基于Windows系统的网络数据包捕获技术浅析.pdfVIP

怔 ／ 月 I■ ChinascienceandTechnologyReview 基于Windows系统的网络数据包捕获技术浅析 黄 鹤 (同济大学软件学院 上海 201804) [摘要]网络数据包捕获技术主要实现了对网络上的数据包进行捕获及分析，是网络安全维护的基础技术和核心手段。它是利用计算机技术截获网络上的数 据包，并对截获到数据包进行分析。本文在了解wjI1Pcap基本原理和组成的基础上阐述了利用winPcap技术在Windows]=捕获数据包的方法。 [关键词]网络数据包 ；捕获；过滤；Windows；WinPcap 中图分类号：TP393．08 文献标识码 ：A 文章编号：l009—914x(2Ol5)05—0330一Ol 1引言 动调用。这些wrapper函数使得MAC驱动和协议驱动的开发变得更加容易。 目前，网络上的数据流量与日俱增，随之而来的网络安全问题也 日渐凸显。 32BPF过滤机制 无论是实现防火墙，NAT还是VPN，首先就是获得网络数据包，在此基础上才 WinPcap是BPF模型和Libpcap函数在Windows平台下网络数据包捕获 能进行下一步的工作。因此研究数据包捕获及分析技术具有极其重要的意义。 和网络状态分析的一种系统结构，这个体系结构是由一个核心的包过滤驱动程 多数的操作系统都为应用程序提供访问数据链路层的功能，通过此功能截获网 序NPF，一个底层的动态链接库和一个高层的独立于系统动态连接库组成 。 络数据包。如果将网络接 口设置混杂模式，则应用程序可以截获局域网上流通 WinPcap~供的最强大的特性之一就是过滤引擎NPF，也是最基本的功能单 的所有分组数据包。通过对截获到数据进行分析 ，可以有针对性地拦截某些恶 元，它被集成到了WinPacpN获机制中。提供 了一种非常高效的方法来获取部 意的攻击。本文全文分析了在Windows系统下捕获数据包的原理和捕获数据 分网络数据 。对于WinPacp的研究就是要从过滤NPF开始 ，而NPF是在BPF的 包的方法。 基础上开发出来的，NPF中保 留了BPF核~,BSD的最重要的模块。 2现有的网络数据包捕获技术 33WinPcap的内部结构 21网络数据包捕获技术分类 WinPcap包括一个核心态的包过滤器 ，一个底层的动态链接库(packet． 捕获 网络中的数据包根据 目的不同可采用第二层的捕获、第三层的捕获 cm)和一个高层的不依赖于系统的库(WlX~p．(u1)。 和第七层的捕获技术 ：第二层的捕获是在数据链路层直接进行包的捕获 ，它能 首先，WinPacpG,,须绕过操作系统的协议栈来访问在网络上传输的原始数 够获得包括数据链路帧头在内的完整数据包；第三层捕获只捕获网络层以上的 据包(rawpacket)，这就要求一部分运行在操作系统核心内部 ，直接与网络接 数据包内容，不捕获数据链路层的内容，第七层捕获则根据需要只捕获关心的 口驱动交互。 某种应用数据，即在应用层而不是底层捕获数据包信息。 其次，WinPacp,．g,须有用户级的程序接口，通过这些接口，用户程序可以利 2．2各种网络数据包捕获技术 用内核驱动提供的高级特性 。Winpcap提供 了两个不同的库：packet．dll和 目前基于Windows系统数据包捕获数据包技术主要有以下几种方法：