IP数据包的捕获与解析.pdfVIP

数据通信与计算机网络实践课论文 IP 数据包的捕获与解析 浅浅 摘 要： 数据包捕获技术在网络安全领域中应用十分广泛，网络入侵检测系统、协议分析软件、 防火墙等都需要捕获数据包。本文介绍了 Jpcap的基本结构，并讨论了基于 Jpcap的数据包捕 获与发送的基本方法。 关键词： IP数据包；捕获；解析 1、引言 计算机之间进行通信时，交互的所有信息都封装在数据包中。因此，通过采集网络数据并对 其进行相应的分析，可以清楚地了解到进行通信的计算机的通信目的。分析采集到的数据包，可 以确定网络是否受到攻击入侵；其次，也可以使用采集到的数据包来分析网络应用程序可能出现 的问题的原因；此外，通过网络数据采集和统 计可以清楚的了解整个网络在各个时段内的网络 负载情况，从而判断网络使用得是否合理。除了以上谈到的几个方面以外，数据包采集分析还有 其他很多用途.在研究 IPv4 网络的同时，我们还对 IPv6 协议进行了初步的研究并通过对数据报 的分析，了解了在不同网络环境下 IPv6 数据报的封装格式以及在网络中的传输路径。目前，在 同一子网范围内，可以通过邻居计算机发现协议自动配置主机的本地一链路 IPv6 地址，并获取 子网内其他主机的通信地址，通过该地址可以实现子 网内的主机间纯IPv6 环境下的通信。但由 于现在整个因特网并不支持 IM 协议，因此 IPv6 数据报要在网间传输，必须通过基于双协议栈 的 IPv4 隧道(Tunnel)技术，将 EM 数据报封装在 IPv4 包头中，并通过指定的支持 IM 协议的路 由在Internet 中传送到目的地，再由目的主机进行数据报解析。获取IPv6 数据报中的信息。 在数据采集系统中的关键问题在于，如何解决所捕获的网络数据包的采集保存问题。在网络 中，数据流t 随时间变化而变化.因此无法准确估计固定时间内的数据流t 。为每一个数据包分配 一个节点，将数据包中关键信息存放在节点中，并在采集结束时通过多线程进行数据存盘，为每 一台主机的数据链表分配一个线程，这样能 使各链表存盘相互独立，一根链表在存盘时产生错 误，不会影响到其它的链表存储。最小程度的减少了存盘错误引起的数据损失。且在数据采集结 束后存盘能最大限 度的捕获到网络中的数据包，使应用程序达到最佳性能。 2、网络数据包的格式 以太帧由一个包含三个字段的帧头开始，前两个字段包含了物理地址，各六个字节，头部的 第三个字段包含了 16 位的以太帧类型，帧头后面是数据区。根据帧类型可以判断是哪种数据包， 一般常用的有 0X0080(IP 数据包) 、 0X0806(ARP 请求／应答)和 0X8035(RARP 请求／应答)三种 类型。 TCP ／IP 协议簇中位于网络层的协议，也是最为核心的协议。所有的 TCP ， UDP ， ICMP 及 IGMP 数据都以 IP 数据报格式传输。IP 协议提供了无连接的、不可靠的数据传输服务。同时 数据通信与计算机网络实践课论文 IP 协议的一个重要功能是为网络上的包传递提供路由支持。TCP ／IP 协议使用 IP 数据报这个名 字来指代一个互联网数据包。IP 数据报由两部分组成，前面的头部和后面的数据区，头部含有 描述该数据报的信息，包括源 IP 地址和目的 IP 地址等。 在 IP 数据报的报头中的众多信息可根据协议类型字段区分出该数据包的类型，常用的有 TCP 包、 UDP 包、 ICMP 包等[1]。 3 、数据包的捕获机制 网络数据包截获机制一般指通过截获整个网络的所有信息流，根据信息源主机，目标主机， 服务协议端口等信息，简单过滤掉不关心的数据，再将用户感兴趣的数据发送给更高层的应用程 序进行分析[2]。 一般数据包的传输路径依次为网卡、设备驱动层、数据链路层、 IP 层、传输层、最后到达 应用程序。IP 数据包的捕获就是将经过数据链路层的以太网帧拷贝出一个备份，传送给 IP 数据 包捕获程序进行相关的处理。 IP 数据包的捕获