网络数据包捕获及分析.docx
- 文档编号:7044992
- 上传时间:2023-01-16
- 格式:DOCX
- 页数:7
- 大小:46.46KB
网络数据包捕获及分析.docx
《网络数据包捕获及分析.docx》由会员分享,可在线阅读,更多相关《网络数据包捕获及分析.docx(7页珍藏版)》请在冰豆网上搜索。
网络数据包捕获及分析
1 西安电子科技大学计算机应用 陕西 710071
2 平鲁区职业中学 山西 036000
网络数据包捕获及分析
卢建华1 蒋明1 陈淑芳2
摘要:
网络数据包捕获及分析主要实现了对网络上的数据包进行捕获及分析。
包捕获功能模块主要是利用原始套接字对网络层的数据进行抓包。
在包分析功能模块,根据报文协议的格式,把抓到的包进行解析,从而得到网络层和传输层协议的报头内容。
关键词:
包捕获;套接字;网络协议
0 引言
目前,网络上的数据流量与日俱增,随之而来的网络安全问题也日渐重要。
无论是实现防火墙,NAT还是VPN,首先就是获得网络数据包,在此基础上才能进行下一步的工作。
因此研究数据包捕获及分析技术具有极其重要的意义。
本文介绍了利用RAW SOCKET进行网络数据包捕获的原理,并且开发了一个程序模型来探讨捕获数据包实现的方法。
1 原理1.1 数据收发
以太网是基于广播方式传送数据的,也就是说,通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据,而每一个网络接口都对应惟一的硬件地址,即网卡MAC地址。
正常情况下,一个网络接口应该只响应两种数据帧:
①与自己硬件地址相匹配的数据帧;②向所有计算机的广播数据帧。
在实际系统中由网卡来完成数据的收发。
网卡接收到传来的数据,网卡内的程序接收数据帧的目的MAC地址,然后根据网卡驱动程序设置的接收模式判断:
认为应该接收,就在接收后产生中断信号通知CPU;认为不该接收就丢掉不管。
CPU得到中断信号产生中断,操作系统就根据网卡驱动程序设置的网卡中断程序地址调用驱动程序接收数据。
驱动程序接收数据后,放入信号堆栈让操作系统处理。
对于网卡来说一般有4种接收模式:
①广播方式:
该模式下的网卡能够接收网络中的广播信息。
②组播方式:
该模式下的网卡能够接收组播数据。
③直接方式:
该模式下只有目的网卡才能接收数据。
④混杂模式:
该模式下的网卡能够接收一切通过它的数据。
所以要想实现对网络的数据进行获取分析,首先应该把网卡设置成混杂模式。
1.2 数据获取
数据获取主要有两种方法:
通过数据链路层获取和通过
网络层获取。
(1通过链路层获取
在TCP/IP的体系结构中,数据链路层和物理层共同构成网络接口层,作为TCP/IP的第一层。
在这一层传输的数据格式是以太帧。
获取以太帧目前可以通过LibPcap和WinPcap两种捕包工具。
LibPcap是一种与系统无关,采用分组捕获机制的分组捕获函数库。
使用LibPcap 编写的程序可自由的跨平台使用。
而WinPcap是LibPcap 的Windows版本,集成于Windows95,98,ME,NT,2000和XP操作系统的设备驱动程序,可以从网卡捕获或者发送原始数据,同时能够过滤并且存储数据包。
(2通过网络层获取
通过网络层获取数据主要借助原始套接字。
套接字是网络应用编程接口。
套接字有三类:
流式套接字、数据报套接字和原始套接字。
前两种套接字只能访问到传输层。
而原始套接字则可以获取ICMP、TCP、UDP等数据包。
在Windows环境下可用Winsock来实现。
2 相关协议介绍2.1 IP协议
IP的基本功能:
寻址、路由选择和数据包的分割和组装。
它不提供可靠的传输服务。
依据IP报文格式在程序中声明IP首部:
typedef struct _IPHEADER {
unsigned char header_len:
4;
unsigned char version:
4;unsigned char tos;unsigned short total_len;unsigned short ident;unsigned short flags;
unsigned char ttl;
作者简介:
卢建华(1982-,女,西安电子科技大学2006级硕士研究生,研究方向:
计算机应用。
蒋明(1958-,男,
西安电子科技大学高工,硕士生导师。
陈淑芳(1970-,女,山西省朔州市平鲁区职业中学讲师。
unsigned char proto;unsigned short checksum;unsigned int sourceIP;unsigned int destIP;}IPHEADER;
2.2 TCP协议
TCP提供全双工和可靠交付的服务。
该协议主要用于在主机间建立一个虚拟连接,以实现高可靠性的数据包交换。
依据TCP报文格式在程序中声明TCP报头:
struct TCPPacketHead {WORD SourPort;WORD DestPort;DWORD SeqNo;DWORD AckNo;BYTE HLen;BYTE Flag;WORD WndSize;WORD ChkSum;WORD UrgPtr;};
2.3 UDP协议
UDP是一个无连接协议,传输数据之前源端和终端不建立连接,也不使用拥塞控制、不保证可靠交付。
依据UDP报文格式在程序中声明UDP报头:
struct UDPPacketHead {WORD SourPort;WORD DestPort;WORD Len;WORD ChkSum;};
2.4 ICMP协议
ICMP是TCP/IP协议集中的一个子协议,属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。
依据ICMP报文格式在程序中声明ICMP报头:
struct ICMPPacketHead {BYTE Type;BYTE Code;WORD ChkSum;WORD Id; // 增加了标识变量
WORD Seq; // 增加了序号变量
};
3 具体实现
系统的开发环境是VC++6.0,利用RAW SOCKET套接字来实现包捕获功能。
3.1 包捕获模块的实现
(1m_s = socket( AF_INET ,SOCK_RAW ,IPPROTO_IP ;// 创建原始套接字
(2setsockopt(m_s,SOL_SOCKET,SO_RCVTIMEO,(constchar*&rcvtimeo ,sizeof(rcvtimeo
; // 设置IP头操作选项,超时接收选择(3SOCKADDR_IN sa;sa.sin_family = AF_INET;sa.sin_port = htons(6000;
// 设置端口号sa.sin_addr.s_addr= m_iphostsource;
// 设置IP地址
bind(m_s,(PSOCKADDR&sa,sizeof(sa ;// 将原始套接字绑定到本地网卡
(4设置套接字接收模式,并启动新的接收线程thread-Func
If( SOCKET_ERROR !
=WSAIoctl( m_s,SIO_RCVALL ,&dwBufferInLen,sizeof(dwBufferInLen,&dwBufferLen,sizeof(dwBufferLen,&dwBytesReturned,NULL,NULL
其中threadFunc方法的实现是:
UINT threadFunc ( LPVOID pParam {
PeekMessage(&msg, NULL, WM_USER, WM_USER,
PM_NOREMOVE;
pDlg->m_threadID=GetCurrentThreadId( ;// 取得线
程的ID号
While(TRUE // 循环接收消息
{if( PeekMessage( &msg , 0 ,WM_CLOSE,WM_CLOSE,
PM_NOREMOVE
{ closesocket( pDlg->m_s ;// 检测
WM_CLOSE消息
………… break ;}
memset( buf , 0 , sizeof(buf ;
int iRet = recv( pDlg->m_s , buf , sizeof( buf , 0 ; // 从
套接字接收数据
// 分析模块…}}
3.2 包分析模块的实现
首先根据先前定义各协议的报头,解析IP报头内容,进而确定协议类型,TCP、UDP或ICMP,之后再分别进行相应的报头解析。
部分程序为:
定义一个IP头指针pIpHeader,利用指针的移动来实现包的解析。
然后依据IP数据包结构,分别读取IP数据包的各项信息。
根据proto字段进一步确定其为TCP数据包、UDP数据包还是ICMP数据包。
[下转27页]
Router(config#ip access-list extended internal_ACLRouter(config-ext-nacl#permit tcp any host 192.1.2.1 eq smtpRouter(config-ext-nacl#permit tcp any host 192.1.2.1 eq popRouter(config-ext-nacl#deny tcp any any ep popRouter(config-ext-nacl#deny tcp any any eq smtpRouter(config-ext-nacl#permit ip any anyRouter(config-ext-nacl#exit
Router(config#ip inspect name internal_CBAC ftpRouter(config#ip inspect name internal_CBAC httpRouter(config#ip inspect name internal_CBAC tcpRouter(config#ip inspect name internal_CBAC udpRouter(config#ip inspect name internal_CBAC icmpRouter(config#interface ethernet0
Router(config-if#ip access-group internal_ACL inRouter(config-if#ip inspect internal_CBAC in
(2在全局模式下,分别设置TCP的建立时间为15秒,TCP的空闲超时为60秒,UDP的空闲超时为20秒,半开连接阀值为400,1分钟连接尝试次数为400,主机最大半开连接数为250。
Router(config#ip inspect tcp synwait-time 15Router(config#ip inspect tcp idle-time 60Router(config#ip inspect udp idle-time 20
Router(config#ip inspect max-incomplete high 400Router(config#ip inspect max-incomplete low 300Router(config#ip inspect one-minute high 400Router(config#ip inspect one-minute low 300
Router(config#ip inspect tcp max-incomplete host 250 block-time 0
4 结束语
充分应用CBAC的访问控制特性,能够使我们在一定程度上较好的防御特定的DoS风暴攻击。
但应该注意,在修改超时值和连接阀值时,要考虑网络规模与具体应用,监控CBAC及网络活动日志,确保没有因为参数设置影响正常的网络应用。
另外,我们还可以结合CISCO IOS的ACL、入侵检测系统、日志和审查功能以及应用层过滤技术等,检测和防御更多类型的网络攻击,做好网络安全工作。
应用CBAC也存在一些局限性,如流量审查会增加路由器的负荷,不能审查加密的数据包,以及有限的应用层审查等。
参考文献
[1]李德全.拒绝服务攻击[M].北京:
电子工业出版社.2007.[2]W.Rchard Stevens.TCP/IP Illustrated Volume 1:
The Protocols[M].范建华等译.北京:
机械工业出版社.2000.
[3]Richard A. Deal.陈克忠译.Cisco Router Firewall Security[M].北京:
人民邮电出版社.2000.
HdrLen =( pIpHeader-> header_len * 4;m=pIpHeader->proto;switch(m {
case IPPROTO_TCP:
pTCPHead=(struct TCPPacketHead *
(buf+HdrLen;
…………break;
case IPPROTO_UDP:
pUDPHead=(struct UDPPacketHead *
(buf+HdrLen;
…………break;
case IPPROTO_ICMP:
pICMPHead=(struct ICMPPacketHead *
(buf+HdrLen;
…………break;
default:
break;}
根据不同的选择执行不同的程序,并把最后结果显示在
对话框中。
4 总结
本文主要实现的功能是对网络上的数据包进行捕获及分析。
即首先通过捕包模块把经过主机网卡的数据包截获,并存储在缓冲存储器中,然后通过分析模块对它进行分析,从而得到网络层和传输层协议的报头内容。
当然这个系统也有不完善的地方,如由于捕获到的数据包头不包含有帧信息,因此不能接收到与IP同属网络层的其它数据包,如ARP数据包、RARP数据包等。
参考文献
[1]谢希仁.计算机网络[M].北京:
清华大学出版社.2001.[2]韩新宇,章惠君.Windows下实现网络数据包捕获[J].维普资讯网.
[3]Jenny J. He,Dimitra Simeonidou. Flow Routing and its Perfor-mance Analysis in Optical IP Networks.Photonic NetworkCommunications.2001.
[上接17页]
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 数据包 捕获 分析