duì) 本 機(jī) 數(shù)據(jù)鏈路層 的訪問(wèn)，并可監(jiān)測(cè) 所有數(shù)據(jù)包 的傳輸 ， 而且，winpcap可以實(shí)時(shí)處理這些數(shù)據(jù)包，只需系統(tǒng)有下達(dá)相關(guān)的要求 即 可 。大多主機(jī)上都有設(shè)置防火墻，用以阻止非法行為，還有一些常用的殺毒軟件中都包含了安全診斷技術(shù)和網(wǎng)絡(luò)故障排除技術(shù)。 . 本文研究?jī)?nèi)容 本課題研究設(shè)計(jì)以 TCP/IP為基礎(chǔ)的協(xié)議分析器。包過(guò)濾控制技術(shù)是利用路由器的監(jiān)視功能，對(duì)網(wǎng)絡(luò)上流動(dòng)的 IP 包進(jìn)行過(guò)濾 ,基于 TCP/IP 的協(xié)議分析器設(shè)計(jì) 2 并拒絕發(fā)送不透明的包 [3]；而且，各種開發(fā)語(yǔ)言與軟件的誕生也為協(xié)議的分析研究提供了了方便，最常用的有 pcap 開源庫(kù)，由 Van Jacobson 先生開發(fā)。所以在 1980 年， James Anderson 先生首先肯定網(wǎng)絡(luò)入侵可以被檢測(cè)，并對(duì)此作了詳細(xì)的說(shuō)明；他將具有入侵性質(zhì)的網(wǎng)絡(luò)行為分為三種，分別是外部滲透行為、內(nèi)部滲透行為和不法行為，并且他還提出可以利用審計(jì)跟蹤的方法抓根源，也從此揭開了入侵檢測(cè)的研究序幕 [2]]。協(xié)議分析器的實(shí)現(xiàn)重點(diǎn)在于數(shù)據(jù)捕獲和數(shù)據(jù)包解析兩個(gè)方面 [1]，它是是在網(wǎng)絡(luò)上使用的一種監(jiān)聽技術(shù)，可以完成對(duì)數(shù)據(jù)包的捕獲、解包和分析的功能，管理者可以用它來(lái)分析和管理網(wǎng)絡(luò)。最原始的，應(yīng)該是 TCP/IP 協(xié)議的層次結(jié)構(gòu)分析，包括各層所使用的網(wǎng)絡(luò)協(xié)議，各層次之間的聯(lián)系以及數(shù)據(jù)包在協(xié)議棧中的傳輸過(guò)程。當(dāng)然，網(wǎng)絡(luò)分析作為一種技術(shù)，我們可以正確使用它以達(dá)到好的目的。 網(wǎng) 絡(luò)分析是一把雙刃劍。管理不善或是技術(shù)匱乏都有可能導(dǎo)致網(wǎng)絡(luò)安全受到威脅。但是，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展更新，相關(guān)的網(wǎng)絡(luò)問(wèn)題也凸顯出來(lái)。人們對(duì)互聯(lián)網(wǎng)的依賴越來(lái)越大，世界以互聯(lián)網(wǎng)作為橋梁，正在走向融合。 【 關(guān)鍵詞 】 winpcap 開源包 ， TCP/IP 協(xié)議，數(shù)據(jù)包捕獲，協(xié)議分析基于 TCP/IP 的協(xié)議分析器設(shè)計(jì) II Design a protocol analyzer based on TCP/IP protocol Abstract Network analysis technology as a positive safety monitoring technology, it can occur in the realtime monitoring of work events and more effective protection of the security of the work to be monitored. The work analysis technology is also one of the core technologies for work intrusion detection systems. Therefore, the study to capture the packetbased work monitoring is necessary in todays. The topic designs a realtime work packet capture and statistical analysis system for 10Mbps Ether. The system uses winpcap es with work packet capture mechanism for monitoring and statistical analysis of data packets flowing through the local puter. In the loop capturing data packets at the same time, synchronization is achieved on t