基于pcap实现互联网文件传输的监视与控制.pdf

基于pcap 实现互联网文件传输的监视与控制 周建龙 北京邮电大学信息工程学院，北京 (100086) E-mail ：jalunjoes@ 摘 要：本文介绍了一个工作在LINUX 服务器上的文件传输控制系统。本系统能够识别出 目前常见网络应用软件的文件传输报文，并能根据用户预先定义的规则，判断文件传输是否 合法，阻断非法文件传输，同时通知用户，实现文件传输的监视与控制。 关键词：pcap ，文件传输监控，tcp 连接阻断 中图分类号：TP393 1. 引言 近年来文件传输已经成为互联网最流行的应用之一，而且涌现出了形形色色的文件传输 应用软件。因此许多病毒便以此为媒介在互联网上广泛传播肆虐，使用户防不胜防；另外对 于大部分企业以及政府机关，都开始大力关注并试图解决内部机密文件资料通过网络外泄的 情况，因此对于网络上的文件传输监控刻不容缓。 本文根据对捕获的局域网数据报文进行常见的网络文件传输应用协议分析，对于属于文 件传输的 TCP 连接进行识别并监视，并可以及时的根据用户定义的非法文件名称与非法文 件内容关键字对传输内容进行扫描，如果传输文件名称或内容非法，则直接阻断该条 TCP 连接，阻止文件传输，实现文件传输的监控。 2. 系统实现总体框架 本系统运行在服务器LINUX 系统上，完全采用c 语言开发。 整个系统实现采用插件设计思想。每个插件为一个独立模块，负责处理一项网络业务。 每个插件对外提供三个接口函数，供主线程和轮询线程调用，所有插件的接口函数声明统一。 这样可以使系统具有很好的扩展性。 系统进程包括主线程和轮询线程。 主线程负责实时调度各个插件的运行，通过调用各个插件的接口函数来完成对数据报文 的业务识别以及连接阻断等任务。 轮询线程定时将各插件产生的非法文件传输阻断日志上报，供网络管理员查看。 - 1 - 报文驱动 报头处理 定时 业务识别 Identify() Init() Report() 驱动 插件1 插件1 插件1 上报 阻断 文件传输 Identify() Init() Report() 内容 阻断 插件n 插件n 插件n 主线程 轮询线程 图1 系统框架图 Fig1 system framework 3 ．系统实现技术说明 3.1 系统线程工作流程说明 系统通过pcap 机制获取网络上的数据报文。 主线程首先对数据报文首部进行解析，识别出上行报文的 ip 地址、mac 地址、端口、 sequence number、acknowledgement number[1] 等信息，以便可以定位非法文件数据传输的来 源；同时判断连接是否为TCP 连接，以便通过采取重置TCP 连接的方法阻断文件传输。 然后主线程开始调用各个插件提供的identify()接口函