捕获网络数据包技术浅述.docVIP

捕获网络数据包技术浅述 　　[摘要]：计算机网络在传输数据时，为了保证所有共享网络资源的计算机都能公平、迅速地使用网络，通常把数据分割成若千小块作为传输单位进行发送，这样的传输单位我们通常称之为包，也叫“数据包”. 从网络捕获数据包是所有网络安全产品实现中非常重要的一环，它是安全产品其它功能的基础。本文在此进行网络数据捕获的原理和技术的探讨。 　　[关键词]：捕获；网络；数据包； 　　在码流中一个表示一个特定的叠块、层次、分量、分辨率和围地的连续的数据字段称为数据包。数据包数据以8比特字节对齐 　　数据包数据首先由一个包头引导，码头后面是数据包体，它包含了每一个相关编码子块的编码字节在构造包头和包体时必须遵循上述数据排放次序。 　　1数据包格式 　　在TCP/IP互联网上传输的一个分组叫IP数据包(Datagram )，每个数据包包含一个头部和位于其后的数据。在数据包头部的源和目的地址都采用IP地址。 　　位于数据包传输路径上的每一个路由器从数据包首部提取目的地址，由目的地址在路由器的路由表中查找发往目的地的下一跳地址，然后路由器将数据包传递给下一跳，直至到达目的地。 　　路由表有3个基本字段:目的网络地址字段，目的网络地址的地址掩码字段和到达目的网络的下一跳字段。在数据包头部的目的地址总是数据包的最终目的地址。目的地址与其对应的掩码“按位与”操作，得出目的地址主机所在网络的网络地址。然后，根据这个网络地址，决定下一跳地址，通过一个特定的连接，将数据发给下一跳。 　　IP数据包首部(头)格式包含以下内容: 　　(1)版本号(Vers )，包含了生成该数据包的IP协议的版本信息，它用来证实发送方，接收方和它们之间的所有路由器都同意的数据包格式。 　　(2)首部长度(Header Length)字段，给出了以32位字长为单位的首部长度。 　　(3)服务(Service Type)字段，包含5个子字段，3个比特的优先级干字段指明本数据包的优先级，允许发送方表示本数据包的重要程度。优先级的值从0(普通优先级)到7(网络控制)，D. T和R位表示本数据包所希望的运输类型，这些位的值为1时，D代表低延时，T要求高吞吐量，R要求高可靠性。 　　(4)总长度(Total Length)字段，给出了以8位组为单位的IP数据包长度。 　　(5)寿命(Time to Live)字段，设置了该数据包在互联网中允许存在的时间(秒)或允许经过的路由器的数目。它是一个介于1-255之间的整数。 　　(6)首部校验和(Header Checksum)字段，用于保证首部数据的完整性。IP校验和的计算是把首部看成一个16位的整数序列，对每个整数分别计算其二进制反码，然后相加，再对结果计算一次二进制反码而求得。为了计算校验和，假定首部校验和字段为0。 　　(7)源站地址(Source IP Address)和目的站地址(Desination IP Address)字段，包含了数据包的(原始)发送方和(最终)接收方的32位IP地址。 　　2捕获网络数据包的方法 　　目前有两种方法可以从网络中捕获数据包，一种是采用专用硬件，如网络监视器等，另一种是利用普通计算机与网络连接的通用硬件一网络适配器，即网卡，由软件来完成数据包的捕获。下面我们分别加以阐述： 　　2.1网络监视器 　　网络监视器关注网络活动，用户若想了解网络组件的行为和通信量，则要安装、使用网络监视器。 　　网络管理员使用网络监视器查看检测局域网(LAN)的问题.例如，在两台或更多计算机不能通信时，网络管理员使用网络监视器诊断硬件和软件问题，也可以将网络活动的记录复制到文件中.然后将文件发送给专AV.网络分析员或有关组织。在开发网络应用程序时，网络应用程序开发员可使用网络监视器以监视、调试网络应用程序。 　　为阻止网络上未授权的网络监视器的安装使用，网络监视器能检测到在网络局部运行的其他网络监视器的安装。通过系统管理服务器的网络监视器或系统肺视器的网络段对象.网络监视器可检测到远程使用的网络监视器驱动器的所有程序，这些程序被用于浦获网上数据。 　　当网络监视器检测到运行在网上的网络监视器的其他安装时，它会显示下列信息: 　　.计算机名称 　　.登录此计算机的用户名称 　　.远程计算机上的网络监视器状态(运行、捕获、传输) 　　.远程计算机的适配器地址 　　.远程计算机上的例络监视器版本号 　　在一些情况下，网络结构会阻止网络监视器的一个安装来检侧另一个安装。例如，若一安装与用户安装被路由器隔开，而此路由器不能向用户转送组播.则用户安装不能检测到另一个安装. 　　网络监视器应用网络驱动器接口说明(NDIS)的特性，复制它所检测的所有帧到它的捕获缓冲区