（計(jì)算機(jī)應(yīng)用技術(shù)專(zhuān)業(yè)論文）基于包捕獲監(jiān)聽(tīng)系統(tǒng)的技術(shù)研究.pdf

華中科技大學(xué)碩士學(xué)位論文 摘要 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和i n t e r n e t 的普及，越來(lái)越多的信息資源放在了互聯(lián)網(wǎng)上， 廣大的中小企業(yè)也都逐漸地構(gòu)建起了自己的局域辦公網(wǎng)，這一方面給用戶(hù)帶來(lái)了方 便，提高了工作效率，另一方面，也使這些企業(yè)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴(lài)性越來(lái)越強(qiáng)。 面對(duì)日益上升的網(wǎng)絡(luò)犯罪趨勢(shì)和日益泛濫的網(wǎng)絡(luò)信息垃圾污染情況，網(wǎng)絡(luò)安全問(wèn)題 面臨著重大的挑戰(zhàn)。基于局域網(wǎng)安全和提高管理效率等多方面的考慮，目前對(duì)分析、 診斷、測(cè)試網(wǎng)絡(luò)性能和安全性工具的需求不斷增加，這些工具需要對(duì)在網(wǎng)絡(luò)上流動(dòng) 的數(shù)據(jù)進(jìn)行實(shí)時(shí)捕獲并分析，以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)狀態(tài)的監(jiān)聽(tīng)，網(wǎng)絡(luò)監(jiān)聽(tīng)對(duì)網(wǎng)絡(luò)網(wǎng)絡(luò)故障 的判斷和網(wǎng)絡(luò)管理具有重大的意義。 通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包及包捕獲的概念和基本方法、w i n p c a p 的體系結(jié)構(gòu)、包捕獲 驅(qū)動(dòng)機(jī)制、協(xié)議分析及過(guò)濾等基本原理進(jìn)行的深入研究，設(shè)計(jì)并實(shí)現(xiàn)了基于w i n p c a p 的網(wǎng)絡(luò)監(jiān)聽(tīng)系統(tǒng)。所做的主要工作包括： 1 對(duì)w i n p c a p 的體系結(jié)構(gòu)、包捕獲驅(qū)動(dòng)機(jī)制、協(xié)議分析及過(guò)濾等基本原理進(jìn)行 了深入的研究，并利用w i n p c a p 進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包捕獲和過(guò)濾的試驗(yàn)研究。 2 在解決w i n p c a p 丟包問(wèn)題上，提出了使用兩個(gè)線(xiàn)程的辦法，其中一個(gè)線(xiàn)程不 停的向驅(qū)動(dòng)程序發(fā)送讀請(qǐng)求，使得w i n p c a p 的讀隊(duì)列始終不為空，當(dāng)w i n p c a p 收到 數(shù)據(jù)時(shí)，總是有讀隊(duì)列在那里等待滿(mǎn)足需求；另一個(gè)線(xiàn)程負(fù)責(zé)檢查這些讀請(qǐng)求完成 的情況，每檢測(cè)到一個(gè)讀請(qǐng)求成功完成時(shí)，就對(duì)數(shù)據(jù)實(shí)施過(guò)濾規(guī)則，并決定是否通 知用戶(hù)界面線(xiàn)程處理。 3 設(shè)計(jì)、開(kāi)發(fā)了面向企業(yè)的監(jiān)聽(tīng)系統(tǒng)，闡述了系統(tǒng)各功能模塊詳細(xì)的設(shè)計(jì)和實(shí) 現(xiàn)過(guò)程，在企業(yè)實(shí)地對(duì)所設(shè)計(jì)的監(jiān)聽(tīng)系統(tǒng)進(jìn)行了測(cè)試，給出了測(cè)試結(jié)果。 關(guān)鍵詞：包捕獲，網(wǎng)絡(luò)監(jiān)聽(tīng)，網(wǎng)絡(luò)安全，數(shù)據(jù)包分析 華中科技大學(xué)碩士學(xué)位論文 a b s t r a c t a l o n gw i t ht h ed e v e l o p m e n tt on e t w o r kt e c h n o l o g i e sa n dp o p u l a r i z a t i o no fv a r i o u s n e t w o r ka p p l i c a t i o n s m o r ea n dm o r ei n f o r m a t i o ni s p u to n t oi n t e r n e t , n u m e r o u s e n t e r p d s e sh a v eb u i l tt h d rn e t w o r kf o rw o r k i n g ，a sar e s u l t , t h e yi n c r e a s et h d rw o r k e f f i c i e n c yg r e a t l yb u td e p e n du p o ni tm o r ea n dm o r e i nt h ef a c eo f t h eg r o w i n gt r e n do f c o m p u t e r - r e l a t e dc r i m ea n dt h ep r o l i f e r a t i o no fi n f o r m a t i o nn e t w o r k s ，i n e r e a s i n gg a r b a g e a n dp o l l u t i o n , n e t w o r ks e c u r i t yh a sf a c e dm a j o rc h a l l e n g e s c o n s i d e r i n gt h en e t w o r k s e c u r i t ya n dp r o m o t i n gw o r ke f f i c i e n c y , t h et o o l sf o ra n a l y z i n g ，d i a g n o s i n ga n dt e s t i n g t h ep e r f o r m a n c ea n ds e c u r i t yo ft h en e t w o r ki si n c r e a s i n gn e e d e d t h e s et o o l sh a v et o a t t a i nd a t ai nt h el i n ew h e nt h en e t w o r ki si nu s ea n ds n i f f e rt h en e t w o r kd a t amr e a lt i m e n o w , s n i f f e ri sp l a y i n ga ni m p o r t a n tr o l ei l lt h en e t w o r ks e c u r i t y t h ew o r ko f t h i sp a p e ri sb a s e do nt h ed e e pr e s e a r c ht ot h ec o n c e p ta n dt h em e t h o do f n e t w o r kd a t ap a c k e ta n dp a c k e tc a p t u r e , t h ea r c h i t e c t u r eo fw i n p c a pa n dt h ed r i v e n m e c h a n i s mo fp a c k e tc a p t u r e ，a n dt h ep r i n c i p l eo fp r o t o c o la n a l y s i sa n df i l t e r i n g a sa r e s u l tas e to fs o f t w a r es y s t e ma b o u ts n i f f e ri sd e s i g n e da n di m p l e m e n t e d t h ew o r k m a i n l yi n c l u d e ： 1 w ed os o m ed e e pr e s e a r c ho nt h ec o n c e p ta n dt h em e t h o do f n e t w o r kd a t ap a c k e t a n dp a c k e tc a p t u r e , t h ea r c h i t e c t u r eo fw h l p c a pa n dt h ed r i v e nm e c h a n i s mo fp a c k e t c a p t u r e , a n dt h ep r i n c i p l eo fp r o t o c o la n a l y s i sa n df i l t e r i n g , a n dm a d es o m ee x p e r i m e n t s s t u d yo nt h ep a c k e tc a p t u r ea n df i l t e r i n gb a s e do nt h ew i n p c a p 2 i no r d e rt os o l v et h ep r o b l e mo fw i n p c a pp a c k e tl o s s d u a l - t h r e a dm o d e lw a s a d o p t e d ，o n et h r e a ds e n tt h er e a d - r e q u e s tt od r i v e np m g r a ma l lt h et i m e ，t h i sm a d e w i n p c a pr o a d i i s tn e v e rn u l l w h e nw i n p c a pr e c e i v e dt h ed a t a t h e r ea r er e a d 1 i s t sa l w a y s w a i t i n gf o rs a t i s f y a n o t h e rt h r e a di sf o rc h e c k i n gt h ea c c o m p l i s ho ft h e s er e a dr e q u e s t s ， w h e nar e a dr e q u e s tw a ss a t i s f i e ds u c c e s s f u l l t h ef i l t e r i n gr u l e sw e r ea c t u a l i z et ot h ed a t a , t h e nt h er e a d 1 i s t sw i l ln e v e rn u l l 3 p r o p o s e st h ep r o c e d u r eo ft h ed e t a i ld e s i g na n di m p l e m e n to ft h en e t w o r ks n i f f e r s y s t e ms o f t w a r e , i n c l u d ee a c hm o d u l eo ft h es y s t e m f i n a l l y , w et e s ta n de v a l u a t et h e p e r f o r m a n c eo f o u rs n i f f e rs y a t e mo n al a n o f ac o m p a n y k e yw o r d s ：d a t ap a c k e tc a p t u r e ，n e t w o r ks n i f f e r ，n e t w o r ks e c u r i t y d a t ap a c k e ta n a l y s i s 獨(dú)創(chuàng)性聲明 本人聲明所呈交的學(xué)位論文是我個(gè)人在導(dǎo)師指導(dǎo)下進(jìn)行的研究工作及取得的 研究成果。盡我所知，除文中已經(jīng)標(biāo)明引用的內(nèi)容外，本論文不包含任何其他個(gè)人 或集體已經(jīng)發(fā)表或撰寫(xiě)過(guò)的研究成果。對(duì)本文的研究做出貢獻(xiàn)的個(gè)人和集體，均己 在文中以明確方式標(biāo)明。本人完全意識(shí)到本聲明的法律結(jié)果由本人承擔(dān)。 學(xué)位論文作者簽名： 之i 毛 ，- 日期：跏年r 月2 牛日 學(xué)位論文版權(quán)使用授權(quán)書(shū) 本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，即：學(xué)校有 權(quán)保留并向國(guó)家有關(guān)部門(mén)或機(jī)構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借 閱。本人授權(quán)華中科技大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫(kù)進(jìn) 行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。 保密口，在年解密后適用本授權(quán)書(shū)。 本論文屬于 不保密回： ( 請(qǐng)?jiān)谝陨戏娇騼?nèi)打“”) 學(xué)位論文作者簽名：亨一氧一 日期：礦年i ，月? 4 日 指導(dǎo)教師簽名： 像身 日期：妒6 年，一月巧e t 華中科技大學(xué)碩士學(xué)位論文 1 緒論 1 1 網(wǎng)絡(luò)數(shù)據(jù)包與包捕獲技術(shù)簡(jiǎn)介 網(wǎng)絡(luò)數(shù)據(jù)包是通過(guò)網(wǎng)絡(luò)傳輸數(shù)據(jù)的基本單元，它包含一個(gè)包頭( h e a d e r ) 和數(shù)據(jù)本 身，其中包頭描述了數(shù)掘的目的地以及和其它數(shù)據(jù)之間的關(guān)系【i 】。通過(guò)網(wǎng)絡(luò)傳輸?shù)?原始數(shù)據(jù)必須按照一定的大小和標(biāo)準(zhǔn)進(jìn)行層層分組打包，并加上相應(yīng)的包頭，封裝 成為一個(gè)個(gè)獨(dú)立的數(shù)據(jù)包后，才能進(jìn)行傳送。網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)指的就是在網(wǎng)絡(luò) 數(shù)據(jù)包傳輸?shù)倪^(guò)程中對(duì)其進(jìn)行攔截和解密。由于現(xiàn)代操作系統(tǒng)己經(jīng)封裝了所有的網(wǎng) 絡(luò)底層操作，自動(dòng)實(shí)現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)包級(jí)的傳輸控制，所以要完成對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的攔 截，必須要通過(guò)操作系統(tǒng)或直接嵌入到操作系統(tǒng)中才能實(shí)現(xiàn)。通過(guò)對(duì)捕獲的網(wǎng)絡(luò)數(shù) 據(jù)包進(jìn)行分析和過(guò)濾，可以達(dá)到網(wǎng)絡(luò)竊聽(tīng)、流量監(jiān)控、惡意網(wǎng)絡(luò)數(shù)據(jù)隔離等目的， 因此網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)是構(gòu)建防火墻、網(wǎng)絡(luò)監(jiān)控、入侵檢測(cè)等網(wǎng)絡(luò)安全系統(tǒng)的基 礎(chǔ)。 1 2 計(jì)算機(jī)網(wǎng)絡(luò)安全的國(guó)內(nèi)外研究現(xiàn)狀 1 2 1 計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀 隨著各種新的網(wǎng)絡(luò)技術(shù)的不斷出現(xiàn)、應(yīng)用和發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣 泛，其作用也越來(lái)越重要。但是由于計(jì)算機(jī)系統(tǒng)中軟硬件和計(jì)算機(jī)網(wǎng)絡(luò)本身的脆弱 性以及計(jì)算機(jī)及網(wǎng)絡(luò)受地理分布的位置、自然環(huán)境、自然破壞以及人為因素的影響， 不僅增加了信息存儲(chǔ)、處理的風(fēng)險(xiǎn)，也給信息傳送帶來(lái)了新的問(wèn)題。計(jì)算機(jī)網(wǎng)絡(luò)安 全問(wèn)題越來(lái)越嚴(yán)重，網(wǎng)絡(luò)破壞所造成的損失越來(lái)越大，i n t e r n e t 的安全已經(jīng)成為亟待 解決的問(wèn)題。 從目前的情況來(lái)看，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的入侵、威脅和攻擊，基本上可以歸納為以 華中科技大學(xué)碩士學(xué)位論文 下幾種：外部人員攻擊( 7 5 ) ：黑客入侵( 1 7 n ) ；信息的泄漏、竊取和破壞； 搭線(xiàn)竊聽(tīng)；線(xiàn)路干擾；拒絕服務(wù)或注入非法信息；刪除關(guān)鍵信息；身份 截取或中繼攻擊；工作疏忽，造成漏洞；人為的破壞網(wǎng)絡(luò)設(shè)備，造成網(wǎng)絡(luò)癱瘓。 造成計(jì)算機(jī)網(wǎng)絡(luò)的入侵、威脅和攻擊的原因主要有以下幾個(gè)方面【2 1 ：局域網(wǎng)存 在的缺陷和i n t e r n e t 的脆弱性；薄弱的網(wǎng)絡(luò)認(rèn)證環(huán)節(jié)和系統(tǒng)易被監(jiān)視性；網(wǎng)絡(luò)軟 件的缺陷和i n t e r a c t 服務(wù)的漏洞；沒(méi)有正確的安全策略和安全機(jī)制；缺乏先進(jìn)的 網(wǎng)絡(luò)安全技術(shù)、工具、手段和產(chǎn)品；缺乏先進(jìn)的系統(tǒng)恢復(fù)、備份技術(shù)和工具； 主機(jī)的復(fù)雜設(shè)置和復(fù)雜控制；安裝了不正確的安全策略；缺乏相應(yīng)的安全準(zhǔn)則、 安全規(guī)范、安全政策、安全法規(guī)，使得無(wú)章可循，無(wú)法可依；最重要的一條，沒(méi) 有正視黑客、病毒和計(jì)算機(jī)犯罪所造成的嚴(yán)重后果，舍不得投入必要的人力、物力 和財(cái)力來(lái)加強(qiáng)網(wǎng)絡(luò)的安全性。 目前，網(wǎng)絡(luò)安全問(wèn)題已引起許多國(guó)家、尤其是發(fā)達(dá)國(guó)家的高度重視，不借投入 大量的人力、物力和財(cái)力來(lái)提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性。近年來(lái)，由于我國(guó)政府 的高度重視，業(yè)界有識(shí)之士的不懈努力，媒體的廣泛宣傳和眾多黑客事件的相繼曝 光，國(guó)人的網(wǎng)絡(luò)安全意識(shí)有了大幅度的提高。但與世界先進(jìn)國(guó)家相比，我國(guó)網(wǎng)絡(luò)安 全的現(xiàn)狀仍不容樂(lè)觀(guān)，很多企業(yè)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)仍有待于建立和健全，尤其是 在網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)上，核心技術(shù)大多被國(guó)外大型r r 公司所壟斷，這對(duì)我國(guó)政府加 強(qiáng)國(guó)防安全、改善網(wǎng)絡(luò)安全環(huán)境、提高網(wǎng)絡(luò)安全技術(shù)水平是非常不利的。 1 2 2 網(wǎng)絡(luò)安全機(jī)制及技術(shù)措施 目前國(guó)內(nèi)外維護(hù)網(wǎng)絡(luò)安全的機(jī)制主要有以下幾類(lèi)2 一】：( 1 ) 訪(fǎng)問(wèn)控制機(jī)制( 2 ) 身份鑒別( 3 ) 加密機(jī)制( 4 ) 病毒防護(hù)。 針對(duì)以上機(jī)制的網(wǎng)絡(luò)安全技術(shù)措施主要有：防火墻技術(shù)、基于主機(jī)的安全措施、 加密技術(shù)及其它安全措施等技術(shù)。 1 防火墻技術(shù) 防火墻是近期發(fā)展起來(lái)的一種安全有效的防范性技術(shù)措施，是訪(fǎng)問(wèn)控制機(jī)制、 華中科技大學(xué)碩士學(xué)位論文 安全策略和防入侵措施。它是通過(guò)在網(wǎng)絡(luò)邊界上建立起來(lái)的相應(yīng)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng) 來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以確定哪些內(nèi)部服務(wù)允許外部訪(fǎng)問(wèn)，以及允許哪些外部服 務(wù)訪(fǎng)問(wèn)內(nèi)部服務(wù)，以阻擋外部網(wǎng)絡(luò)的入侵。 2 基于主機(jī)的安全措施 通常利用主機(jī)操作系統(tǒng)提供的訪(fǎng)問(wèn)權(quán)限，對(duì)主機(jī)資源進(jìn)行保護(hù)，這種安全措施 往往只局限于主機(jī)本身的安全，而不能對(duì)整個(gè)網(wǎng)絡(luò)提供安全保證。 3 加密技術(shù) 用于網(wǎng)絡(luò)安全的加密技術(shù)通常又有以下兩種形式【2 一】： ( 1 ) 面向服務(wù)的加密技術(shù)面向服務(wù)的加密技術(shù)即通常所說(shuō)的信息加密，它是 指利用好的密碼算法對(duì)某些敏感數(shù)據(jù)、文件和程序進(jìn)行加密，并以密文方式存取， 以防泄密，其優(yōu)點(diǎn)在于實(shí)現(xiàn)相對(duì)簡(jiǎn)單，不需對(duì)網(wǎng)絡(luò)數(shù)據(jù)所經(jīng)過(guò)的網(wǎng)絡(luò)的安全性提出 特殊的要求。 ( 2 ) 面向網(wǎng)絡(luò)的加密技術(shù)面向網(wǎng)絡(luò)的加密技術(shù)是指通信協(xié)議加密，它是在通 信過(guò)程中對(duì)包中的數(shù)據(jù)進(jìn)行加密，包括完整性檢測(cè)、數(shù)字簽名等，這些安全協(xié)議大 多采用了諸如r s a 公鑰密碼算法、d e s 分組密碼、m d 系列h a s h 函數(shù)以及其它一 些序列密碼算法來(lái)實(shí)現(xiàn)信息安全功能，用于防止黑客對(duì)信息進(jìn)行偽造、冒充和篡改， 從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。 加密技術(shù)是網(wǎng)絡(luò)信息最基本、最核心的技術(shù)措施，但加密的有效性完全取決于 所采用的密碼算法，故一般由中央授權(quán)部門(mén)研制生產(chǎn)，不能自行采用一些密碼算法 用于網(wǎng)絡(luò)中，否則后果不堪設(shè)想。 4 其它安全措施 包括鑒別技術(shù)、數(shù)字簽名技術(shù)、入侵檢測(cè)技術(shù)、審計(jì)監(jiān)控、防病毒技術(shù)、備份 和恢復(fù)技術(shù)等。鑒別技術(shù)是指只有經(jīng)過(guò)網(wǎng)絡(luò)系統(tǒng)授權(quán)和登記的合法用戶(hù)才能進(jìn)入網(wǎng) 絡(luò)；審計(jì)監(jiān)控是指隨時(shí)監(jiān)視用戶(hù)在網(wǎng)絡(luò)中的活動(dòng)，記錄用戶(hù)對(duì)敏感的數(shù)據(jù)資源的訪(fǎng) 問(wèn)，以便隨時(shí)調(diào)查和分析是否遭到黑各的攻擊，這些都是保障網(wǎng)絡(luò)安全的重要手段。 華中科技大學(xué)碩士學(xué)位論文 1 2 2 目前國(guó)內(nèi)外幾種典型的網(wǎng)絡(luò)安全技術(shù) 一個(gè)企業(yè)級(jí)的典型網(wǎng)絡(luò)安全措施主要包括防火墻、入侵檢測(cè)、全網(wǎng)的病毒防護(hù)、 與外部網(wǎng)絡(luò)的傳輸加密( v p n 技術(shù)) 以及網(wǎng)絡(luò)內(nèi)部的信息安全控制如網(wǎng)絡(luò)安全隔離控 制卡、指紋引用系統(tǒng)以及服務(wù)器上的身份認(rèn)證機(jī)制等。 1 防火墻系統(tǒng) 防火墻系統(tǒng)能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性，加強(qiáng)網(wǎng)絡(luò)問(wèn)的訪(fǎng)問(wèn)控制，防止外部 用戶(hù)非法使用內(nèi)部網(wǎng)的資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感 數(shù)據(jù)被竊取。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪(fǎng)問(wèn)、外界的哪些人員可 以訪(fǎng)問(wèn)內(nèi)部的哪些服務(wù)、以及哪些外部服務(wù)可以被內(nèi)部人員訪(fǎng)問(wèn)等。要使一個(gè)防火 墻有效，所有來(lái)自和去往因特網(wǎng)的信息都必須經(jīng)過(guò)防火墻，接受防火墻的檢查。防 火墻必須只允許授權(quán)的數(shù)據(jù)通過(guò)，并且防火墻本身也必須能夠免于滲透。 從總體上看，防火墻應(yīng)具有以下五大基本功能【3 一一8 】：過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包、 管理進(jìn)出網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為、封堵某些禁止的訪(fǎng)問(wèn)行為、記錄通過(guò)防火墻的信息內(nèi)容 和活動(dòng)、對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。近幾年防火墻技術(shù)發(fā)展迅速，產(chǎn)品眾多，而 且更新?lián)Q代快，并不斷有新的信息安全技術(shù)和軟件技術(shù)等被應(yīng)用到防火墻的開(kāi)發(fā)上。 國(guó)外技術(shù)雖然相對(duì)領(lǐng)先( 比如包過(guò)濾、代理服務(wù)器、v p n 、狀態(tài)監(jiān)測(cè)、加密技術(shù)、身 份認(rèn)證等) ，但總的來(lái)講，此方面的技術(shù)并不是十分成熟，標(biāo)準(zhǔn)也不健全，實(shí)用效果 也不是很理想。從1 9 9 1 年6 月a n s 公司的第一個(gè)防火墻產(chǎn)品a n si n t e r l o c k s e r v i c 五蚓防火墻上市以來(lái)，到目| j 為止，世界上已有很多公司和技術(shù)部門(mén)在從事 防火墻技術(shù)的研究和產(chǎn)品開(kāi)發(fā)。國(guó)外產(chǎn)品主要有【3 一 ：t i sf i r e w a l lt o o l k i t ，b l a c ki c e ， f i r e w a l l 一1 ，z o n e a l a m ，s i d e w i n d e rb ys e c u r ec o m p u t i n g ，f - s e c u r e ，c i s c o ，n o r t o n 等等，國(guó)內(nèi)防火墻產(chǎn)品主要有：北京天融信公司的“網(wǎng)絡(luò)衛(wèi)士”防火墻系統(tǒng)，清華大 學(xué)及總參第5 6 研究所的安全路由器，郵電部數(shù)據(jù)通信技術(shù)研究所的s j w 0 6 信息代 理服務(wù)器p r o x y 9 8 ，上海交通大學(xué)的帶安全通道的防火墻系統(tǒng)，中科院信息安全技 術(shù)工程研究中心的e r c i s t 防火墻系統(tǒng)，上海信息港的黑洞式網(wǎng)絡(luò)防火墻n e t g u a r d l 0 0 0 、以及天網(wǎng)、瑞友r s a 、瑞星等產(chǎn)品。 4 華中科技大學(xué)碩士學(xué)位論文 2 入侵檢測(cè)系統(tǒng) 入侵檢測(cè)是通過(guò)監(jiān)控系統(tǒng)的使用情況，來(lái)檢測(cè)系統(tǒng)用戶(hù)的越權(quán)使用以及系統(tǒng)外 部的入侵者利用系統(tǒng)的安全缺陷對(duì)系統(tǒng)進(jìn)行入侵的企圖。它根據(jù)用戶(hù)的歷史行為， 基于用戶(hù)當(dāng)前的操作，完成對(duì)攻擊的決策并記錄下攻擊證據(jù)，為數(shù)據(jù)恢復(fù)與事故處 理提供依據(jù)。 目前主要有兩類(lèi)入侵檢測(cè)系統(tǒng)i 卵：基于網(wǎng)絡(luò)的和基于主機(jī)的，前者在鏈接過(guò)程 中監(jiān)視特定網(wǎng)段的數(shù)據(jù)流，查找每一數(shù)據(jù)包內(nèi)隱藏的惡意入侵，并對(duì)發(fā)現(xiàn)的入侵做 出及時(shí)的響應(yīng)，后者是檢查某臺(tái)主機(jī)系統(tǒng)日志中記錄的未經(jīng)授權(quán)的可疑行為，并及 時(shí)做出響應(yīng)。 3 虛擬專(zhuān)用網(wǎng)v p n ( v i r t u a lp r i v a t en e t w o r k i n g ) 技術(shù) v p n 技術(shù)可以在遠(yuǎn)程用戶(hù)、公司分支機(jī)構(gòu)、商業(yè)合作伙伴與公司的內(nèi)部網(wǎng)之間 建立可靠的安全鏈接，并保護(hù)數(shù)據(jù)的安全傳輸。與實(shí)際的點(diǎn)到點(diǎn)連接電路樣，v p n 系統(tǒng)可被設(shè)計(jì)成通過(guò)i n t e r n e t ，提供安全的點(diǎn)到點(diǎn)( 或端到端) 的“隧道”。 一個(gè)v p n 至少提供如下3 個(gè)功能 6 1 ： ( i ) 數(shù)據(jù)加密( 2 ) 信息認(rèn)證和身份認(rèn)證( 3 ) 訪(fǎng)問(wèn)權(quán)限控制。 根據(jù)用戶(hù)的需求，v p n 可以用多種不同的方法實(shí)現(xiàn)。通常情況下，有基于防火 墻的v p n 、基于路由器的v p n 、基于服務(wù)器的v p n 和專(zhuān)用的v p n 設(shè)備等。 4 其他一些常規(guī)的安全技術(shù)和產(chǎn)品 其他一些常規(guī)的安全體系如密碼技術(shù)、數(shù)字簽名、數(shù)字郵戳、數(shù)字憑證和認(rèn)證 中心等技術(shù)手段可以保護(hù)核心秘密并抵御外來(lái)非法攻擊。這些技術(shù)有的在硬件上保 證主機(jī)和網(wǎng)絡(luò)的安全，有的在軟件上保證主機(jī)和網(wǎng)絡(luò)的安全，如指紋應(yīng)用技術(shù)保證 系統(tǒng)登錄的安全，安全隔離卡保證主機(jī)和網(wǎng)絡(luò)的物理隔離，以及防病毒技術(shù)保證整 個(gè)網(wǎng)絡(luò)的信息的病毒防護(hù)。 1 3 網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)與網(wǎng)絡(luò)安全的關(guān)系 必須充分認(rèn)識(shí)網(wǎng)絡(luò)安全問(wèn)題的嚴(yán)重性，嚴(yán)格的按照安全規(guī)則處理，才可以把 華中科技大學(xué)碩士學(xué)位論文 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)限制在有限范圍內(nèi)。為了增強(qiáng)網(wǎng)絡(luò)的安全性，人們?cè)趇 n t e r n c t 與局域網(wǎng) 之間設(shè)置了防火墻，在網(wǎng)絡(luò)環(huán)境中增加了入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)，而對(duì) 于普通用戶(hù)來(lái)說(shuō)最普遍或許也是最方便的則是安裝p c 版的個(gè)人網(wǎng)絡(luò)防火墻系統(tǒng)。以 上這些常用的網(wǎng)絡(luò)安全系統(tǒng)，其底層核心技術(shù)之一就是網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)。網(wǎng)絡(luò) 數(shù)據(jù)包捕獲是構(gòu)建以上這些網(wǎng)絡(luò)安全系統(tǒng)的基礎(chǔ)，能否高效、穩(wěn)定、準(zhǔn)確、全面的 捕獲網(wǎng)絡(luò)數(shù)據(jù)包已經(jīng)成為防火墻、入侵檢測(cè)等網(wǎng)絡(luò)安全系統(tǒng)能否獲得成功的關(guān)鍵。 作為當(dāng)前最流行的用戶(hù)平臺(tái)，w i n d o w s 操作系統(tǒng)占據(jù)了絕大多數(shù)p c 用戶(hù)的桌 面。如何在源碼不公開(kāi)的w i n d o w s 平臺(tái)環(huán)境下較好的實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的捕獲，成為 在w i n d o w s 環(huán)境下實(shí)現(xiàn)防火墻、網(wǎng)絡(luò)嗅探、入侵檢測(cè)等多種網(wǎng)絡(luò)安全系統(tǒng)的底層核 心技術(shù)。長(zhǎng)期以來(lái)，這一構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)的關(guān)鍵性技術(shù)一直為國(guó)外一些大型計(jì)算 機(jī)公司所壟斷，使得該技術(shù)在商業(yè)上具備較高的敏感性，同時(shí)對(duì)我國(guó)政府提高國(guó)防 能力、提高網(wǎng)絡(luò)安全領(lǐng)域產(chǎn)品的競(jìng)爭(zhēng)力也是非常不利的。 1 4 網(wǎng)絡(luò)監(jiān)聽(tīng)概述 網(wǎng)絡(luò)監(jiān)聽(tīng)，也稱(chēng)為網(wǎng)絡(luò)嗅探( s n i f f e r ) ，s n i f f e r 是利用計(jì)算機(jī)網(wǎng)絡(luò)接口捕獲目的地 為其它計(jì)算機(jī)的數(shù)據(jù)包的一種工具，s n i f f e r 的通用意義是網(wǎng)絡(luò)協(xié)議分析儀，在合理 的網(wǎng)絡(luò)中，s n i f f e r 的存在對(duì)網(wǎng)絡(luò)管理人員是十分重要的。系統(tǒng)管理員通過(guò)s n i f e r 可以 診斷出大量的不可見(jiàn)的模糊問(wèn)題，這些問(wèn)題涉及兩臺(tái)乃至多臺(tái)計(jì)算機(jī)之間的異常通 信，有些還與各種協(xié)議有關(guān)。借助于s n i f f e r ，系統(tǒng)管理員可以方便的確定出多少的 通信量屬于哪個(gè)協(xié)議，占主要通信協(xié)議的主機(jī)是哪一臺(tái)，大多數(shù)通信目的地是哪臺(tái) 主機(jī)，報(bào)文發(fā)送占用多少時(shí)間，或是相互主機(jī)的報(bào)文傳送間隔時(shí)間等。這些信息為 管理員判斷網(wǎng)絡(luò)問(wèn)題和管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。 使用網(wǎng)絡(luò)監(jiān)控技術(shù)進(jìn)行網(wǎng)絡(luò)故障診斷與分析，可以監(jiān)聽(tīng)收集到網(wǎng)絡(luò)中傳送的數(shù) 據(jù)，然后對(duì)這些數(shù)據(jù)進(jìn)行分析以幫助解決在各種多拓?fù)洹⒍鄥f(xié)議網(wǎng)絡(luò)上的性能問(wèn)題 并排除網(wǎng)絡(luò)故障，還可以產(chǎn)生報(bào)表等數(shù)據(jù)分析結(jié)果，以更好的支持網(wǎng)絡(luò)的運(yùn)行。 此外，使用網(wǎng)絡(luò)監(jiān)控技術(shù)進(jìn)行完全分析，還可以及時(shí)發(fā)現(xiàn)各種危害網(wǎng)絡(luò)安全的 6 華中科技大學(xué)碩士學(xué)位論文 行為，維護(hù)網(wǎng)絡(luò)的安全性，并可通過(guò)監(jiān)控技術(shù)實(shí)現(xiàn)審計(jì)跟蹤，這在網(wǎng)絡(luò)安全問(wèn)題上 具有重要意義。 縱觀(guān)國(guó)內(nèi)外在網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)中所使用的包捕獲機(jī)制的方法，大致可歸納為兩類(lèi)： 一類(lèi)是由操作系統(tǒng)內(nèi)核提供的捕獲機(jī)制，另一類(lèi)是由應(yīng)用軟件或系統(tǒng)開(kāi)發(fā)包通過(guò)安 裝包捕獲驅(qū)動(dòng)程序提供的捕獲機(jī)制，該機(jī)制主要用于w i n 3 2 平臺(tái)下的開(kāi)發(fā)。操作系 統(tǒng)提供的捕獲機(jī)制主要有四種r l ：b p f ( b e r k e l e yp a c k e tf i l t e r ) 、d l p i ( d a t al i n k p r o v i d e ri n t e f a c e ) 、n i t ( n e t w o r ki n t e r f a c et a p ) 和s o c kp a c k e t 。b p f 由基于b s d 的 u n i x 系統(tǒng)內(nèi)核所實(shí)現(xiàn)；d l p i 是s o l a r i s ( 和其它s y s t e mvu n i x ) 系統(tǒng)的內(nèi)嵌子系統(tǒng)； n i t 是s u no s 4 系統(tǒng)的一部分，但在s o l a r i s s u n o s 5 系統(tǒng)中被d l p i 所取代；l i n u x 核心則實(shí)現(xiàn)了s o c kp a c k e t 的包捕獲機(jī)制。從性能上看，b p f 比d l p i 及n i t 好得多， 而s o c kp a c k e t 最弱。s c oo p e n s e r v e r 雖然本身沒(méi)有內(nèi)核捕獲模b p f ，但有作為可壓 入內(nèi)核的s t r e a m s 模塊b p f ，采用與伯克利b p f 相一致的概念，但并未提供伯克 利b p f 的所有功能。 w i n d o w s 操作系統(tǒng)沒(méi)有提供內(nèi)置的包捕獲機(jī)制。w i n p c a p ( w i n d o w sp a c k e t c a p t u r e ) 是w i r d 2 上的第一個(gè)用來(lái)捕獲數(shù)據(jù)包的開(kāi)放系統(tǒng)軟件包，它是一種新提出的 強(qiáng)有力并且可擴(kuò)展的框架結(jié)構(gòu)，w i n p c a p 包含了一系列以i ； 系統(tǒng)所沒(méi)有的創(chuàng)新特性。 1 5 本文的主要研究工作 本文主要進(jìn)行了以下的研究工作： 1 對(duì)w i n p c a p 的體系結(jié)構(gòu)、包捕獲驅(qū)動(dòng)機(jī)制、協(xié)議分析及過(guò)濾等基本原理進(jìn)行 了深入的理論研究。 2 對(duì)w i n d o w s 環(huán)境下基于w i n p c a p 的包捕獲方法進(jìn)行試驗(yàn)研究。 3 研究網(wǎng)絡(luò)監(jiān)聽(tīng)系統(tǒng)開(kāi)發(fā)的幾個(gè)主要問(wèn)題，在此基礎(chǔ)上設(shè)計(jì)并實(shí)現(xiàn)了基于 w i n p c a p 的網(wǎng)絡(luò)監(jiān)聽(tīng)系統(tǒng)。 4 測(cè)試、評(píng)估開(kāi)發(fā)的網(wǎng)絡(luò)監(jiān)聽(tīng)系統(tǒng)。 7 華中科技大學(xué)碩士學(xué)位論文 2w i n d o w s 平臺(tái)網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)的實(shí)現(xiàn)機(jī)制 內(nèi)部網(wǎng)絡(luò)與i n t e r a c t 間的通信，是通過(guò)網(wǎng)關(guān)轉(zhuǎn)發(fā)數(shù)據(jù)包來(lái)實(shí)現(xiàn)的，為了實(shí)現(xiàn)對(duì)網(wǎng) 絡(luò)中被監(jiān)控主機(jī)數(shù)據(jù)包的控制轉(zhuǎn)發(fā)，監(jiān)控端必須捕獲內(nèi)部網(wǎng)與i n t e m e t 間的通信數(shù)據(jù) 包。本章從w i n d o w s 操作系統(tǒng)架構(gòu)及w i n p c a p 捕包機(jī)制出發(fā)，分析w i n d o w s 下網(wǎng) 絡(luò)數(shù)據(jù)包捕獲技術(shù)的實(shí)現(xiàn)機(jī)制。 2 1w in d o w s 平臺(tái)網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)簡(jiǎn)述 w i n d o w s 操作系統(tǒng)的總體架構(gòu)分為兩個(gè)層次，即應(yīng)用層( 或稱(chēng)用戶(hù)態(tài)) 和核心層( 或 內(nèi)核態(tài)) 。應(yīng)用層是可以直接接觸得到的，應(yīng)用程序( e x e ) 與動(dòng)態(tài)鏈接庫(kù)( d l l ) 工 作在這一層，動(dòng)態(tài)鏈接庫(kù)被應(yīng)用程序調(diào)用時(shí)就是應(yīng)用程序的一部分，所以它們并沒(méi)有 本質(zhì)區(qū)別。w i n d o w s 核心層下擴(kuò)展名為v x d 或s y s 的程序，稱(chēng)為驅(qū)動(dòng)程序，驅(qū)動(dòng)程 序?yàn)樯蠈討?yīng)用程序提供底層支持。 o s i 七層從下至上依次為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話(huà)層、表示層 及應(yīng)用層，w i n d o w s 操作系統(tǒng)架構(gòu)與o s i 七層協(xié)議、t c p i p 協(xié)議的關(guān)系影射圖如圖2 1 。 i 。m t pl 應(yīng)用層 | p o 帕t e l f n e n t pt f t p n 夕 l 傳輸層t c p lu d p | 唑ji l pi | 腳il r a r p i l 網(wǎng)絡(luò)接口、心么 l 口” - - 網(wǎng)絡(luò)接口 匝丑 匝三三習(xí) 叵互 匝固掀態(tài) 匹亟王習(xí) 臣圈 匝ji j 圖2 1o s i 七層協(xié)議、t c p i p 協(xié)議和w i n d o w s 結(jié)構(gòu)的關(guān)系影射 8 圓圓園囤困圍回 華中科技大學(xué)碩士學(xué)位論文 從圖中可看出o s i 七層協(xié)議在w i n d o w s 體現(xiàn)得非常明顯，但因?yàn)椴僮飨到y(tǒng)并沒(méi) 有嚴(yán)格劃分這些層，所以這個(gè)關(guān)系影射并十分嚴(yán)謹(jǐn)，有時(shí)候它們之間會(huì)存在一些交叉。 物理層即網(wǎng)卡，其作用一是將線(xiàn)路發(fā)來(lái)的高頻調(diào)制信號(hào)轉(zhuǎn)化為基帶的數(shù)據(jù)包信 號(hào)傳送給網(wǎng)卡驅(qū)動(dòng)程序，二是將網(wǎng)卡驅(qū)動(dòng)程序傳送來(lái)的數(shù)據(jù)包轉(zhuǎn)化成高頻調(diào)制電流 發(fā)送到線(xiàn)路上。數(shù)據(jù)鏈路層即網(wǎng)卡驅(qū)動(dòng)程序，它負(fù)責(zé)和w i n d o w s 進(jìn)行溝通。網(wǎng)絡(luò)層 是n d i s ，n d i s 的重要職能是提供網(wǎng)絡(luò)層接口，一方面通過(guò)網(wǎng)卡驅(qū)動(dòng)程序向網(wǎng)卡傳 達(dá)w i n d o w s 的意思，另一方面，將網(wǎng)卡驅(qū)動(dòng)程序得到的網(wǎng)卡的數(shù)據(jù)傳送給上層t d i 。 傳輸層即t d i ，是傳輸驅(qū)動(dòng)的接口，負(fù)責(zé)對(duì)信息進(jìn)行檢索、分類(lèi)并重新組織，t c p 協(xié)議的數(shù)據(jù)包處理就在這層進(jìn)行。從物理層到傳輸層都處于核心層，其程序都是驅(qū) 動(dòng)程序，表現(xiàn)為v x d 或s y s 。內(nèi)核態(tài)的w i n d o w s 網(wǎng)絡(luò)體系結(jié)構(gòu)分別見(jiàn)圖2 2 。 n d i sw r a p p e r a f 3i卜之o 1 圖2 2w i n d o w s 網(wǎng)絡(luò)體系結(jié)構(gòu)圖內(nèi)核態(tài) 9 鷥產(chǎn) 華中科技大學(xué)碩士學(xué)位論文 會(huì)話(huà)層即s p i ，屬于應(yīng)用層范疇，它的程序?yàn)閯?dòng)態(tài)鏈接庫(kù)( d l l ) 的形式，負(fù)責(zé) 鏈接核心層驅(qū)程序和高層應(yīng)用程序，而應(yīng)用層上最常見(jiàn)的是e x e 文件，負(fù)責(zé)數(shù)據(jù)傳 輸結(jié)果顯示給用戶(hù)，并將用戶(hù)下達(dá)的命令傳送到下一層。 t c p h p 的應(yīng)用層相當(dāng)于o s i 的高3 層，傳輸層仍相當(dāng)于o s i 的傳輸層，t c p i p 為網(wǎng)絡(luò)層換了一個(gè)名字稱(chēng)為網(wǎng)絡(luò)互連層，是實(shí)現(xiàn)i p 協(xié)議的層，t c p h p 將數(shù)據(jù)鏈路 層與物理層統(tǒng)稱(chēng)為網(wǎng)絡(luò)接口層。用戶(hù)態(tài)的w i n d o w s 網(wǎng)絡(luò)體系結(jié)構(gòu)見(jiàn)圖2 3 。 回叵三口i ! 竺竺ii 竺竺竺竺 l 回 圖2 3 w i n d o w s 網(wǎng)絡(luò)體系結(jié)構(gòu)圖一用戶(hù)態(tài) 從這幾個(gè)圖，我們可以看到網(wǎng)絡(luò)驅(qū)動(dòng)的分層結(jié)構(gòu)，這給我們提供了攔截網(wǎng)絡(luò)數(shù) 據(jù)包的基本思路?？偟膩?lái)說(shuō)，要攔截w i n d o w s 下的網(wǎng)絡(luò)數(shù)據(jù)包，可以在兩個(gè)層面進(jìn) 行：用戶(hù)態(tài)( u s e r - m o d e ) 和內(nèi)核態(tài)( k e r n e l m o d e ) 。在用戶(hù)態(tài)下有以下3 種方法進(jìn)行 網(wǎng)絡(luò)數(shù)據(jù)包的攔截【4 羽： 1 w i n s o c kl a y e r e ds e r v i c ep r o v i d e r ( l s p ) 2 w i n d o w s 2 0 0 0 ) ( p 包過(guò)濾接口 3 替換系統(tǒng)自帶的w i n s o c k 動(dòng)態(tài)鏈接庫(kù) 顯然，在用戶(hù)態(tài)下進(jìn)行數(shù)據(jù)包攔截最致命的缺點(diǎn)就是只能在w i n s o c k 層次上進(jìn) 行，而對(duì)于網(wǎng)絡(luò)協(xié)議棧中底層協(xié)議的數(shù)據(jù)包無(wú)法進(jìn)行處理，對(duì)于一些木馬和病毒來(lái) 1 0 華中科技大學(xué)碩士學(xué)位論文 說(shuō)很容易避開(kāi)這個(gè)層次的防火墻。 在內(nèi)核態(tài)下網(wǎng)絡(luò)數(shù)據(jù)包的捕獲方法比較復(fù)雜，大多數(shù)的個(gè)人防火墻都是在內(nèi)核 態(tài)下實(shí)現(xiàn)的，主要有以下5 種方法 g q q ： 1 t d i 過(guò)濾驅(qū)動(dòng)程序( t d i f i l t e rd r i v e r ) 2 n d i s 中i f s 層驅(qū)動(dòng)程序( n d i si n t e r m e d i a t ed r i v e r ) 3 w i t l 2 kf i l t e r - h o o kd r i v e r 4 w i i l 2 kf i r e w a l l h o o kd r i v e r 5 n d i sh o o k i n gf i l t e rd r i v e r 在內(nèi)核態(tài)下能夠攔截到比較底層的數(shù)據(jù)包，但是其實(shí)現(xiàn)方法比較復(fù)雜，需要編 寫(xiě)特定的驅(qū)動(dòng)程序，同時(shí)對(duì)程序的性能、穩(wěn)定性等各方面的要求也都比較高。 微軟和3c o r n 公司在1 9 8 9 年制定了一套開(kāi)發(fā)w i n d o w s 標(biāo)準(zhǔn)1 3 】，稱(chēng)為n d i s ( n e t w o r kd r i v e ri n t e r f a c es p e c i f i c a t i o n ) ，n d i s 提供了大量的操作函數(shù)，它為上層的協(xié) 議驅(qū)動(dòng)提供服務(wù)，屏蔽了下層各種網(wǎng)卡的差別。n d i s 向上支持多種網(wǎng)絡(luò)協(xié)議，比 如t c p i p 、n w l i n ki p x s p x 、n e t b e u i 等，向下支持不同廠(chǎng)家生產(chǎn)的多種網(wǎng)卡。 n d i s 還支持多種工作模式，支持多處理器，提供一個(gè)完備的n d i s 庫(kù)( l i b r a r y ) 。但 庫(kù)中所提供的各個(gè)函數(shù)都是工作在核心模式下的，用戶(hù)不宜直接操作，這就需要尋 找另外的接口。 n d i s 為網(wǎng)絡(luò)驅(qū)動(dòng)的開(kāi)發(fā)提供了一套標(biāo)準(zhǔn)的接口，使得網(wǎng)絡(luò)驅(qū)動(dòng)程序的跨平臺(tái)性 更好，n d i s 提供以下幾個(gè)層次的接口【1 4 】： 1 n d i s 小端口驅(qū)動(dòng)( m i n i p o r t d r i v e r ) ，即我們常說(shuō)的網(wǎng)卡驅(qū)動(dòng) 2 n d i s 協(xié)議驅(qū)動(dòng)( p r o t o c o ld r i v e r ) ，例如t c p ，口協(xié)議驅(qū)動(dòng) 3 n d i s 中間層驅(qū)動(dòng)( i n t e r m e d i a t e d r i v e r ) ，這是基于鏈路層和口層之間的驅(qū)動(dòng) 2 2w i n p c a p 概述 2 2 1w i n p c a p 概述 w i n p c a p 是由微軟資助的一個(gè)項(xiàng)目，其核心仍是基于n d i s 的，但它對(duì)n d i s 進(jìn) 華中科技大學(xué)碩士學(xué)位論文 行封裝，是w i n d o w s 平臺(tái)下一個(gè)免費(fèi)、公共的網(wǎng)絡(luò)訪(fǎng)問(wèn)系統(tǒng)，它為w i n 3 2 應(yīng)用程 序提供訪(fǎng)問(wèn)網(wǎng)絡(luò)底層的能力。w m p c a p 是b p f 模型和l i b p e a p 函數(shù)庫(kù)在w i n d o w s 平臺(tái)下網(wǎng)絡(luò)數(shù)據(jù)包捕獲和網(wǎng)絡(luò)狀態(tài)分析的一種體系結(jié)構(gòu)，如圖2 4 為w i n p c a p 簡(jiǎn)單 的結(jié)構(gòu)圖。 區(qū)亟五 匭五正 區(qū)亟 u 。h 。 k e r n e ll e v e l 。一p 一。一一一。一一 p a c k e t s n e t w o r k 圖2 ，4w i n p c a d 結(jié)構(gòu)圖 w i n p c a p 的優(yōu)勢(shì)是提供了一套標(biāo)準(zhǔn)的捕包接口，并與l i b p c a p 兼容，可使得原來(lái) 許多u n i x 平臺(tái)下的網(wǎng)絡(luò)分析工具快速移植過(guò)來(lái)便于開(kāi)發(fā)各種網(wǎng)絡(luò)分析工具。 w i n p c a p 充分考慮了各種性能和效率的優(yōu)化，包括對(duì)于n p f 內(nèi)核層次上的過(guò)濾器的 支持，對(duì)內(nèi)核態(tài)統(tǒng)計(jì)模式的支持，w i n p c a p 還提供了發(fā)送數(shù)據(jù)包的能力。 咖c a p 具體功能如下【拭1 6 1 ： 1 捕獲原始數(shù)據(jù)包，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送接收以及相互之間交換的 數(shù)據(jù)包。 2 在數(shù)據(jù)包發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)包過(guò)濾掉。 3 在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)包。 4 收集網(wǎng)絡(luò)通信過(guò)程中的統(tǒng)計(jì)信息。 2 2 2win p c a p 的體系結(jié)構(gòu)分析 w i n p c a p 更詳細(xì)的體系結(jié)構(gòu)如圖2 5 所示【1 5 1 ，由該圖可以看出，w i i l p c 印采用的 是分層化的驅(qū)動(dòng)程序模型，包含有三個(gè)組件：( 1 ) 內(nèi)核級(jí)的數(shù)據(jù)包捕獲驅(qū)動(dòng)程序 ( n p s y s n p f v x d ) i ( 2 ) 低級(jí)動(dòng)態(tài)鏈接庫(kù)- ( p a c k c t d u ) ：( 3 ) 高級(jí)系統(tǒng)無(wú)f f 攛( w p c a p d n ) 。 華中科技大學(xué)碩士學(xué)位論文 圖2 5w i n p c a p 的體系結(jié)構(gòu) 1 數(shù)據(jù)包捕獲驅(qū)動(dòng)程序( n p f s y s n p f v x d ) ：數(shù)據(jù)包捕獲驅(qū)動(dòng)程序可把設(shè)備驅(qū)動(dòng) 添j j h 至1 w i n d o w s 9 5 、w i n d o w s 9 8 、w i n d o w s n t 、w i n d o w s 2 0 0 0 或者w i n d o w s x p 上， 它直接從數(shù)據(jù)鏈路層讀取網(wǎng)絡(luò)數(shù)據(jù)包并不加修改的傳遞給運(yùn)行在用戶(hù)層的應(yīng)用程 序，也允許用戶(hù)發(fā)送原始數(shù)據(jù)包。數(shù)據(jù)包捕獲驅(qū)動(dòng)程序還支持b p f 過(guò)濾機(jī)制，可以 靈活的設(shè)置過(guò)濾規(guī)則，并在不同的w i n d o w s 系統(tǒng)下以不同的文件形式存在，其中在 w i l l d o w s n l ，2 0 0 0 ) ( p 下是n p f s y s ，而在w i n d o w s 9 5 9 8 m e 下是n p f v x d 。 2 低級(jí)動(dòng)態(tài)鏈接庫(kù)( p a c k e t d 1 1 ) ：p a c k e t d l l 運(yùn)行在用戶(hù)層，它把應(yīng)用程序和數(shù) 據(jù)包的設(shè)備驅(qū)動(dòng)程序隔離開(kāi)來(lái)，使得應(yīng)用程序可以不加修改地在不同的w i n d o w s 系 統(tǒng)下運(yùn)行。通過(guò)p a c k e t d l l 提供的功能來(lái)直接訪(fǎng)f 司b p f 驅(qū)動(dòng)程序的包驅(qū)動(dòng)，利用“r a w 模式來(lái)發(fā)送和接收包。不同w i n d o w s 系統(tǒng)上的p a c k e t d l l 雖不相同，但它們提供了一 套相同的調(diào)用接口，即高級(jí)系統(tǒng)無(wú)關(guān)庫(kù)，它隱藏了用戶(hù)程序和操作系統(tǒng)交互的細(xì)節(jié) 并完成了下列幾個(gè)工作：( 1 ) 為用戶(hù)程序提供一套功能強(qiáng)大的抽象接口；( 2 ) 根 華中科技大學(xué)碩士學(xué)位論文 據(jù)用戶(hù)要求生成過(guò)濾指令；( 3 ) 管理用戶(hù)區(qū)；( 4 ) 負(fù)責(zé)用戶(hù)程序和內(nèi)核的交互。 3 高級(jí)系統(tǒng)無(wú)關(guān)庫(kù)( w p c a p d 1 1 ) ：w p e a p d l l 是上層的動(dòng)態(tài)鏈接庫(kù)，與操作系統(tǒng)無(wú) 關(guān)，和應(yīng)用程序編譯在一起，它含有諸如產(chǎn)生過(guò)濾器、用戶(hù)級(jí)緩沖以及包注入等高 級(jí)功能。它使用低級(jí)動(dòng)態(tài)鏈接庫(kù)提供的服務(wù)，向應(yīng)用程序提供完善的監(jiān)聽(tīng)接口。編 程人員既可以使用包含在p a c k c t d l l q b 的低級(jí)函數(shù)直接進(jìn)入內(nèi)核級(jí)調(diào)用，也可以使用 由w p c a p d l l 提供的高級(jí)函數(shù)調(diào)用，這樣功能更強(qiáng)，使用也更為方便。 2 2 3g i n p c a p 的包捕獲驅(qū)動(dòng)機(jī)制 w i n p c a p 的包捕獲原理來(lái)源于u n i x 下的帶有b p f ( b s dp a c k e tf i l t e r ) 的 t c p d u t n p 。 b p f 含有網(wǎng)路開(kāi)關(guān)和包過(guò)濾器兩個(gè)關(guān)鍵組件；網(wǎng)路開(kāi)關(guān)( n e t w o r kt a p ) 和包過(guò)濾 器( p a c k e tf i l t e r ) 。其中，網(wǎng)路開(kāi)關(guān)從網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)程序中搜集數(shù)據(jù)拷貝并轉(zhuǎn)發(fā)給過(guò) 濾器，包過(guò)濾器( p a c k e tf i l t e r ) 決定是否接收該數(shù)據(jù)包，以及接收該復(fù)制數(shù)據(jù)包的哪 些部分。b p f 結(jié)構(gòu)如圖2 6 所示。 b p f 采用有向無(wú)圈控制流圖c f g ( d i r e c t e da c y c l i cc o n t r o lf l o wg r a p h ) 模型坻1 ， c f g 模型解釋數(shù)據(jù)包的解釋狀態(tài)和路徑是可記憶的，不需要重復(fù)計(jì)算。過(guò)濾器由應(yīng) 用程序創(chuàng)建，通過(guò)i o c t l 調(diào)用傳遞給b p f 。緩存則由b p f 靜態(tài)創(chuàng)建，大小通常為4 k 。 圖2 6b p f 結(jié)構(gòu) 剛絡(luò)層 1 4 華中科技大學(xué)碩士學(xué)位論文 核心緩沖區(qū)分為s t o r eb u r e t 和h o l db u 衙兩部分，其c p s t o r eb u 銜用來(lái)接收網(wǎng)卡傳來(lái)的 數(shù)據(jù)，h o l d b u f c r m 來(lái)將包從核心緩沖區(qū)復(fù)制到用戶(hù)緩沖區(qū)。當(dāng)s t o r e b u f e r 為滿(mǎn)而h o l d b u 向?yàn)榭諘r(shí)，b p f 交換這兩個(gè)緩存，這樣的緩沖區(qū)設(shè)計(jì)使用戶(hù)程序不需與網(wǎng)卡驅(qū)動(dòng) 程序交互，當(dāng)用戶(hù)讀h o l db u f e r 時(shí)，網(wǎng)卡驅(qū)動(dòng)寫(xiě)的是s t o r eb u 向。用戶(hù)緩沖區(qū)用來(lái)存 儲(chǔ)從核心區(qū)發(fā)過(guò)來(lái)的包，并且由于在用戶(hù)級(jí)別上，它可以防止應(yīng)用程序直接訪(fǎng)問(wèn)由 核心管理的內(nèi)存。當(dāng)一個(gè)數(shù)據(jù)包到來(lái)時(shí)，鏈路層驅(qū)動(dòng)程序通常將其傳送給系統(tǒng)協(xié)議 堆棧進(jìn)行處理，但當(dāng)b p f 也在該網(wǎng)絡(luò)端口監(jiān)聽(tīng)時(shí)，驅(qū)動(dòng)程序?qū)⑹紫日{(diào)用b p f 的 n e t w o r k t a p 函數(shù)，該函數(shù)將數(shù)據(jù)包傳遞給每一個(gè)應(yīng)用程序的過(guò)濾器，用戶(hù)程序?qū)Q 定一個(gè)數(shù)據(jù)包是否被接收以及數(shù)據(jù)包中的哪些內(nèi)容應(yīng)該被保存起來(lái)。其中，當(dāng)過(guò)濾 器過(guò)濾數(shù)據(jù)包時(shí)，數(shù)據(jù)包仍在鏈路層的緩存中，并沒(méi)有拷貝它。當(dāng)s t o r eb u f e r 滿(mǎn) 而h o l d b u f e r 又不能發(fā)生效用時(shí)( h o l db u f e r 正在向外讀數(shù)據(jù)) ，數(shù)據(jù)包將被丟棄。 如果過(guò)濾程序在用戶(hù)層運(yùn)行，則所有數(shù)據(jù)包必須從核心層拷貝到應(yīng)用程序然 后再在用戶(hù)層過(guò)濾，這樣就浪費(fèi)了系統(tǒng)的c p u 時(shí)間與內(nèi)存。而b p f 的優(yōu)點(diǎn)是避免了這 種資源的浪費(fèi)。在多任務(wù)環(huán)境中，捕包應(yīng)用程序必須與其它程序共享處理時(shí)間，當(dāng) 某個(gè)包到來(lái)時(shí)，捕包程序沒(méi)有執(zhí)行，或可能這個(gè)應(yīng)用程序去執(zhí)行其它任務(wù)，此時(shí)如 果沒(méi)有核心層的緩存，就會(huì)造成丟包，b p f 的循環(huán)雙緩存就是為了避免丟包而設(shè) 計(jì)的。 2 2 4w i n p c a p 包捕獲機(jī)制分析 在w i n d o w sn t 下w i n p c a p 包捕獲驅(qū)動(dòng)和網(wǎng)卡設(shè)備驅(qū)動(dòng)的交互是通過(guò) n d i s m e t w o r kd e v i c ei n t e r f a c es p e c i f i c a t i o n ) 來(lái)實(shí)現(xiàn)的。n d i s 是m i c r o s o f t 和