SIP通信数据包捕获与研究.docVIP

SIP通信数据包捕获与研究 　　【摘要】 随着经济与科技的不断进步与迅猛发展，网络应用越来越广泛，随之而来的安全问题不断涌现，数据包捕获是网络安全的重要措施，文章讲述了数据包捕获的机制与特点，对SIP协议及其结构特点做了简要的概述，并对SIP通信的数据包捕获技术做了一系列研究，设计了数据包的捕获及其还原步骤。 　　【关键字】 数据包 捕获SIP 安全 　　一、数据包捕获 　　1.1数据包捕获的机制 　　数据包捕获就是对数据包的完整收集，系统搜集某一网络设备所接收的数据包，不论此数据包发送至哪个端口或地址。收集数据包以后，再进行还原以及审计等处理，发送到上一层进而对其实行应用处理。可以通过专用的数据采集卡对网络实行相应采集，也可根据以太网卡的混杂模式通过其广播特性或者交换机监测口对数据报文进行监听。 　　数据包的捕获通常有3个阶段：首先，设置网卡为“混杂”的工作模式；其次，捕获链路层的数据帧；最后，提取数据包的首部，便于分析和处理。 　　1.2数据包捕获的意义 　　网络不仅仅为人们带来越来越多的方便与快捷，也给人们带来诸如网络病毒、机密泄漏、黑客入侵等安全问题，信息安全成为我们关注的一大焦点。数据包捕获是信息保护的一种重要方法，因此对其技术的研究有着重要意义。 　　1.3特点 　　数据包捕获是关乎网络与财产安全的一项重要措施，该技术有较高的要求，因此有以下特点：1. 响应快。对于许多安全应用，在数据报文上需要很快的响应速度，以便于迅速捕获以及即时反应，同时不允许误判或丢包。2. 适应能力强。数据包捕获针对流经此网络的所有数据报文，其类型和源目的地址都不统一，即数据包的种类繁多且来源复杂，因此该技术对各种数据包应有较强的适应能力。3. 直接由上层处理。数据包的处理能够不经操作系统协议栈，直接通过上一层的应用实行处理。4. 不需严格校验。大部分数据报的处理是通过应用程序操作的，在该应用中能够实行部分校验；数据报在某些网卡中的硬件芯片上进行了固化的校验，因此在捕获过程中可以略去一些严格校验。 　　二、SIP通信 　　2.1 SIP协议所支持的功能 　　SIP作为信令协议，可提供多媒体通信的5项功能。 　　2.2 SIP网络系统 　　SIP协议的网络系统结构包括用户代理（UA）和网络服务器（NS）。应用代理是SIP的终端，用于和用户之间的交互，可发送呼叫请求和响应呼叫请求。 　　网络服务器主要解析地址以及定位用户，分为3种：代理服务器，用于路由选择，将用户请求及响应发送至下一跳；重定向服务器，用于地址解析，类似于DNS，把目的地址映射成为0个或者多个新地址；注册服务器，接收来自终端的注册请求，并记录其地址。因此，基于SIP协议，有直接呼叫、代理服务以及重定向服务等3种通信方式。 　　2.3 SIP协议的特点 　　SIP协议参照了其它的Internet标准，有其简练、兼容以及可扩展的作风。SIP协议是基于文本，其词法、语法都较为简单；SIP在会话请求时，同时实行媒体协商，因此建立呼叫所需时间大大缩短；SIP只要对头域做简单地扩展便可进行补充、智能等业务；SIP协议能够分布式多播。 　　三、SIP通信数据包捕获 　　数据包的捕获系统包含硬件与软件，硬件主要是对数据包进行捕获以及过滤，软件主要对数据包进行分析与处理。因此捕获系统需满足实时、灵活、扩展方便和数据包无遗漏等性能。 　　3.1 SIP通信捕获思想 　　SIP通信捕获包含通信消息及其媒体数据2个部分的捕获。通信消息的捕获能够获得呼叫方和被呼叫方的通信状态――通信步骤与通信状态，通信媒体参数的信息；依据通信的状态判断获取数据的开始或停止，依据参数信息筛选及还原双方数据。 　　1. 捕获流程 　　一个完整SIP通信应包含的消息有INVITE，180Ringing，200OK，ACK，BYE，200OK等，双方的媒体参数信息能够在INVITE及其响应的200OK获得，由此可设计以下捕获流程：INVITE消息获取，从SDP的o字段获取源IP地址，并将该SDP部分的媒体参数作为邀请端（A）的媒体信息；从INVITE的起始行获得被邀请端（B）的IP地址。等待180Ringing，若B至A的180Ringing消息得以捕获，系统会将该信息显现出。等待200OK响应消息的捕获，若判断为B到A的INVITE响应，将该SDP的通信媒体信息获取并作为B的媒体信息。等待A至B的ACK消息的捕获。ACK不经过代理、重定向服务器，而是直接通过双方接收、发送，因此能够通过ACK的源地址和目的地址判断会话双方是即将通信双方与否。根据ACK确定双方IP地址，捕获双向数据，同时筛选、还原双方通信媒体信息。BYE消息捕获，一方发送至另一方时便停止捕获。200OK响应消息捕