資源描述:
《網(wǎng)絡(luò)抓包分析系統(tǒng)和其協(xié)議分析研究.doc》由會員上傳分享�����,免費在線閱讀����,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫�����。
1、網(wǎng)絡(luò)抓包分析系統(tǒng)和其協(xié)議分析研究1引言 網(wǎng)絡(luò)分析(Networkanalysis)是指捕捉網(wǎng)絡(luò)流動的數(shù)據(jù)包并通過查看包內(nèi)部數(shù)據(jù)來發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的問題��。一個好的網(wǎng)絡(luò)分析器(networkanalyzer)可以有:將網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)換為可讀格式����;發(fā)現(xiàn)并修理網(wǎng)絡(luò)中的問題��;分析網(wǎng)絡(luò)性能并發(fā)現(xiàn)瓶頸��;進行網(wǎng)絡(luò)入侵檢測�����;記錄網(wǎng)絡(luò)流量日志和痕跡保留;分析應(yīng)用軟件操作���;發(fā)現(xiàn)失效的網(wǎng)卡等硬件���;檢測DOS攻擊和間諜軟件;協(xié)議學(xué)習(xí)和網(wǎng)絡(luò)程序調(diào)試的工具等多種用途�。一個系統(tǒng)管理員、網(wǎng)絡(luò)工程師����、安全工程師、程序員甚至系統(tǒng)操作員都可能
2�、需要這種分析系統(tǒng)�����。而對于入在系統(tǒng)實現(xiàn)上���,一個網(wǎng)絡(luò)分析器通常由五個部分組成??硬件���、捕包驅(qū)動���、包緩沖區(qū)���、實時協(xié)議分析、解碼器����。事實上現(xiàn)在的主流的防火墻、入侵檢測系統(tǒng)基本上也是采用和捕包分析系統(tǒng)相同的架構(gòu)�。2網(wǎng)絡(luò)分析系統(tǒng)的體系結(jié)構(gòu)2.1不同系統(tǒng)下的捕包平臺 網(wǎng)絡(luò)分析系統(tǒng)首先依賴于一套捕捉網(wǎng)絡(luò)數(shù)據(jù)包的函數(shù)庫。這套函數(shù)庫工作在在網(wǎng)絡(luò)分析系統(tǒng)模塊的最底層����。作用是從網(wǎng)卡取得數(shù)據(jù)包或者根據(jù)過濾規(guī)則取出數(shù)據(jù)包的子集���,再轉(zhuǎn)交給上層分析模塊。從協(xié)議上說���,這套函數(shù)庫將一個數(shù)據(jù)包從鏈路層接收,至少將其還原至傳輸層以上
3�����、�����,以供上層分析��?�! ≡趚iux系統(tǒng)中�����,1992年LawrenceBerkeleyLab的StevenMcCanne和VanJacobson在其經(jīng)典文獻[3]中提出了包過濾器的一種的實現(xiàn)�,BPF(BSDPacketFilter)。Libpcap是一個基于BPF的開放源碼的捕包函數(shù)庫?,F(xiàn)有的大部分xiux捕包系統(tǒng)都是基于這套函數(shù)庫或者是在它基礎(chǔ)上做一些針對性的改進?���! ≡趙indow系統(tǒng)中,意大利人FulvioRisso和LorisDegioanni提出并實現(xiàn)了Winpcap函數(shù)庫��,作者稱之為NPF
4��、���。由于NPF的主要思想就是來源于BPF���,它的設(shè)計目標(biāo)就是為windows系統(tǒng)提供一個功能強大的開發(fā)式數(shù)據(jù)包捕獲平臺,希望在xuix系統(tǒng)中的網(wǎng)絡(luò)分析工具經(jīng)過簡單編譯以后也可以移植到windows中�����,因此這兩種捕包架構(gòu)是非常現(xiàn)實的�����。就實現(xiàn)來說提供的函數(shù)調(diào)用接口也是一致的�。 2.2層次化的數(shù)據(jù)包協(xié)議分析方法 再取得捕包函數(shù)捕回的數(shù)據(jù)包后就需要進行協(xié)議分析和協(xié)議還原工作了����。由于OSI的7層協(xié)議模型,協(xié)議數(shù)據(jù)是從上到下封裝后發(fā)送的���。對于協(xié)議分析需要從下至上進行。首先對網(wǎng)絡(luò)層的協(xié)議識別后進行組包還原然后脫
5��、去網(wǎng)絡(luò)層協(xié)議頭��。將里面的數(shù)據(jù)交給傳輸層分析����,這樣一直進行下去直到應(yīng)用層 2.3基于插件技術(shù)的協(xié)議分析器 所謂插件技術(shù),就是在程序的設(shè)計開發(fā)過程中��,把整個應(yīng)用程序分成宿主程序和插件兩個部分,宿主程序與插件能夠相互通信���,并且�����,在宿主程序不變的情況下���,可以通過增減插件或修改插件來調(diào)整應(yīng)用程序的功能。運用插件技術(shù)可以開發(fā)出伸縮性良好�、便于維護的應(yīng)用程序。它著名的應(yīng)用實例有:媒體播放器winamp��、微軟的網(wǎng)絡(luò)瀏覽器ie等�。 由于現(xiàn)在網(wǎng)絡(luò)協(xié)議種類繁多����,為了可以隨時增加新的協(xié)議分析器,一般的協(xié)議分析器都采用
6��、插件技術(shù)�����,這樣如果需要對一個新的協(xié)議分析只需要開發(fā)編寫這個協(xié)議分析器并調(diào)用注冊函數(shù)在系統(tǒng)注冊就可以使用了。通過增加插件使程序有很強的可擴展性�����,各個功能模塊內(nèi)聚���?���! ≡趨f(xié)議分析器中新增加一個協(xié)議插件一般需要插件安裝或者注冊�,插件初始化,插件處理3個步驟���,下面以著名的開源協(xié)議分析器Ethereal為例進行分析如何利用插件技術(shù)新增加一個協(xié)議分析模塊�����。 Ethereal是一個開放源碼協(xié)議分析器����,支持window和xiux,從1998年開始到現(xiàn)在�,最高版本為1.0.4已經(jīng)可以支持五百多種協(xié)議���。由于采用插件技術(shù)
7、�,一個新加入開發(fā)的程序員開發(fā)一種新的協(xié)議分析模塊的時候不需要了解所有的代碼,他只需要寫好這個協(xié)議模塊的函數(shù)后����,然后調(diào)用注冊函數(shù)proto_register_protocol將其函數(shù)名注冊就行了。同時調(diào)用proto_reg_handoff_myprot函數(shù)告訴系統(tǒng)在什么時候需要調(diào)用這個協(xié)議模塊�����。比如 proto_reg_handoff_myprot(void) { dissector_handle_tmyprot_handle; myprot_handle=create_dis
8��、sector_handle(dissect_myprot, proto_myprot); dissector_add("tcp.port",250,myprot_handle); } 這段代碼告訴系統(tǒng)當(dāng)tcp協(xié)議數(shù)據(jù)流端口為250的時候要調(diào)用這個函數(shù)模塊�����。這樣一個新的協(xié)議分析模塊就加入到系統(tǒng)中了���。
