【正文】 gment)； IP傳給網絡接口層的數(shù)據單元稱作 IP數(shù)據報 (IP datagram)；通過以太網傳輸?shù)谋忍亓鞣Q作幀，分組既可以是一個 IP數(shù)據報也可以是 IP數(shù)據報的一個片 (fragment)。協(xié)議分析的流程圖如圖 42所示： 圖 42 網絡 協(xié)議分析流程圖 從圖可以看到，對于監(jiān)聽程序捕獲到的數(shù)據報，需要按以下步驟分層次進行協(xié)議分析： (1)首先是讀取數(shù)據鏈路層的 報 頭，從報頭中可以得到：計算機的源 MAC地址和目的 MAC地址、數(shù)據包的長度以及上層協(xié)議的類型。 (3)對于 IP數(shù)據報去除網絡層的 報 頭以后，可以獲得傳輸層數(shù)據報，對TCP/UDP數(shù)據包的報頭進行分析在這一層中還可以獲得數(shù)據報的端口號信息，根據端口號進一步判斷數(shù)據報屬于何種應用層協(xié)議。 開始 讀取原始數(shù)據報文 提取并分析鏈路層報頭 提取并分析 IP 地址信息 提取并分析 TCP/UDP 地址信息 根據端口判斷應用層協(xié)議 顯示 提取報頭中的主要信息 結束 顯示 第 14 頁 共 23 頁 (5)對所有的數(shù)據 報 頭分析處理后，取出其中的主要信息然后顯示給用戶 。下面就按照數(shù)據鏈路 層、網絡層到傳輸層再到應用層的順序詳細的講解每層包頭的結構以及如何對每層的數(shù)據報進行協(xié)議分析。假設這個指針為 p。我們就得到了以太幀的報文頭，就可以對該層協(xié)議進行分析和處理。以太網是當今 TCP/IP采用的主要的局域網技術，它采用一種稱作 CSMA/CD的媒體接入方法，其意思是帶沖突檢測的載波偵聽多路接入 (Carrier Sense Multiple Access with Collision Detection)，發(fā)送端在傳輸之前要偵聽信道。這里我們只討論最為常用的以太網 II數(shù)據報格式，這是在 RFC894中定義的，如圖 43所示，這是以太網 II的封 裝格式： 字節(jié) 6 6 2 46～ 1500 4 目的地址 源地址 類型 數(shù)據 FCS 圖 43以太網 II的封裝格式 其中每個字段的含義如下： (1)幀初始同步 ((Preamble)： 8字節(jié)長，提供接收端的同步和分隔幀的功能。 (2)目的地址 (Destination Address)： 6字節(jié)長，指明目的地址。其中，單播地址也稱為 MAC地址。 (4)以太網類型 (Ether Type)： 2字節(jié)長，指明在以太網幀中上層協(xié)議的類型。如果在該字段中未注明有上層協(xié)議實體接收有效載荷幀。比如，對于 IP數(shù)據報，這個字段的值為 0x0800；對于 ARP消息，該字段的值被設置為 0x0806。以太網 II能發(fā)送最大 1500字節(jié)的有效載荷。如果上 層的協(xié)議數(shù)據單元小于 46字節(jié)，則必須填充到 46字節(jié)。本子段對于網絡監(jiān)視器來說同樣是不可見的。所以在提取 IP包頭的時候可以將指針 P加上以太幀包頭的長度后，把 格式強制轉化為 IP包頭格式即： (struct ip *) (p + sizeof (struct ether_header))。 IP網絡上的主機 是 通過 IP數(shù)據報來交換數(shù)據的， IP數(shù)據報包括數(shù)據單元和首部字段，其中，數(shù)據單元包含要交換的所有信息，首部字段描述這個信息和數(shù)據報本身。 實際上， IP數(shù)據報是作為 IP包來發(fā)送的， IP包將 IP數(shù)據報通過交換設備一跳一跳地中繼到目的系統(tǒng)。如圖 44是 IP數(shù)據報在 RFC791中定義的封裝格式： 比特 0 4 8 16 20 24 31 版本 報頭長 服務類型 數(shù)據包總長 標識符 標志 片偏移 生存時間 協(xié)議號 報頭校驗和 源 IP地址 目的 IP地址 選項 填充碼 數(shù)據 圖 44 IP數(shù)據報格式 其中每個字段的含義如下 ： (1)版本 (version)：長度為 4位，顯示 IP報頭的版本。 (2)報頭長 (header length)：長度為 4位，表示 IP頭的長度。 (3)服務類型 (type of service)：長度為 8位，表示按照優(yōu)先權、安全性以及吞吐量等數(shù)據包的服務類型。 (5)標識 (identifier)：長度為 2位，作為分割以及組裝數(shù)據包時的識別標志來使用，被分割的數(shù)據包被分配有同一數(shù)值標識。其中一個標志是用于表示 IP有效載荷是否符合分片的標準，而另一個是表示對于已分片的 IP數(shù)據報是否還有更多的分片。 (8)生存時間（ time to live)：長度為 1字節(jié)，表示 IP數(shù)據包的壽命，目的是廢棄掉在網絡中循環(huán)著的 IP數(shù)據包，一 般地，每通過一次路由器，生存時間就被減去 1，當生存時間為 0時，數(shù)據包將被拋棄。 IP協(xié)議字段的一般值有： 1表示 ICMP， 2表示 IGMP， 6表示 TCP， 17表示 UDP等等。 (11)源目的 IP地址 (source/destination address)：長度為 4字節(jié)，包含源 /目的主機的 IP地址。 TCP/UDP 首部的分析與提取 TCP/UDP報文頭部的獲取跟 IP報文頭部的獲取類似，將 P指針的位置向后移 IP報文長度個位置即可 (struct tcphdr *) (p + sizeof (struct ether_header) + 4 * iphip_hl)。 TCP(傳輸控制協(xié)議 )為面向事務的應用提供了可靠的面向連接的傳輸協(xié)議。盡管 IP已經做了大部分的搜集工作，并且根據需要在 Inter上發(fā)送數(shù)據報和數(shù)據包，但是 IP是不可靠的協(xié)議，并不能保證數(shù)據報或者數(shù)據包能夠原封不動的到達其目的地， TCP作為 IP的上層協(xié)議，為 IP提供了可靠性服務，確保了 IP數(shù)據報中的數(shù)據的正確性。 第 17 頁 共 23 頁 比特 0 8 16 24 31 源端口 目的端口 順序號 確認號 數(shù)據偏移 保留 標志 窗口 校驗和 緊急指示符 選項（長度可變） 填充 數(shù)據 圖 45 TCP數(shù)據 報 格式 其中，每一段的含義如下： (1)源端口 (source port)：指示發(fā)送 TCP段的源應用層協(xié)議，是一個 2字節(jié)的字段。 TCP端口為 TCP連接數(shù)據的傳送定義了一種位置，表明段被發(fā)送至的應用層進程的一個目的端口。表 41顯示了常用的應用層協(xié)議對應的端口號。IP頭中的目的 IP地址和 TCP頭中的端口聯(lián)合起來提供一個目的套接字。用于保證數(shù)據的到達順序與可靠性。 (4)確認號 (acknowledgment number)：一個 4位的字段，指示 接收方希望收到的輸入字節(jié)流中下一個 8位組的序列號。 (5)數(shù)據偏移 (data offset)：表示 TCP數(shù)據的起始位置，以 4字節(jié)的整數(shù)倍表示，數(shù)據偏移字段也是 TCP頭的大小。 (6)保留 (reserved)：一個 6字節(jié)字段，為了未來的使用而保留。這 6個標志是： URG(緊急 )、 ACK(確訓 )、 PSH(推 )、 RST(復句 )、 SYN(同步 )、 FIN(結束 )。窗口大小的廣告是一種實現(xiàn)接收流流控制的方式。 (10)緊急指針 (urgent pointer)：一個 2字節(jié)字段，它表明段中緊急數(shù)據的位置。 用戶數(shù)據報協(xié)議 (UDP)是定義用來在互連網絡環(huán)境中提供包交換的計算機通信的協(xié)議。此協(xié)議提供了向另一用戶程序發(fā)送信息的最簡便的協(xié)議機制。以下是 UDP協(xié)議的報文頭 格式 ： 比特 0 16 31 圖 46 TCP數(shù)據包格式 (1)源端口 — 16 位。當使用時，它表示發(fā)送程序的端口，同時它還被認為是沒有其它信息的情況下需要被尋址的答復端口。 (2)目的端口 — 16 位。 (3)長度 — 16 位。長度最小值為 8。 IP 協(xié)議頭、 UDP協(xié)議頭和數(shù)據位，最后用 0填補的信息假協(xié)議頭總和。 應用層協(xié)議的識別與分析 對于應用層協(xié)議本程序采用的是端口識別技術。端口分為兩種。公認端口被分配給網絡上的服務程序。由此，可以利用與端口號對應的特定的網絡服務。 表 41 常用協(xié)議和對應的端口號 上層協(xié)議 端口號 /協(xié)議 上層協(xié)議的意義 Echo 7/dup 回應請求 ftpdata 20/tcp,20/udp 在 ftp上數(shù)據傳送路徑 ftp 21/tcp,21/udp 在 ftp上控制數(shù)據通信路徑 tel 23/tcp,23/udp 用于遠程終端連接的標準 Smtp 25/tcp,25/udp 郵件發(fā)送服務 源端口 目的端口 長度 校驗和 第 19 頁 共 23 頁 Time 37/tcp,37/udp 計時服務器 Nameserver 42/tcp,42/udp 主機名服務器 Niame 43/tcp,43/udp Whois服務 Domain 53/tcp,53/udp 域名服務器 Tftp 69/tcp,69/udp 小型文件傳輸協(xié)議 Gopher 70/tcp,70/udp 信息服務 Finger 79/tcp,79/udp 用戶信息 80/tcp,80/udp Pop3 110/tcp,110/udp 郵局協(xié)議 Sqlserv 118/tcp,118/udp SQL服務 nntp 119/tcp,119/udp 網絡新聞傳輸協(xié)議 Ntp 123/tcp,123/udp 網絡時間協(xié)議 Netbiosns 137/tcp,137/udp Netbios名稱服務 Netbiosdgm 138/tcp,138/udp Netbios會議服務 短暫端口號是客服端程序與服務器程序進行通信時 ， 短暫使用端口號。因為常用端口和常用協(xié)議對應，我們可以 利用這個原理來識別應用層協(xié)議。 } else{ //短暫端口等找不到名稱時 sprintf (portch, e)。此函數(shù)完成的是取得端口號和區(qū)別 TCP/UDP類別的兩個參數(shù)并返回端口名稱的工作。用這個函數(shù)來檢索與端口相關的信息，吧結果作為指向servent型的結構體的指針并返回。在這里使用的 s_name成員。 getportname()函數(shù)檢索端口名稱失敗時，返回 NULL。這時，常把端口號作為端口的名稱來用。 程序 運行環(huán)境 安裝有 Libpcap 以上版本的 Linux 操作系統(tǒng)。其次，選定一臺 PC 對 數(shù)據包捕獲 模塊、 規(guī)則過濾 模塊 、協(xié)議分析模塊 進行功能測試 。 最后 對關鍵模塊進行回歸測試。圖 51是程序 運行時的 界面