Ethereal协议分析系统介绍 MSE安全攻防培训资料.pptVIP

Ethereal协议分析系统介绍 wangdayong@263.net 系统简介 Ethereal是一个开放源码的网络分析系统，也是是目前最好的开放源码的网络协议分析器，支持Linux和windows平台 Ethereal起初由Gerald Combs开发，随后由一个松散的Etheral团队组织进行维护开发 大量的志愿者为Ethereal添加新的协议解析器，如今Ethereal已经支持五百多种协议解析 Ethereal的捕包平台 网络分析系统首先依赖于一套捕捉网络数据包的函数库 这套函数库工作在在网络分析系统模块的最底层 作用是从网卡取得数据包或者根据过滤规则取出数据包的子集，再转交给上层分析模块 从协议上说，这套函数库将一个数据包从链路层接收，至少将其还原至传输层以上，以供上层分析 Linux 环境 在Linux系统中， 1992年Lawrence Berkeley Lab的Steven McCanne和Van Jacobson提出了包过滤器的一种的实现，BPF（BSD Packet Filter） Libpcap是一个基于BPF的开放源码的捕包函数库 现有的大部分Linux捕包系统都是基于这套函数库或者是在它基础上做一些针对性的改进 Windows环境 在window系统中，意大利人Fulvio Risso和Loris Degioanni提出并实现了Winpcap函数库，作者称之为NPF NPF的主要思想就是来源于BPF NPF的设计目标就是为windows系统提供一个功能强大的开发式数据包捕获平台，希望在Linux系统中的网络分析工具经过简单编译以后也可以移植到windows中，因此这两种捕包架构是非常现实的 Ethereal网络分析系统也需要一个底层的抓包平台，在Linux中是采用Libpcap函数库抓包，在windows系统中采用winpcap函数库抓包 层次化的数据包协议分析方法 取得捕包函数捕回的数据包后就需要进行协议分析和协议还原工作了 对于协议分析需要从下至上进行 首先对网络层的协议识别后进行组包还原然后脱去网络层协议头 将里面的数据交给传输层分析，这样一直进行下去直到应用层 层次化的数据包协议分析方法 Ethereal 协议树 Ethereal能够识别500多种协议 为了使协议和协议间层次关系明显，从而对数据流里的各个层次的协议能够逐层处理，Ethereal系统采用了协议树的方式 Ethereal中注册一个协议解析器 在Ethereal中注册一个协议解析器首先要指出它的父协议是什么 指出自己区别于父节点下的兄弟接点协议的特征 实例 ftp协议 在Ethereal中他的父接点是tcp协议，它的特征就是tcp协议的port字段为21 当一个端口为21的tcp数据流来到时。首先由tcp协议注册的解析模块处理，之后通过查找协议树找到自己协议下面的子协议，判断应该由哪个子协议来执行，找到正确的子协议后，就转交给ftp注册的解析模块处理。这样由根节点开始一层层解析下去 优点 由于采用了协议树加特征字的设计，这个系统在协议解析上由了很强的扩展性，增加一个协议解析器只需要将解析函数挂到协议树的相应节点上即可 基于插件技术的协议分析器 所谓插件技术，就是在程序的设计开发过程中，把整个应用程序分成宿主程序和插件两个部分，宿主程序与插件能够相互通信，并且，在宿主程序不变的情况下，可以通过增减插件或修改插件来调整应用程序的功能 插件技术优点 运用插件技术可以开发出伸缩性良好、便于维护的应用程序。它著名的应用实例有：媒体播放器winamp、微软的网络浏览器ie等 一般的协议分析器都采用插件技术 可以随时增加新的协议分析器 Ethereal仍有可改进之处 在协议识别方面Ethereal大多采用端口识别，有少量协议采用内容识别。这就让一些非标准端口的协议数据没有正确解析出来 实例：ftp协议如果不是在21端口工作的话，Ethereal就无法识别出来，只能作为tcp数据处理 Ethereal仍有可改进之处 Ethereal没有实现tcp协议栈，无法做到流级别的识别。导致在协议识别方面有点缺陷 实例：对于识别yahoo massanger协议。主要是看数据前几个字节是不是’ymsg’.由于协议名为y开头。所以当识别出协议时已经把所有内容识别函数调用了一遍 * * ? ? Ip? ? | \? Tcp udp? | ? \HTTP ? TFTP ? ? Ip? ? | \? Tcp udp? | ? \HTTP ? TFTP * * *