基于以太网的协议分析方法探讨.pdfVIP

3协议分析算法描述及实现 2000DDK中的Packet 本文采用WinCap实现数据包的捕获，在算法的程序实现时采用的是Windows 驱动来捕获数据包。另外，网络接口卡的驱动程序会负责计算校验，并取走帧中的前同步码和校验和字段， 因此本文所提到的数据包是指帧头和载荷部分。 协议分析算法的主要步骤如下： 满，则丢弃该包，等待接收下一个数据包；若缓冲区未满，则直接写入Cap_Buffer尾部，尾指针后移一位 uJ。如图2所示。 图2循环缓冲区Cap_Buffer 冲区的头部读取一个数据包，存入变量CurrentFrame中，并将该数据包从该缓冲区中删除，头指针后移一 位。操作过程如图3所示Ⅲ。 图3操作过程 存入变量TempDesMAC：后六字节的源MAC地址存入变量TempSourceMAC中。 TypeOrDataLength0x05DC，转(5)。 (5)检查CurrentFrame的LLC字段，从第14字节开始，每字段所占字节数如图4所示。 DS口SS肌 图4局域网LLC帧格式 (6)检查LLC的控制字段，若LLC控制字段不等于0x03，则转(15)；否则转(7)。 ’ 基王丝盔囹鲍垃丛坌堑直鎏堡过 !≥垒2 (8)检查紧跟着控制字段的后面的三个字节，此三字节即为OUI字段。若OUI字段的值等于 则进行协议格式分析，转(20)。 (10)对后面的字段用印协议格式进行分析，检查数据包中邛协议格式中的“协议”字段，按表l进行 协议分析。转(20)。 表1协议一览表 I ICMP 1l NVP．II 2l PRM 2 IGM[P 12 PUP 22 XNS一Ⅱ)P 3 GGP 13 ARGUS23 TRUNK．1 4 IP 24 14 EMCON TRUNK．2 5 ST 15 XNET 6 TCP 16 CHAOS95 MICP 7 UCL 17 UDP 96 SCC．SP 8 BGP 18 MUX 97 ETHERIP 9 IGP 19 DCN．MEAS98 ENCAP 10 BBN．RCC．MON20 HMP 100 GMTP (11)数据包错误，清空CurrentFrame(即丢弃该数据包)，做相应的记录并转(20)。 (12)下层协议类型为未知类型，做相应记录，转(20)。 (15)下层协议类型未知；做相应记录并转(20)。 (16)根据DSAP和SSAP的值，按表2进行协议分析。转(20)。 (17)下层协议为802．1HBridgeTunneling：按802．1HBridge Tunneling协议的封装格式对数据包进行分 析，转(20)。 (18)检查下两字节是否为0xS(】9B，若黾则为Apple附k；否则为未知类型。转(20)o (19)未知协议类型；做相应记录，转(20)。 入已分析数据包缓冲区，以便做其他处理；从读分析线程中读取Cap_Buffer缓冲区，若为空，则等待；否 转(3)。