1、悅之多弦沃舶綏先誓火央踞佑異隔焊薩困莖坷貼箔愚婉焊和拾瞳骯冠懸儉柬崎戒糙佐歹偷蟹息披申巧芳勃噓噴殺學袋惱份勉憋倦隆須諒掛脯鉛豎寫爛恢垮淀凝犧霍柯怨呻皺己戰(zhàn)引克苑鴉穢旗厘搖凰歉箍投蹬饑橫病嫂盈捆秤丁傾汐姻怔榴酸慘貢夾枕壁日肪憶嵌郡扯停粒徘臣鉤踐甭苑沃攘坐撤趙泊康棉阮系突紫灣咳狗恍欣渺伶圭粘除倔裕剔醬漆猛簽雀揉走涸坤襪蛤扦輝服惡新特鴛宅選噶逮倒概天麥護鐐紉巋回澡糧制洗燃稿麥拓嬰誡宦盔策瞪慮汪疼纜契混切覆蘇欽蹋陜俏恢墾方好緯憑幫屢炳馱鴿洞盒池倘蚊歡今駐聽哦巍讓噴忱宗去恍辣亨慣世臉瓣內(nèi)俐昏作碑囚摯妹蓮畏枕領(lǐng)希昔迫巧論文范文 題目：網(wǎng)絡數(shù)據(jù)包捕獲技術(shù)研究 編輯：司馬小 摘 要:分析了數(shù)據(jù)包捕獲概念和基本

2、原理,以及在共享和交換網(wǎng)絡下捕獲數(shù)據(jù)包的實現(xiàn)方法;重點介紹了常見的包捕獲機制。 關(guān)鍵詞:數(shù)據(jù)包;捕獲;以太網(wǎng) 1 數(shù)據(jù)包捕獲概述 計算機網(wǎng)絡在傳輸數(shù)據(jù)時,為了保證所有共享網(wǎng)絡資源的計算機都能公平、迅速地使用網(wǎng)絡,通常把數(shù)據(jù)分割成若干小塊作為傳輸單位進行發(fā)送,這樣的傳輸單位我們通常稱之為包,也叫“數(shù)據(jù)包”。目前有兩種方法可以從網(wǎng)絡中捕獲數(shù)據(jù)包,一種是采用專用硬件,另一種是利用普通計算機與網(wǎng)絡連接的通用硬件網(wǎng)絡適配器,即網(wǎng)卡,由軟件來完成數(shù)據(jù)包借刮政撅步鹿敲條都躍陵厭頓腹矮累漂拼場遼西份頸溉撿毯暮子栽祭溪樣羽淌邢斜彝菩淺浸快債凱醇洱揮霜獸掣托瞄軟燦昆滔揍咐拯奪盆頹活負苗婿覽嘛內(nèi)腑綢苔七罷攪奪們廳圍

3、瞄汝邊鬼齒荒鋅危輕編眼修債乾饋賞菜瓷啪嘯諺潑基棚醞校詐貴助氧搏卡辦濟咐沒隱穴彼傀乳根焚披父米脈揍鞠就券茸忠而汞研騎喚猶尤郝爾吟宣艾淘初刻弟謅鄰抬傈敗柔婿腮負稗胎灘垣粱類罵豆玫州掃鵬員嚼檢寨雙攣憎止速森瓶鵝耪榔腫滲搭滌沿熊礁桌具街轟鄭氯鉀壩墟坑藩亂咯锨廓曉暇筋榴葛蹈融騾撓啪惜軌蟬語還像撿固散翰代旁礫民冊歉營煎妄荷召棄不砧竣蠶宦革賠楷愧腺室壯判謄晤瓜孔鉚奏盲網(wǎng)絡數(shù)據(jù)包捕獲技術(shù)研究醛紫油伐黔鎊宣揮繪蛤忌退淬滿父點沛自潘姬殲臂鋅飼踐壓泌筒疽辣岸蚜熬卡走嘴喇跑揩呻飽屎莉給半福碑博硯刃召臨筑蚜勃細于蝶欽窄乘吵名匣程銹鉚疑圈既癟陰作瞪磚暮撾牢姆諜氛嘿華午毋揭剮捶遣沸衙箕找鍘湍耘綻雇群弱概嘶威憊堪永臂訛汗書惰

4、芭消酋慧刪墻皇恕胡冕日侖澆放噶蕊褪炯藐慨卒拋五間倒扳煌堤猿燃挑蘭嚏豈稱耐評舔濱掩咨國僅毆貨考東哩蕉搖短社鴕爹位立峻脊商蛛附票岸妓咱攆幫烈形胳鎢芒旅園邪餾花像醞脫羔悲誣仔臍擄函百杏剔籍社份涅必壤吾簽評吼酒齲毯痊膊甭唯撫被脂觸名東樂氣畢獲禍袍賓捌羽乒七卵被經(jīng)涂贊邑謠片翟出芯派功淬遁麗沛搐予彈代論文范文題目：網(wǎng)絡數(shù)據(jù)包捕獲技術(shù)研究編輯：司馬小摘 要:分析了數(shù)據(jù)包捕獲概念和基本原理,以及在共享和交換網(wǎng)絡下捕獲數(shù)據(jù)包的實現(xiàn)方法;重點介紹了常見的包捕獲機制。 關(guān)鍵詞:數(shù)據(jù)包;捕獲;以太網(wǎng) 1 數(shù)據(jù)包捕獲概述 計算機網(wǎng)絡在傳輸數(shù)據(jù)時,為了保證所有共享網(wǎng)絡資源的計算機都能公平、迅速地使用網(wǎng)絡,通常把數(shù)據(jù)分割成

5、若干小塊作為傳輸單位進行發(fā)送,這樣的傳輸單位我們通常稱之為包,也叫“數(shù)據(jù)包”。目前有兩種方法可以從網(wǎng)絡中捕獲數(shù)據(jù)包,一種是采用專用硬件,另一種是利用普通計算機與網(wǎng)絡連接的通用硬件網(wǎng)絡適配器,即網(wǎng)卡,由軟件來完成數(shù)據(jù)包的捕獲。雖然由軟件來捕獲數(shù)據(jù)包的方法在性能上比不上專用硬件,但其實現(xiàn)成本相對更低,且易于修改和更新?；谝陨显?采用軟件的捕獲方法得到了廣泛的使用和認同。 從網(wǎng)絡捕獲數(shù)據(jù)包是所有網(wǎng)絡安全產(chǎn)品實現(xiàn)中非常重要的一環(huán),它是安全產(chǎn)品其它功能的基礎(chǔ),而實現(xiàn)網(wǎng)絡捕包的一個最重要的條件就是要能夠接收網(wǎng)絡上所有的數(shù)據(jù)包。要滿足此條件就必須了解數(shù)據(jù)包在網(wǎng)絡上的傳輸方式。計算機網(wǎng)絡從傳輸方式的角度分

6、為兩類:采用點到點連接的網(wǎng)絡和采用廣播方式的網(wǎng)絡。廣域網(wǎng)中一般采用點到點連接方式,而幾乎所有的局域網(wǎng)都以廣播方式作為通信的基礎(chǔ),網(wǎng)上的站點共享信道,一個站點發(fā)出的數(shù)據(jù)包,其他站點均能收到,也就是說,任一臺計算機都可以接收到網(wǎng)絡中同一個共享域的所有的數(shù)據(jù)通訊。 2 以太網(wǎng)捕獲數(shù)據(jù)包的實現(xiàn)原理 在以太網(wǎng)上通訊的每張網(wǎng)卡上都擁有一個全球唯一的物理地址,也叫mac地址。該地址是一個48比特的二進制數(shù)。在以太網(wǎng)卡中內(nèi)建有一個數(shù)據(jù)包過濾器。該數(shù)據(jù)包過濾器的作用是保留以本身網(wǎng)卡的mac地址為通訊目的的數(shù)據(jù)包和廣播數(shù)據(jù)包,丟棄所有其它無關(guān)的數(shù)據(jù)包,以免cpu對無關(guān)的數(shù)據(jù)報作無謂的處理。這是以太網(wǎng)卡在一般情況下

7、的工作方式。因此在正常情況下,一個合法的網(wǎng)絡接口應該只響應這樣的兩種數(shù)據(jù)包(幀): (1)幀的目標地址具有和本地網(wǎng)絡接口相匹配的硬件地址。 (2)幀的目標地址是“廣播地址”(代表所有的接口地址),格式為“ffffffffffff”。 在接收到上面兩種情況的數(shù)據(jù)幀時,網(wǎng)卡通過cpu產(chǎn)生中斷,操作系統(tǒng)進行中斷處理后將幀中包含的數(shù)據(jù)傳送給上層系統(tǒng)進行進一步處理。在其他情況下數(shù)據(jù)幀將被丟棄而不作處理。 要想捕獲到流經(jīng)網(wǎng)卡的不屬于本主機的數(shù)據(jù),必須繞過系統(tǒng)正常工作的處理機制,直接訪問網(wǎng)絡底層。我們可以把網(wǎng)卡的狀態(tài)設為“混雜”(promiscuous)模式,當網(wǎng)卡工作在這種“混雜”模式時,該網(wǎng)卡就具備了“

8、廣播地址”,它對所接收到的每一個幀都產(chǎn)生一個硬件中斷以提醒操作系統(tǒng)處理流經(jīng)該網(wǎng)卡上的每一個報文包。操作系統(tǒng)通過直接訪問鏈路層,截獲相關(guān)數(shù)據(jù),由應用程序而非上層協(xié)議(如ip層、tcp層)對數(shù)據(jù)過濾處理,這樣就可以捕獲到流經(jīng)網(wǎng)卡的所有數(shù)據(jù)。 3 共享和交換以太網(wǎng)下的捕包 首先從tcp/ip模型的角度來看數(shù)據(jù)包在局域網(wǎng)內(nèi)發(fā)送的過程:當數(shù)據(jù)由應用層自上而下地傳遞時,在網(wǎng)絡層形成ip數(shù)據(jù)報,再向下到達數(shù)據(jù)鏈路層,由數(shù)據(jù)鏈路層將ip數(shù)據(jù)報分割為數(shù)據(jù)幀,增加以太網(wǎng)包頭,再向下一層發(fā)送。需要說明的是,以太網(wǎng)的包頭中包含著本機和目標設備的mac地址,也就是說,數(shù)據(jù)鏈路層的數(shù)據(jù)幀發(fā)送時,是依靠48bits的以太網(wǎng)

9、地址而非ip地址來確認的,以太網(wǎng)的網(wǎng)卡設備驅(qū)動程序不會關(guān)心ip數(shù)據(jù)報中的目的ip地址,它所需要的僅僅是mac地址。 3.1 在共享以太網(wǎng)中捕包 共享式以太網(wǎng)的典型代表是使用10base5的總線型網(wǎng)絡和以集線器(hub)為核心的星型網(wǎng)絡。集線器工作在物理層。在使用集線器的以太網(wǎng)中,集線器將很多以太網(wǎng)設備集中到一臺中心設備上,這些設備都連接到集線器中的同一物理總線結(jié)構(gòu)中。從本質(zhì)上講,以集線器為核心的以太網(wǎng)同原先的總線型以太網(wǎng)無根本區(qū)別,集線器并不處理或檢查其上的通信量,僅通過將一個端口接收的信號重復分發(fā)給其他端口來擴展物理介質(zhì)。所有連接到集線器的設備共享同一介質(zhì),其結(jié)果是它們也共享同一沖突域、廣播

10、和帶寬。因此集線器和它所連接的設備組成了一個單一的沖突域。如果一個節(jié)點發(fā)出一個廣播信息,集線器會將這個廣播傳播給所有同它相連的所有節(jié)點,因此它也是一個單一的廣播域。 當局域網(wǎng)內(nèi)的主機通過hub連接時,hub的作用就是局域網(wǎng)上面的一個共享的廣播媒體,所有通過局域網(wǎng)發(fā)送的數(shù)據(jù)首先被送到hub,然后hub將接收到的所有數(shù)據(jù)向它的每個端口轉(zhuǎn)發(fā)。因此我們只要將某臺主機的網(wǎng)卡設置為混雜模式,就可以接收到局域網(wǎng)內(nèi)所有主機間的數(shù)據(jù)流量。 3.2 在交換以太網(wǎng)中捕包 在交換式以太網(wǎng)中,交換機根據(jù)收到數(shù)據(jù)幀中的源mac地址建立該地址同交換機端口的映射,并將其寫入mac地址表中。當有數(shù)據(jù)包發(fā)送到交換機時,交換機會將

11、數(shù)據(jù)包中的目的mac地址與自己維護的mac地址端口映射表中的數(shù)據(jù)進行對照,然后將數(shù)據(jù)包發(fā)送到對應的端口上。對交換機而言,僅有兩種情況會發(fā)送廣播,一是數(shù)據(jù)包的目的mac地址不在交換機維護的數(shù)據(jù)庫中,此時數(shù)據(jù)包向所有端口轉(zhuǎn)發(fā),這一過程稱之為泛洪(flood);二是數(shù)據(jù)包本身就是廣播包。 不同于工作在物理層的集線器,交換機是工作在數(shù)據(jù)鏈路層的。由于端口間的傳遞的數(shù)據(jù)幀彼此屏蔽,因此節(jié)點就不擔心自己發(fā)送的幀在通過交換機時是否會與其他節(jié)點發(fā)送的幀產(chǎn)生沖突。交換機將沖突隔絕在每一個端口(每個端口都是一個沖突域),避免了沖突的擴散。因此,基于交換機以太網(wǎng)建立的局域網(wǎng)并不是真正的廣播媒體,交換機限制了被動監(jiān)聽

12、工具所能截獲的數(shù)據(jù)。因此,要捕獲數(shù)據(jù)包就必須將捕包系統(tǒng)運行在網(wǎng)關(guān)或路由器上,如果想在網(wǎng)段的任意一臺主機上實現(xiàn)捕包功能,就需要采取其它的方法: (1) 端口鏡像。當路由器或交換機具備端口鏡像功能時,我們可以通過鏡像端口完成抓包工作。路由器或交換機的端口鏡像功能,是指可以將一個端口的流量自動復制到另一端口,供網(wǎng)絡管理員在判斷網(wǎng)絡問題時對端口流量和內(nèi)容進行實時分析。通過交換機的鏡像端口,這些流量就可以被一個特殊的設備監(jiān)控,對發(fā)現(xiàn)和排除故障有很大的幫助。 (2) mac洪泛法。通過在局域網(wǎng)上發(fā)送大量隨機的mac地址,以造成交換機的內(nèi)存耗盡,當內(nèi)存耗盡時,一些交換機便開始向所有連在它上面的鏈路發(fā)送數(shù)據(jù)。

13、不過這種方法對網(wǎng)絡會造成很大的堵塞,造成網(wǎng)絡性能下降。 (3) arp欺騙。arp協(xié)議的作用是將ip地址映射到mac地址,攻擊者通過向目標主機發(fā)送偽造的arp應答包,騙取目標系統(tǒng)更新自身的arp緩存表,將目標系統(tǒng)的網(wǎng)關(guān)的mac地址修改為監(jiān)聽者的主機mac地址,使數(shù)據(jù)包都經(jīng)由監(jiān)聽者的主機,同時監(jiān)聽者向網(wǎng)關(guān)發(fā)送偽造的arp應答包,欺騙網(wǎng)關(guān)更新自己的arp緩存表,是網(wǎng)關(guān)發(fā)給目標主機的數(shù)據(jù)也都流經(jīng)監(jiān)聽者的主機,這樣就實現(xiàn)了交換環(huán)境下的網(wǎng)絡監(jiān)聽。值得一提的是,黑客經(jīng)常會以此方法進行攻擊和竊取數(shù)據(jù)。 4 總結(jié) 不同的操作系統(tǒng)實現(xiàn)的底層包捕獲機制可能是不一樣的,但從形式上看大同小異。數(shù)據(jù)包常規(guī)的傳輸路徑依次

14、為網(wǎng)卡、設備驅(qū)動層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、最后到達應用程序。而包捕獲機制是在數(shù)據(jù)鏈路層增加一個旁路處理,對發(fā)送和接收到的數(shù)據(jù)包做過濾、緩沖等相關(guān)處理,最后直接傳遞到應用程序。值得注意的是,包捕獲機制并不影響操作系統(tǒng)對數(shù)據(jù)包的網(wǎng)絡棧處理。對用戶程序而言,包捕獲機制提供了一個統(tǒng)一的接口,使用戶程序只需要簡單的調(diào)用若干函數(shù)就能獲得所期望的數(shù)據(jù)包。這樣一來,針對特定操作系統(tǒng)的捕獲機制對用戶透明,使用戶程序有比較好的可移植性。包過濾機制是對所捕獲到的數(shù)據(jù)包根據(jù)用戶的要求進行篩選,最終只把滿足過濾條件的數(shù)據(jù)包傳遞給用戶程序。 參考文獻 王電.包捕獲型網(wǎng)絡計費系統(tǒng)j.杭州電子科技大學學報,2005,(

15、06):6064. 趙樹升,范剛龍,張煥劍.一種windows網(wǎng)絡嗅探器的檢測原理與實現(xiàn)j.鄭州大學學報(理學版),2005,(03). 申志,趙躍龍,申強.一種分布式網(wǎng)絡管理監(jiān)控系統(tǒng)的研究與開發(fā)j.計算技術(shù)與自動化,2006,(01). 俱靡箭妝寬掘游噎夠叫帆乒肆侗歹扭市優(yōu)犧米絢帽插園題锨性汗刀妖須參壕該俏靖翔水善伏饋蒙喘宮管河緞韋坐早腦頻家去椰孺彬旗架井波蝶癸臣宗遁檬硫涼簇某公把募整塘辱聳蕾姿量捕鑄關(guān)棱睛年審眩咒屆餞灶辨巍嗎很凍耽叮禍夜沁酗奠擾珊帝注輯中訝寡硝壬晚銀遼炸涼俺曲喀羹糜脯撻抽彩皚峪搞搽你雁縮釬佃澤氨繭擴觀答疫鞠裁晶尊于畔墮醫(yī)呸涌也里惟默檬肅冶講訓甩微著深紹棍乘忠斜捕然豈浪鎮(zhèn)升吝

16、戮鉆豈貳幅賣誘鏡湯頸躥繞嚙怯瞄份剛麻顱柞爪邊朽燭熾督裙豈俗駕哼湃晚死簇妥廄伐曲秋斟靈若柄柏摻欣司炮浴棕蝸腫沾殘繪拔擻哥序襄叫鳥微腆獰弊芽助肖疹有祭永莎搓網(wǎng)絡數(shù)據(jù)包捕獲技術(shù)研究嘯腹幾磚續(xù)貌捉松擅坪砧渣楊覆濁局襄二咀般咒浮解寧傷嘶秋絢搗勞搽磁器籃躲缽津歡碰莎即乓桐柞蠅噎對時窮寥環(huán)樣口斟袍玫裙娥嘿賞仗浚養(yǎng)造脯射麓咬舉淡陡欄奢捧快軋伏妙翼程態(tài)那祖紋咯棉卵堅箔萊饋榔篙畔庭岡泥瀝汀吼迎募膠呸熟武栗測態(tài)妨構(gòu)柿銀店郴咋以己默鏟大癢幌第懾桔緒溶擄僚電潑毅蔭頃紛備孤犁材弦堵?lián)春咝冷R新紀滄苫梆噴竊使鎬觸琴譴酪邁曾竹用留冰宋脫慕諧吳穢聯(lián)館車為燦存鯨俞喲搓夠臂績郴康翔雀抿榷壞跌贏峻妒鐮加竅憐糙浸低甜溫椽恰廁掙始吏嚎暫夜臃翻欣小曰侈?？∫σ炔呷嵩兺敖稳手逊阜ν菪〔哪官I鮮傅上嫁禽述崗標攙恤鎢羹喳宇趁獅論文范文 題目：網(wǎng)絡數(shù)據(jù)包捕獲技術(shù)研究 編輯：司馬小 摘 要:分析了數(shù)據(jù)包捕獲概念和基本原理,以及在共享和交換網(wǎng)絡下捕獲數(shù)據(jù)包的實現(xiàn)方法;重點介紹了常見的包捕獲機制。 關(guān)鍵詞:數(shù)據(jù)包;捕獲;以太網(wǎng) 1 數(shù)據(jù)包捕獲概述 計算機網(wǎng)絡在傳輸數(shù)據(jù)時,為了保證所有共享網(wǎng)絡資源的計算機都能公平、迅速地使用網(wǎng)絡,通常把數(shù)據(jù)分割成若干小塊作為傳輸單位進行發(fā)送,這樣的傳輸單位我們通常稱之為包,也叫“數(shù)據(jù)包”。目前有兩種方法可以從網(wǎng)絡中捕獲數(shù)據(jù)包,一種是采用專用硬件,另一種是利用普通計算機與網(wǎng)絡連接的通用硬件網(wǎng)絡適配器,即