【正文】 目前，已經(jīng)提出了大量的實用安全協(xié)議，代表的有 :電子商務(wù)協(xié)議， IPSec 協(xié)議，TLS 協(xié)議，簡單網(wǎng)絡(luò)管理協(xié)議 (SNMP)， PGP 協(xié)議， PEM 協(xié)議， SHTTP 協(xié)議， S/MIME協(xié)議等。但在某些場合他們的分界是模糊的，因為它們在功能上都能捕獲并分析報文。 純軟件的嗅探器很多，有 Tepdump、 Nmap、 linuxsniffer、 Dsniff、 Ngep、snifferpro加 etXray、甚至有專用于捕獲用戶名和密碼的 linsniffer、 winsniffer。 大多數(shù)的純軟件協(xié)議分析儀是可以使用普通的網(wǎng)卡來完成進行簡單的數(shù)據(jù)采集工作的，即協(xié)議分析軟件 +PC 網(wǎng)卡。用協(xié)議分析儀可以捕捉網(wǎng)上的實際流量、提取流量的特征，據(jù)此對網(wǎng)絡(luò)系統(tǒng)的流量進行模型化和特征化。目前典型的協(xié)議分析儀有 HP 公司的 Inter Advisor(網(wǎng)絡(luò)專家系統(tǒng) )、Fluke(福祿克公司 )的 optiViewPE、 WG 公司的 Domino 系列協(xié)議分析儀， NAI 公司出品的 Network Associates Sniffer Portable 等。另一種就是采用專用的數(shù)據(jù)采集硬件的協(xié) 議分析儀，應(yīng)用于復(fù)雜和高速的網(wǎng)絡(luò)鏈路上，采用專用的數(shù)據(jù)采集箱有利于全線速地捕捉或更有效地進行實時數(shù)據(jù)過濾。另外還有一類軟件值得介紹，就是用于網(wǎng)絡(luò)系統(tǒng)規(guī)劃驗證的網(wǎng)絡(luò)系統(tǒng)模擬環(huán)境，國外己有一些這樣的軟件能對用典型的網(wǎng)絡(luò)技術(shù)或它們的組合構(gòu)建的較大型的網(wǎng)絡(luò)系統(tǒng)進行模擬，但往往價格十分昂貴。這種綜合的協(xié)議分析儀或者說是綜合的網(wǎng)絡(luò)分析儀成為了當(dāng)今網(wǎng)絡(luò)維護和測試儀的主要發(fā)展趨勢， 像 Fluke 的 Optiview INA 手持式綜合協(xié)議分析儀4 基于 winpcap數(shù)據(jù)抓取、分析軟件系統(tǒng) 自上市來在網(wǎng)絡(luò)現(xiàn)場分析、故障診斷、網(wǎng)絡(luò)維護方法得到了相當(dāng)廣泛的應(yīng)用和發(fā)展。有時為了分析和采集數(shù)據(jù)，必須能在異地同 時地進行采集，于是將協(xié)議分析儀的數(shù)據(jù)采集系統(tǒng)獨立開來，能安置在網(wǎng)絡(luò)的不同地方，由能控制多個采集器的協(xié)議分析儀平臺進行管理和數(shù)據(jù)處理，這種應(yīng)用模式就誕生了分布式協(xié)議分析儀。伴隨著網(wǎng)絡(luò)帶來的便利，網(wǎng)絡(luò)安全問題也越來越受到人們的關(guān)注和重視。事實上，一個好的數(shù)據(jù)包監(jiān)測軟件通?？梢栽诰W(wǎng)絡(luò)管理 和黑客技術(shù)的工具包中同時找到 。所以，研究網(wǎng)絡(luò)數(shù)據(jù)的捕獲和網(wǎng)絡(luò)協(xié)議的分析不但能夠有利于管理網(wǎng)絡(luò)和維護網(wǎng)絡(luò)的健康運轉(zhuǎn)，更重要的還可以得知黑客對網(wǎng)絡(luò)攻擊的機理，有針對地進行入侵檢測，進而避免黑客的攻擊破壞和對資料的竊取。網(wǎng)絡(luò)數(shù)據(jù)包的捕獲在于網(wǎng)絡(luò)安全領(lǐng)域有著無可代替的重要作用，不論是防火墻技術(shù)，網(wǎng)絡(luò)監(jiān)聽技術(shù)或者是網(wǎng)絡(luò)測試都離不開數(shù)據(jù)包的捕獲，這是一切的基礎(chǔ)，其他的功能都要基于這個功能才能實現(xiàn) 。雖然目前沒 有完全按照這種模型實現(xiàn)的網(wǎng)絡(luò)協(xié)議棧，但是這種模型對于理解網(wǎng)絡(luò)協(xié)議內(nèi)部的架構(gòu)很有幫助，為學(xué)習(xí)網(wǎng)絡(luò)協(xié)議 及功能 提供了很好的參考模型。 5 TCP/IP 協(xié)議族 及各數(shù)據(jù)包格式 TCP/IP 協(xié)議族 TCP/IP(Transmission Control Protocol/Inter Protocol，傳輸控制協(xié)議/網(wǎng)間網(wǎng)協(xié)議 )是目前世界上應(yīng)用最為廣泛的協(xié)議，它的流行與 Inter 的 迅猛發(fā)展密切相關(guān) — TCP/IP 最初是為互聯(lián)網(wǎng)的原型 ARPANET 所設(shè)計的，目的是提供一整套方便實用、能應(yīng)用于多種網(wǎng)絡(luò)上的協(xié)議，事實證明 TCP/IP 做到了這一點，它使網(wǎng)絡(luò)互聯(lián)變得容易起來，并且使越來越多的網(wǎng)絡(luò)加入其中，成為 Inter 的事實標(biāo)準(zhǔn) 。它提供網(wǎng)間連接的完善功能 ， 包括 IP數(shù)據(jù)報規(guī)定互連網(wǎng)絡(luò)范圍內(nèi)的 IP 地址格式。 應(yīng)用層 表示層 會話層 應(yīng)用層 傳輸層 表示層 網(wǎng)絡(luò)層 傳輸層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 會話層 數(shù)據(jù)鏈路層 物理層 物理層 接口 接口 接口 接口 接口 接口接口 APUD PPUD 報文 TPUD SPUD 幀 比特 圖 1 ISO/OSI 七層模型圖 協(xié) 議 6 基于 winpcap數(shù)據(jù)抓取、分析軟件系統(tǒng) 數(shù)據(jù)包 IP 頭 TCP 頭（或其他信息頭） 數(shù)據(jù) TCP/IP 各層包含的協(xié)議 圖如下： 數(shù)據(jù)包的總體結(jié)構(gòu) 圖 4 數(shù)據(jù)包總體結(jié)構(gòu)圖 IP 數(shù)據(jù)段格式 IP 的數(shù)據(jù)段頭的具體格式如圖 5所示 。 圖 6 TCP 數(shù)據(jù)段格式 UDP 數(shù)據(jù)段格式 TCP 的 數(shù)據(jù)段頭的具體格式如圖 7所示 。 8 基于 winpcap數(shù)據(jù)抓取、分析軟件系統(tǒng) 網(wǎng)絡(luò)數(shù)據(jù)捕獲原理 由于目前用的最多的局域網(wǎng)絡(luò)形式是以太網(wǎng)，在以太網(wǎng)上，數(shù)據(jù)是以被稱為幀的數(shù)據(jù)結(jié)構(gòu)為單位進行交換的，而幀 (數(shù)據(jù)包 )是用被稱為帶碰撞檢測的載波偵聽多址訪問即 CSMA/CD(carrier sense multiple access with collision detection)的方式 發(fā)送的，在這種方法中，發(fā)送到指定地址的幀實際上是發(fā)送到所有計算機的，只是如果網(wǎng)卡檢測到經(jīng)過的數(shù)據(jù)不是發(fā)往自身的，簡單忽略過去而已。 從廣義的角度上看，一個包捕獲機制包含三個主要部分 :首先是最底層針對特定操作系統(tǒng)的包捕獲機制，然后是最高層針對用戶程序的接口，第三部分是 包過濾機制。數(shù)據(jù)包常規(guī)的傳輸路徑依次為網(wǎng)卡、設(shè)備驅(qū)動層、數(shù)據(jù)鏈路層、 IP層、傳輸層、最后到達應(yīng)用程序。值得注意的是，包捕獲機制并不影響操作系統(tǒng)對數(shù)據(jù)包的網(wǎng)絡(luò)棧處理。這樣一來，針對特定操作系統(tǒng)的捕獲機制對用戶透明，使用戶程序有比較好的可移植性。 類型（ 8） 代碼（ 8） 校驗和（ 16） 圖 8 ICMP 數(shù)據(jù)段格式 9 網(wǎng)絡(luò)數(shù)據(jù)捕獲程序結(jié)構(gòu) 用戶態(tài) 核心態(tài) 其中 NDIS(Network Deiver Interface Specification)是 Microsoft 和 3Com公司聯(lián)合制定的網(wǎng)絡(luò)驅(qū) 動規(guī)范，并提供了大量的操作函數(shù)。 NDIS 向上支持多種網(wǎng)絡(luò)協(xié)議（比如TCP/IP、 NWLinux IPX/SPX、 NETBEUI 等），向下支持不同廠家生產(chǎn)的多種網(wǎng)卡，還支持多種工作模式，支持多處理器，并提供一個完備的 NDIS 庫。 網(wǎng)絡(luò)應(yīng)用程序 VxD/WDM 協(xié)議驅(qū)動器 NDIS 網(wǎng)卡驅(qū)動程序 網(wǎng)卡驅(qū)動程序 網(wǎng)卡驅(qū)動程序 圖 9 數(shù)據(jù)包捕獲程序結(jié)構(gòu)圖 10 基于 winpcap數(shù)據(jù)抓取、分析軟件系統(tǒng) 用戶模式 內(nèi)核模式 圖 10 NDIS 驅(qū)動程序的結(jié)構(gòu)圖 網(wǎng)卡的工作模式 以太網(wǎng)是一種總線型的網(wǎng)絡(luò)，從邏 輯上來看是由一條總線和多個連接在總線上的節(jié)點所組成，各個節(jié)點采用上面提到的 CSMA/CD協(xié)議進行信道的爭用和共享。每一個在局域網(wǎng) (LAN)節(jié)點上的主機都有其硬件地址 (MAC 地址 )，這些地址唯一地表示了網(wǎng)絡(luò)上的主機。網(wǎng)卡主要的工作是完成對于總線當(dāng)前狀態(tài)的探測，確定是否進行數(shù)據(jù)的傳送，判斷每個物理數(shù)據(jù)幀目的地是否為本機地址，如果不匹配，則說明不是發(fā)送到本機的而將它丟棄。 網(wǎng)卡具有如下的幾種工作模式 : (1)廣播模式 (BroadCastModel)： 它的物理地址 (MAC)地址是以 0xfffff 的幀為廣播幀，工作在廣播模式的網(wǎng)卡接收廣播幀。但是，如果將網(wǎng)卡設(shè)置為多播傳送模式，它可以接收所有的多播傳送幀，而不論它是不是組內(nèi)成員。 (4)混雜模式 (PromiscuouSModel)： 工作在混雜模式下的網(wǎng)卡接收所有的流過網(wǎng) 卡的幀，數(shù)據(jù)包捕獲程序就是在這種模式下運行的。方法簡單，但功能有限，只能捕獲較應(yīng)用層 協(xié)議驅(qū)動程序 中間驅(qū)動程序 網(wǎng)卡驅(qū)動 網(wǎng)卡 SIDN 11 高層的數(shù)據(jù)包。為了讓原始套接字能接受所有的數(shù)據(jù)，還需要通過 ioctlsocket()來進行設(shè) 置，而且還可以指定是否親自處理 IP 頭。通過對這些在低層傳輸?shù)脑夹畔⒌姆治隹梢缘玫接嘘P(guān)網(wǎng)絡(luò)的一些信息。在具體的實現(xiàn)方式上可分為用戶級和內(nèi)核級兩類。 而用戶級的包括 SPI 接口， Windows2021 包捕獲過濾接口等 ； 4)使用第三方捕獲組件或者庫，比如 winpcap。下面一章主要來介紹 Winpcap。 這個數(shù)據(jù)包捕獲架構(gòu)是由加州大學(xué)和 Lawrence Berkeley 實驗室及其投稿者聯(lián)合開發(fā)的。這種方法很容易實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)傳輸，因為操作系統(tǒng)負(fù)責(zé)底層的細(xì)節(jié)（比如協(xié)議棧，數(shù)據(jù)流組裝等）以及提供了類似于文件讀寫的函數(shù)接口。底層的包捕獲驅(qū)動程序?qū)嶋H上是一個協(xié)議網(wǎng)絡(luò)驅(qū)動程序，通過對 NDIS 中函數(shù)的調(diào)用提供捕獲和發(fā)送原始數(shù)據(jù)包的能力。 但是， Winpcap 有它的不足之處，不依靠主機的諸如 TCP/IP 協(xié)議去收發(fā)數(shù)據(jù)包。它只能“嗅探”到物理線路上的數(shù)據(jù)報。 Winpcap 功能和 應(yīng)用 (1)開發(fā) Winpcap 這個項目的目的在于為 win32 應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力。這是由 NPF(Netgroup Packet Filter)來實現(xiàn)的， NPF 是Winpcape 的核心部分，它還實現(xiàn)了內(nèi)核層次的統(tǒng)計功能，有利于設(shè)計網(wǎng)絡(luò)流 量的程序。 (2)Winpcap的應(yīng)用非常廣泛，很多不同的工具軟件使用 Winpcap作為開發(fā)工具， 13 它特別適用于下面這幾個經(jīng)典領(lǐng)域 ： l) 網(wǎng)絡(luò)與協(xié)議分析器 (work and protocol analyzers)； 2) 網(wǎng)絡(luò)監(jiān)視器 (work monitors)； 3) 網(wǎng)絡(luò)流量記錄器 (traffic loggers)； 4) 流量發(fā)生 (traffic generators)； 5) 用戶級網(wǎng)橋及路由 (userlevel bridges and routers)； 6) 網(wǎng)絡(luò)入侵檢測系統(tǒng) (work intrusion detection systems (NIDS))； 7) 網(wǎng)絡(luò)掃描器 (work scanners)； 8) 安全工具 (security tools)。 Winpcap 組成架構(gòu)和相關(guān)功能 Winpcap 的 組成圖和 結(jié)構(gòu) 圖： Winpcap 的組 成如圖 1所示。 應(yīng)用程序 NPF 裝置 驅(qū)動程序 圖 1 Winpcap 組成 用戶層 核心層 數(shù)據(jù)包 網(wǎng)絡(luò) 14 基于 winpcap數(shù)據(jù)抓取、分析軟件系統(tǒng) 圖 2 Winpcap 結(jié)構(gòu)圖 Winpcap 的各功能模塊 Winpcap 是由一個核心的包過濾驅(qū)動程序 NPF 即網(wǎng)絡(luò)數(shù)據(jù)包過濾器，一個底層的動態(tài)連接庫 。 并把這些數(shù)據(jù)包原封不動地傳給用戶態(tài)模塊，這個過程中包括了一些操作系統(tǒng)特有的代碼。 捕獲數(shù)據(jù)包是 NPF 最重要的操作。 抓包過程依賴于兩個主要組件： （ 1） 數(shù)據(jù)包過濾器，它決定著是否接收進來的數(shù)據(jù)包并把數(shù)據(jù)包拷貝給監(jiān)聽程序。如果函數(shù)值是 true，抓包驅(qū)動拷貝應(yīng)用程序 直接調(diào)用 直接訪問 NPF 應(yīng)用程序 應(yīng)用程序 用戶緩沖區(qū) 緩沖器 動態(tài)鏈接庫 內(nèi)核緩沖區(qū) 1 內(nèi)核緩沖區(qū) 2 過濾器 1 過濾器 2 其 他 協(xié) 議 棧 NIC 驅(qū)動