【正文】 與開放性的網(wǎng)絡(luò)容易受到病毒、黑客、惡意插件等的攻擊，因此，網(wǎng)絡(luò)安全、網(wǎng)絡(luò)性能、網(wǎng)絡(luò)軟件質(zhì)量等問題越來越受到人們的關(guān)注。為了提高網(wǎng)絡(luò)的安全性，需要對網(wǎng)絡(luò)有一定的了解，正是由于這種原因，網(wǎng)絡(luò)分析技術(shù)逐漸發(fā)展成熟。網(wǎng)絡(luò)系統(tǒng)管理人員與安全監(jiān)測人員可以用它處理網(wǎng)絡(luò)故障和監(jiān)測網(wǎng)絡(luò)安全的工作，但是，它也可以被網(wǎng)絡(luò)入侵者非法使用。 . 研究現(xiàn)狀 從 TCP/IP 協(xié)議誕生至今，有很多的研究者專門研究以 TCP/IP 協(xié)議為基礎(chǔ)的各種網(wǎng)絡(luò)協(xié)議。 為了能更加直觀地理解在以 TCP/IP 協(xié)議為基礎(chǔ)的網(wǎng)絡(luò)協(xié)議指引下，數(shù)據(jù)包在以太網(wǎng)的傳送過程，包括數(shù) 據(jù)包所攜帶的信息以及數(shù)據(jù)包在各層次結(jié)構(gòu)間的捕獲交接過程，許多研究者研究并開發(fā)了具有實際教學(xué)意義和商業(yè)潛力的協(xié)議分析器，如網(wǎng)絡(luò)嗅探器，也就是數(shù)據(jù)包抓取分析器。 而 TCP/IP 協(xié)議簇的開放性導(dǎo)致其在安全上存在一定的漏洞。 同時 ,網(wǎng)絡(luò)研究者也研究設(shè)計了包過濾控制技術(shù)，而這種數(shù)據(jù)包過濾技術(shù)也大大提高局域網(wǎng)的安全性。使用 winpcap 程序庫的函數(shù)，可以得到在自己所屬網(wǎng)絡(luò)上傳送的全部數(shù)據(jù)包 [3]； winpcap 是在 Windows 平臺上訪問網(wǎng)絡(luò)數(shù)據(jù)鏈路層的開源庫，其允許應(yīng)用程序繞開網(wǎng)絡(luò)協(xié)議棧來捕獲與發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包，并具備其他有用的特性，諸如內(nèi)核 空間的數(shù)據(jù)包過濾、網(wǎng)絡(luò)統(tǒng)計引擎等。并說明是如何實現(xiàn)數(shù)據(jù)包捕獲的，并對數(shù)據(jù)包進行解包和分析。這些技術(shù)的完成都要首先實現(xiàn)對 網(wǎng)絡(luò) 數(shù)據(jù)包的 分析。 在對 TCP/IP協(xié)議體系有了一定掌握的前提下，以及對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲和分析的原理、方法及手段進行理解后，本設(shè)計選擇利用 winpcap開源 包 的工作機理和其內(nèi)部結(jié)構(gòu)，借助 C語言 編程實現(xiàn)網(wǎng)絡(luò)協(xié)議分析的基本功能，對幾種常見 的網(wǎng)絡(luò) 協(xié)議進行分析，并對 提高網(wǎng)絡(luò)的安全性 提出改進方案。 第二章介紹了網(wǎng)絡(luò)分析的基本原理，包括網(wǎng)卡的設(shè)置，并對比說明了在不同的以太網(wǎng)環(huán)境下實現(xiàn)的網(wǎng)絡(luò)數(shù)據(jù)包的捕獲。 第三章介紹了 TCP/IP 協(xié)議簇的體系結(jié)構(gòu)，一些主要的數(shù)據(jù)報格式，并在此基礎(chǔ)上論述了數(shù)據(jù)包的捕獲過程。 第四章介紹了程序的運行環(huán)境，說明了 winpcap 開源包的安裝和使用方法，并展示了程序的運行效果。 第五章主要對本文前幾章所闡 述的內(nèi)容進行總結(jié)，并指出本系統(tǒng)程序的不足之處和可以進一步完善的功能等。 作為局域網(wǎng)最通用的通信協(xié)議標準， 以太網(wǎng) 使用總線型結(jié)構(gòu)，且這個總線是被共享的， 其他節(jié)點 則 通過與 總線連接來獲取資源； 各個節(jié)點是采用 具有沖 突檢測的 CSMA/CD（載波偵聽多路訪問 /沖突檢測） 方法， 并 采用競爭機制和總線拓撲結(jié)構(gòu) [3]；以太網(wǎng)的各個節(jié)點是通過計算機上的網(wǎng)卡來實現(xiàn)這個功能的，一般情況下，網(wǎng)卡有四種工作模式 [6]；具體的如表21 所示。 組播模式 網(wǎng)卡能夠接收組播數(shù)據(jù)。 直播模式 只有數(shù)據(jù)的目的地址為本機 MAC 地址時才能 被 接收。 網(wǎng)卡 的缺省模 是廣播模式或直播模式下。網(wǎng)絡(luò)分析中，捕獲數(shù)據(jù)包程序需要把網(wǎng)卡設(shè)置為混雜模式。 使用集線器連接各個網(wǎng)絡(luò)節(jié)點是共享網(wǎng)絡(luò)的特點。這種 工作環(huán)境下， 到達集線器 的數(shù)據(jù)包都會被集線器 推向所有與之相連接的每個端口，也就是說，與集線器相連接的每一個主機都會收到集線器推送的所有的數(shù)據(jù)報 [8]；現(xiàn)在，如果將一臺主機的網(wǎng)卡模式設(shè)置為混雜模式，那么不管數(shù)據(jù)包是不是發(fā)給本機的，該主機 都 可以捕獲到所有流經(jīng)其所在網(wǎng)絡(luò)的數(shù)據(jù)包，從而實現(xiàn)數(shù)據(jù)包的解包分析。在交換式環(huán)境下， 交換機 可以 很好地解決集線 器 顯現(xiàn)的安 全問題。 因為交換機不會將發(fā)給其他結(jié)點的數(shù)據(jù)包發(fā)給正在捕獲數(shù)據(jù)包的主機，所以 這種環(huán)境下的以太網(wǎng) 只能監(jiān)聽到發(fā)給本機的數(shù)據(jù)包 。當(dāng)然，可以使用具有特殊功能的交換機來 實現(xiàn)數(shù)據(jù)包的 捕獲； 設(shè)置這種交 換機 可以實現(xiàn) 把所有的數(shù)據(jù)包都轉(zhuǎn)發(fā)到某一指定端口上，那么在這個端口上，主機就可以實現(xiàn)數(shù)據(jù)包的捕獲。同時，這些安全程序還會增加對數(shù)據(jù)包的捕獲以及對數(shù)據(jù)包的分析處理功能。而且，這種類似封裝的函數(shù)庫又有利于程序代碼的移植與重用。 基于 TCP/IP 的協(xié)議分析器設(shè)計 5 數(shù)據(jù)包的捕獲工具 設(shè)計網(wǎng) 絡(luò)安全程序時，都必須對數(shù)據(jù)包進行捕獲。 ；一般情況下，捕獲數(shù)據(jù)包時，首先要打開網(wǎng)卡，然后將捕獲到時的數(shù)據(jù)包傳送到設(shè)備驅(qū)動層，由設(shè)備驅(qū)動程序傳送給數(shù)據(jù)鏈路層。在捕獲數(shù)據(jù)包的工具中， 還提供了一個數(shù)據(jù)包過濾機制 用于限制數(shù)據(jù)包的捕獲，可以由管理者決定只捕獲一些特定的網(wǎng)絡(luò)數(shù)據(jù)包。 winpcap 的相關(guān)知識 winpcap 簡介 winpcap 是眾多網(wǎng)絡(luò)分析工具所使用的軟件庫，如 wireshark 網(wǎng)絡(luò)分析器是以 winpcap作為捕獲數(shù)據(jù)包的依據(jù)，這樣， wireshark 就主要負責(zé)協(xié)議分析與圖形界面顯示相關(guān)的工作，其他性能問題由 winpcap 函數(shù)庫來負責(zé)，其中 winpcap 提供的主要功能有： 1) 捕獲原始數(shù)據(jù)。 winpcap 的各功能模塊 winpcap 有 一個核心的包過濾驅(qū)動程序 NPF，一個底層的動態(tài)鏈接庫 和一個高層的并獨立于系統(tǒng)的動態(tài)鏈接庫 組成。 基于 TCP/IP 的協(xié)議分析器設(shè)計 6 應(yīng) 用 程 序w p c a p . d l lP a c k e t . d l lN P F 設(shè) 備 驅(qū) 動 程 序用 戶 空 間內(nèi) 核 空 間網(wǎng) 絡(luò)數(shù) 據(jù) 包w i n p c a p 圖 21 程序與 winpcap 的依賴關(guān)系 1. NPF 模塊 在 winpcap 中，與操作系統(tǒng)密切相關(guān)的是名為 NPF(Netgroup Packet Filter)的設(shè)備驅(qū)動程序。在一個捕獲過程中， NPF 驅(qū)動程序利用網(wǎng)絡(luò)接口卡捕獲數(shù)據(jù)包，然后將捕獲到的 數(shù)據(jù)包完整無缺地傳送給 上層處理 程序 進行處理 。數(shù)據(jù)包過濾器實際上是一段代碼，它的返回值為一個布爾型的函數(shù)。NPF 驅(qū)動采用的過濾系統(tǒng)來源于 BSD Packet Filter， 而且 這個 數(shù)據(jù)包過濾器 擁有強大的 功能，因為它不僅 要 決定數(shù)據(jù)包是否應(yīng)該被保存，而且還得決定要保存的字 節(jié)數(shù)。 每一個 保存在緩沖區(qū)的數(shù)據(jù)包都帶有一個數(shù)據(jù)包頭，它包括如時間戳、數(shù)據(jù)包大小等消息。當(dāng)一個新的數(shù)據(jù)包到來時，如果緩沖區(qū)已滿，該數(shù)據(jù)包將被丟棄，就會造成丟包。 提供了對 winpcap 的低層函數(shù)的訪問，這種訪問依賴于系統(tǒng)。 3. 動態(tài)鏈接庫模塊 動態(tài)鏈接庫模塊 層次在 之上 。 庫中的接口函數(shù)分為兩部分：一部分是與 libpcap 庫兼容，另一部分 與 libpcap 庫 是 不兼容 的 。在網(wǎng)絡(luò)安全工具開發(fā)的過程中，程序員有兩類的 API可以使用：一類是 中 的原始函數(shù) ；另一類是 中提供的高層函數(shù)，這些函數(shù)為用戶提供了功能更加強大的調(diào)用。 winpcap 的主要函數(shù)及相關(guān)功能 本次畢業(yè)設(shè)計中用到的主要函數(shù)如表 22 所示： 1) pcap_open。 2) pcap_lookupdev。 3) pcap_freealldevs_ex。 4) pcap_dispatch 或 pcap_loop；用于接收一組數(shù)據(jù)包。 6) pcap_pile；用于將一個用高級語言描述的過濾表達式編譯成一個能夠被過濾虛擬機所執(zhí)行的低層字字節(jié)。 8) pcap_datalink；獲取數(shù)據(jù)鏈路層類型，如 10Mbps 以太網(wǎng)基于 TCP/IP 的協(xié)議分析器設(shè)計 8 第三章 TCP/IP 協(xié)議分析模塊 TCP/IP 分析過程 TCP/IP 模型 網(wǎng)絡(luò)協(xié)議通常 要 分 不同的 層次進行開發(fā)， 而且每一層所 負責(zé)通信功能 不同， TCP/IP 協(xié)議簇就 是一組不同層次上的多個協(xié)議的組合。 OSI 是開放系統(tǒng)互連基本參考模型的簡稱，是一種七層協(xié)議的體系結(jié)構(gòu)， 該模型的目的是使各 種硬件在相同的層次上互相通信， 這七層協(xié)議由下至上分別為物 理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層。應(yīng)用層直接為用戶的進程提供服務(wù)。 ? FTP 文件傳輸協(xié)議。 ? SNMP 簡單網(wǎng)絡(luò)管理協(xié)議。在 TCP/IP 協(xié)議簇中，有兩個互不相同的傳輸協(xié)議： TCP（傳輸控制協(xié)議）和 UDP（用戶數(shù)據(jù)報協(xié)議）。在 TCP/IP 協(xié)議簇中，網(wǎng)絡(luò)層協(xié)議包括 IP 協(xié)議， ICMP 協(xié)議（ Inter 互聯(lián)網(wǎng)控制報文協(xié)議），以及 IGMP 協(xié)議（ Inter 組管理協(xié)議）。它們一起處理與傳輸介質(zhì)的物理接口細節(jié)。 基于 TCP/IP 的協(xié)議分析器設(shè)計 9 應(yīng) 用 進 程應(yīng) 用 進 程 應(yīng) 用 進 程 應(yīng) 用 進 程U D PT C PI C M P I P I G M PA R P硬 件 接 口R A R P媒 體網(wǎng) 絡(luò) 接 口 層網(wǎng) 際 層運 輸 層應(yīng) 用 層 圖 31 TCP/IP 協(xié)議簇中不同層次的協(xié)議 數(shù)據(jù)包的封裝與分用 當(dāng)應(yīng)用層的應(yīng)用程序?qū)?shù)據(jù)傳送給傳輸層的 TCP 或 UDP 時，數(shù)據(jù)就被送入?yún)f(xié)議棧中。當(dāng)需要發(fā)送數(shù)據(jù)時 就要進 行 封裝，該過程如圖 32 所示。首先，根據(jù) TCP 或 UDP 協(xié)議封裝的數(shù)據(jù) 要 傳給 IP，然后 根據(jù)IP 協(xié)議 將數(shù)據(jù)報 封裝并傳給網(wǎng)絡(luò)接口層 ，此時的 數(shù)據(jù)單元 被 稱作 IP 數(shù)據(jù)報。 當(dāng)以太網(wǎng)幀到達目的主機時，數(shù)據(jù)又被送入?yún)f(xié)議棧，每層的協(xié)議盒根據(jù)報文首部中的協(xié)議標識來確定接收該數(shù)據(jù)的上層協(xié)議的類型，這個過程稱作數(shù)據(jù)包的分用。最后將數(shù)據(jù)交給上層的應(yīng)用程序處理。 基于 TCP/IP 的協(xié)議分析器設(shè)計 10 傳輸層首部 應(yīng)用程序數(shù)據(jù)應(yīng)用層數(shù)據(jù)應(yīng)用程序數(shù)據(jù)傳輸層首部傳輸層首部應(yīng)用程序數(shù)據(jù)網(wǎng)絡(luò)層首部網(wǎng)絡(luò)層首部以太網(wǎng)首部 以太網(wǎng)首部 以太網(wǎng)幀IP數(shù)據(jù)報TCP/UDP數(shù)據(jù)報封裝過程 解析過程 圖 32 數(shù)據(jù)進入?yún)f(xié)議棧時的封裝過程 應(yīng) 用 程 序 應(yīng) 用 程 序 應(yīng) 用 程 序 應(yīng) 用 程 序T C PU D PI C M PI G M PI PA R PR A R P以 太 網(wǎng)驅(qū) 動 程 序進 入 的 幀根 據(jù) 以 太 網(wǎng)幀 首 部 分 用根 據(jù) I P 首 部分 用根 據(jù) 端 口號 分 用 圖 33 以太網(wǎng)數(shù)據(jù)幀的分用過程 主要協(xié)議數(shù)據(jù)包格式 1) 以太網(wǎng)幀格式 在 TCP/IP 的世界中，由于歷史的原因，以太網(wǎng) IP 數(shù)據(jù)報的封裝產(chǎn)生了兩種標準：一種是在 RFC894 中定義的，稱為 標準；另一種是在 RFC1042 中定義的，其中，最常使用的封裝格式是 RFC894 定義的格式 [13]。 基于 TCP/IP 的協(xié)議分析器設(shè)計 11 目 的 地 址 源 地 址 類 型 數(shù) 據(jù)C R C6 字 節(jié)6 字 節(jié) 2 字 節(jié) 4 6 ~ 1 5 0 0 字 節(jié) 4 字 節(jié) 圖 34 以太網(wǎng)幀的數(shù)據(jù)結(jié)構(gòu) 以太網(wǎng)中的類型字段的值定義了后續(xù)數(shù)據(jù)的上層協(xié)議類型。該類型字段的值與對應(yīng)的上層協(xié)議類型表如表 31 所示。 ARP 中規(guī)定了兩種信息的基本類型：請求 (Request)和應(yīng)答 (Response)。 硬 件 地 址 類 型 協(xié) 議 地 址 類 型硬 件 地 址 長 度 協(xié) 議 地 址 長 度 操 作 類 型發(fā) 送 方 硬 件 地 址 ( 前 3 2 位 )發(fā) 送 方 硬 件 地 址 ( 后 1 6 位 )發(fā) 送 方 硬 件 地 址 ( 后 1 6 位 )接 收 方 硬 件 地 址 ( 前 1 6 位 )發(fā) 送 方 協(xié) 議 地 址 ( 前 1 6 位 )發(fā) 送 方 協(xié) 議 地 址 ( 后 3 2 位 )接 收 方 協(xié) 議 地 址接 收 方 硬 件 地 址 ( 后 3 2 位 ) 圖 35 ARP 信息 格式 3) IP 數(shù)據(jù)報的格式 網(wǎng)際協(xié)議 IP 是 TCP/IP 體系中兩個最主要的協(xié)議之一，也是最重要的因特網(wǎng)標準協(xié)議之一。 基于 TCP/IP 的協(xié)議分析器設(shè)計 12 版 本 報 頭 長 度 服 務(wù) 類 型 （ T O S ） 總 長 度信 息 包 標 志 標 志 分 段 偏 移 量生 命 周 期 （ T T L ） 協(xié) 議 校 驗 和源 I P 地 址目 的 I P 地 址I P 選 項 與 填 充 符 圖 36 IP 數(shù)據(jù)報結(jié)構(gòu) 不管是 運輸層 協(xié)議還是 ICMP 和 IGMP 協(xié)議，它們 都要向 IP 傳送數(shù)據(jù) ,因此 網(wǎng)際層必須在生成的 IP 首部中加入某種標識，以表明數(shù)據(jù)屬于哪一個協(xié)議 。 4) ICMP 數(shù)據(jù)報格式 ICMP 是一種差錯報告 機制，它允許路由器向其他路由器或主機發(fā)送差錯或控制報文以便更有效地轉(zhuǎn)發(fā) IP 數(shù)據(jù)報和提高交付成功地機會。 類 型 代 碼 校 驗 和（ 不 同 類 型 和 代 碼 有 不 同 的 內(nèi) 容 ） 圖 37 ICMP 數(shù)據(jù)報格式 5) TCP、 UDP 數(shù)據(jù)報格式 傳輸控制協(xié)議 (TCP)定義了兩臺計算機之間進行可靠的傳輸 和 數(shù)據(jù) 的交換，并且 確認信息的格式 。 TCP 數(shù)據(jù)報的格式如圖 38所示。該字段的每一位置 1 時的意義如下列出： ? URG：緊急指針有效。 ? PSH：接收方應(yīng)該盡快將這個報文交給應(yīng)用層。 ? SYN：同步序號用來發(fā)起一個連接。 基于 TCP/IP 的協(xié)議分析器設(shè)計 13