数据包捕获原理.pdf

-- 青 岛 农 业 大 学 计算机网络综合实习 论 文 题 目 : ＵＤＰ包解析软件的设计与实现 专 业 班 级 : 计本 0803 姓名 ( 学号） : 周方盼 (2 ００８2845） 2011 年 11 月 16 日 -- -- UDP包解析软件的设计与实现 1 数据包捕获原理 ? 由于目前用的最多的网络形式是以太网， 在以太网上， 数据是以被称为帧的数据结构为单位进行交换的 , 而帧是用被称为带碰撞检测的载波侦听多址访问即 CSM Ａ／Ｃ D 的方式发送的， 在这种方法中， 发送到指 定地址的帧实际上是发送到所有计算机的 , 只是如果网卡检测到经过的数据不是发往自身的 ,简单忽略过去 而已［ 3 ］。正是这种基于 C ＳMA/C Ｄ 的广播机制，这就给连接在网络上的计算机捕获来自于其他主机的 数据带来了可能 ,即通过对网络接口的设置可以使网卡能够接收到所有经过该机器的数据，然后将这些数据 做相应处理并实时分析这些数据的内容 ,进而分析网络当前状态和整体布局。从广义的角度上看，一个数据 包捕获机制包含三个主要部分。首先是最底层针对特定操作系统的包捕获机制，然后是最高层针对用户程 序的接口，第三部分是数据包过滤机制。不同的操作系统实现的底层包捕获机制可能是不一样的 ,但从形式 上看大同小异。数据包常规的传输路径依次为网卡、设备驱动层、数据链路层、 I Ｐ 层、传输层、最后到 达应用程序。而数据包捕获机制是在数据链路层增加一个旁路处理 ,对发送和接收到的数据包做过滤缓冲等 相关处理，最后直接传递到应用程序［ 4 ］。值得注意的是，数据包捕获机制并不影响操作系统对数据包的 网络栈处理。对用户程序而言，数据包捕获机制提供了一个统一的接口 ,使用户程序只需要简单的调用若干 函数就能获得所期望的数据包。这样一来，针对特定操作系统的捕获机制对用户透明，使用户程序有比较 好的可移植性。数据包过滤机制是对所捕获到的数据包根据用户的要求进行筛选 ,最终只把满足过滤条件的 数据包传递给用户程序。 2 数据包捕获方法 ? 纵观国内外使用的包捕获机制的方法 ,大致可归纳为两类 :一类是由操作系统内核提供的捕获机制 ;另一 类是由应用软件或系统开发包通过安装包捕获驱动程序提供的捕获机制 ,该机制主要用于 Win32 平台下的 开发。 操作系统提供的捕获机制主要有四种 ［5］：BPF 、DLP Ｉ、NIT 和 S ｏc ｋ P ａcket 类型套接口。 BPF 由基于Ｂ SD 的 U ｎi ｘ 系统内核所实现。 DL ＰI 是 Si ｌaris 系统的内嵌子系统。 NI Ｔ 是 SｕnOS4 系 统的一部分 ,但在 Solar ｉs 系统中被Ｄ LP Ｉ 及 N ＩT 所取代。 L ｉnu ｘ 核心则实现了Ｓ o ｃk Ｐacket 的 包捕获机制。从性能上看 ,BP Ｆ 比 DLPI 及 N ＩT 好得多 ,而Ｓ oc ｋ Packet 最弱。 Wind ｏw ｓ操作系统没 有提供内置的包捕获机制。它只提供了数量很少并且功能有限的Ａ PI