郭麗莉

（中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司四平市分公司，吉林 四平 136000）

引言

在碼流中一個(gè)表示一個(gè)特定的疊塊、層次、分量、分辨率和圍地的連續(xù)的數(shù)據(jù)字段稱為數(shù)據(jù)包。數(shù)據(jù)包數(shù)據(jù)以8比特字節(jié)對(duì)齊。

數(shù)據(jù)包數(shù)據(jù)首先由一個(gè)包頭引導(dǎo)，碼頭后面是數(shù)據(jù)包體，它包含了每一個(gè)相關(guān)編碼子塊的編碼字節(jié)在構(gòu)造包頭和包體時(shí)必須遵循上述數(shù)據(jù)排放次序。

1 數(shù)據(jù)包格式

在TCP/IP互聯(lián)網(wǎng)上傳輸?shù)囊粋€(gè)分組叫IP數(shù)據(jù)包(Datagram)，每個(gè)數(shù)據(jù)包包含一個(gè)頭部和位于其后的數(shù)據(jù)。在數(shù)據(jù)包頭部的源和目的地址都采用IP地址。

位于數(shù)據(jù)包傳輸路徑上的每一個(gè)路由器從數(shù)據(jù)包首部提取目的地址，由目的地址在路由器的路由表中查找發(fā)往目的地的下一跳地址，然后路由器將數(shù)據(jù)包傳遞給下一跳，直至到達(dá)目的地。

路由表有3個(gè)基本字段：目的網(wǎng)絡(luò)地址字段，目的網(wǎng)絡(luò)地址的地址掩碼字段和到達(dá)目的網(wǎng)絡(luò)的下一跳字段。在數(shù)據(jù)包頭部的目的地址總是數(shù)據(jù)包的最終目的地址。目的地址與其對(duì)應(yīng)的掩碼“按位與”操作，得出目的地址主機(jī)所在網(wǎng)絡(luò)的網(wǎng)絡(luò)地址。然后，根據(jù)這個(gè)網(wǎng)絡(luò)地址，決定下一跳地址，通過(guò)一個(gè)特定的連接，將數(shù)據(jù)發(fā)給下一跳。

IP數(shù)據(jù)包首部(頭)格式包含以下內(nèi)容:

(1)版本號(hào)(Vers)，包含了生成該數(shù)據(jù)包的IP協(xié)議的版本信息，它用來(lái)證實(shí)發(fā)送方，接收方和它們之間的所有路由器都同意的數(shù)據(jù)包格式。

(2)首部長(zhǎng)度(Header Length)字段，給出了以32位字長(zhǎng)為單位的首部長(zhǎng)度。

(3)服務(wù)(Service Type)字段，包含 5個(gè)子字段，3個(gè)比特的優(yōu)先級(jí)干字段指明本數(shù)據(jù)包的優(yōu)先級(jí)，允許發(fā)送方表示本數(shù)據(jù)包的重要程度。優(yōu)先級(jí)的值從0(普通優(yōu)先級(jí))到7(網(wǎng)絡(luò)控制)，D.T和R位表示本數(shù)據(jù)包所希望的運(yùn)輸類型，這些位的值為1時(shí)，D代表低延時(shí)，T要求高吞吐量，R要求高可靠性。

(4)總長(zhǎng)度(Total Length)字段，給出了以8位組為單位的IP數(shù)據(jù)包長(zhǎng)度。

(5)壽命(Time to Live)字段，設(shè)置了該數(shù)據(jù)包在互聯(lián)網(wǎng)中允許存在的時(shí)間(秒)或允許經(jīng)過(guò)的路由器的數(shù)目。它是一個(gè)介于1-255之間的整數(shù)。

(6)首部校驗(yàn)和(Header Checksum)字段，用于保證首部數(shù)據(jù)的完整性。IP校驗(yàn)和的計(jì)算是把首部看成一個(gè)16位的整數(shù)序列，對(duì)每個(gè)整數(shù)分別計(jì)算其二進(jìn)制反碼，然后相加，再對(duì)結(jié)果計(jì)算一次二進(jìn)制反碼而求得。為了計(jì)算校驗(yàn)和，假定首部校驗(yàn)和字段為0。

(7)源站地址(Source IP Address)和目的站地址(Desination IP Address)字段，包含了數(shù)據(jù)包的(原始)發(fā)送方和(最終)接收方的32位IP地址。

2 捕獲網(wǎng)絡(luò)數(shù)據(jù)包的方法

目前有兩種方法可以從網(wǎng)絡(luò)中捕獲數(shù)據(jù)包，一種是采用專用硬件，如網(wǎng)絡(luò)監(jiān)視器等，另一種是利用普通計(jì)算機(jī)與網(wǎng)絡(luò)連接的通用硬件一網(wǎng)絡(luò)適配器，即網(wǎng)卡，由軟件來(lái)完成數(shù)據(jù)包的捕獲。下面我們分別加以闡述：

2.1 網(wǎng)絡(luò)監(jiān)視器

網(wǎng)絡(luò)監(jiān)視器關(guān)注網(wǎng)絡(luò)活動(dòng)，用戶若想了解網(wǎng)絡(luò)組件的行為和通信量，則要安裝、使用網(wǎng)絡(luò)監(jiān)視器。

網(wǎng)絡(luò)管理員使用網(wǎng)絡(luò)監(jiān)視器查看檢測(cè)局域網(wǎng)(LAN)的問(wèn)題，例如，在兩臺(tái)或更多計(jì)算機(jī)不能通信時(shí)，網(wǎng)絡(luò)管理員使用網(wǎng)絡(luò)監(jiān)視器診斷硬件和軟件問(wèn)題，也可以將網(wǎng)絡(luò)活動(dòng)的記錄復(fù)制到文件中，然后將文件發(fā)送給專AV，網(wǎng)絡(luò)分析員或有關(guān)組織。在開發(fā)網(wǎng)絡(luò)應(yīng)用程序時(shí)，網(wǎng)絡(luò)應(yīng)用程序開發(fā)員可使用網(wǎng)絡(luò)監(jiān)視器以監(jiān)視、調(diào)試網(wǎng)絡(luò)應(yīng)用程序。

為阻止網(wǎng)絡(luò)上未授權(quán)的網(wǎng)絡(luò)監(jiān)視器的安裝使用，網(wǎng)絡(luò)監(jiān)視器能檢測(cè)到在網(wǎng)絡(luò)局部運(yùn)行的其他網(wǎng)絡(luò)監(jiān)視器的安裝。通過(guò)系統(tǒng)管理服務(wù)器的網(wǎng)絡(luò)監(jiān)視器或系統(tǒng)肺視器的網(wǎng)絡(luò)段對(duì)象.網(wǎng)絡(luò)監(jiān)視器可檢測(cè)到遠(yuǎn)程使用的網(wǎng)絡(luò)監(jiān)視器驅(qū)動(dòng)器的所有程序，這些程序被用于浦獲網(wǎng)上數(shù)據(jù)。

當(dāng)網(wǎng)絡(luò)監(jiān)視器檢測(cè)到運(yùn)行在網(wǎng)上的網(wǎng)絡(luò)監(jiān)視器的其他安裝時(shí)，它會(huì)顯示下列信息：

.計(jì)算機(jī)名稱

.登錄此計(jì)算機(jī)的用戶名稱

.遠(yuǎn)程計(jì)算機(jī)上的網(wǎng)絡(luò)監(jiān)視器狀態(tài)(運(yùn)行、捕獲、傳輸)

.遠(yuǎn)程計(jì)算機(jī)的適配器地址

.遠(yuǎn)程計(jì)算機(jī)上的例絡(luò)監(jiān)視器版本號(hào)

在一些情況下，網(wǎng)絡(luò)結(jié)構(gòu)會(huì)阻止網(wǎng)絡(luò)監(jiān)視器的一個(gè)安裝來(lái)檢側(cè)另一個(gè)安裝。例如，若一安裝與用戶安裝被路由器隔開，而此路由器不能向用戶轉(zhuǎn)送組播，則用戶安裝不能檢測(cè)到另一個(gè)安裝。

網(wǎng)絡(luò)監(jiān)視器應(yīng)用網(wǎng)絡(luò)驅(qū)動(dòng)器接口說(shuō)明(NDIS)的特性，復(fù)制它所檢測(cè)的所有幀到它的捕獲緩沖區(qū)，這是個(gè)內(nèi)存里可交大小的存儲(chǔ)區(qū)，缺省大小為IMB：若需要，可手上調(diào)整其大小。緩沖區(qū)是一個(gè)存儲(chǔ)映射文件，它占用磁盤空間。

由于網(wǎng)絡(luò)監(jiān)視器僅使用NDIS的本地方式，而非隨機(jī)方式(網(wǎng)絡(luò)適配器以此在網(wǎng)上發(fā)送所有幀)，故即使用戶的網(wǎng)絡(luò)適配器不支持隨機(jī)方式時(shí)也可使用網(wǎng)絡(luò)監(jiān)視器.當(dāng)使用NDIS驅(qū)動(dòng)器捕獲幀時(shí)。網(wǎng)絡(luò)性能不受影響(將網(wǎng)絡(luò)適配器置于隨機(jī)方式會(huì)使CPU增加30%或更多負(fù)荷)。

2.2 以太網(wǎng)捕獲數(shù)據(jù)包的實(shí)現(xiàn)原理

在以太網(wǎng)上通訊的每張網(wǎng)卡上都擁有一個(gè)全球唯一的物理地址，也叫MAC地址。該地址是一個(gè)48比特的二進(jìn)制數(shù)。在以太網(wǎng)卡中內(nèi)建有一個(gè)數(shù)據(jù)包過(guò)濾器。該數(shù)據(jù)包過(guò)濾器的作用是保留以本身網(wǎng)卡的MAC地址為通訊目的的數(shù)據(jù)包和廣播數(shù)據(jù)包，丟棄所有其它無(wú)關(guān)的數(shù)據(jù)包，以免CPU對(duì)無(wú)關(guān)的數(shù)據(jù)報(bào)作無(wú)謂的處理。

要想捕獲到流經(jīng)網(wǎng)卡的不屬于本主機(jī)的數(shù)據(jù)，必須繞過(guò)系統(tǒng)正常工作的處理機(jī)制，直接訪問(wèn)網(wǎng)絡(luò)底層。我們可以把網(wǎng)卡的狀態(tài)設(shè)為“混雜”(promiscuous)模式，當(dāng)網(wǎng)卡工作在這種“混雜”模式時(shí)，該網(wǎng)卡就具備了“廣播地址”，它對(duì)所接收到的每一個(gè)頓都產(chǎn)生一個(gè)硬件中斷以提醒操作系統(tǒng)處理流經(jīng)該網(wǎng)卡上的侮一個(gè)報(bào)文包。操作系統(tǒng)通過(guò)直接訪問(wèn)鏈路層，截獲相關(guān)數(shù)據(jù)，由應(yīng)用程序而非上層協(xié)議(如IP層、TCP層)對(duì)數(shù)據(jù)過(guò)濾處理，這樣就可以捕獲到流經(jīng)網(wǎng)卡的所有數(shù)據(jù)。

2.3 共享和交換以太網(wǎng)下的捕包

首先從TCP/IP模型的角度來(lái)看數(shù)據(jù)包在局域網(wǎng)內(nèi)發(fā)送的過(guò)程:當(dāng)數(shù)據(jù)由應(yīng)用層自上而下地傳遞時(shí)，在網(wǎng)絡(luò)層形成IP數(shù)據(jù)報(bào)，再向下到達(dá)數(shù)據(jù)鏈路層，由數(shù)據(jù)鏈路層將IP數(shù)據(jù)報(bào)分割為數(shù)據(jù)幀，增加以太網(wǎng)包頭，再向下一層發(fā)送.需要說(shuō)明的是，以太網(wǎng)的包頭中包含著本機(jī)和目標(biāo)設(shè)備的MAC地址，也就是說(shuō)，數(shù)據(jù)鏈路層的數(shù)據(jù)幀發(fā)送時(shí)，是依靠48bits的以太網(wǎng)地址而非IP地址來(lái)確認(rèn)的，以太網(wǎng)的網(wǎng)卡設(shè)備驅(qū)動(dòng)程序不會(huì)關(guān)心IP數(shù)據(jù)報(bào)中的目的IP地址，它所需要的僅僅是MAC地址。

結(jié)束語(yǔ)

實(shí)現(xiàn)網(wǎng)絡(luò)捕包的一個(gè)最重要的條件就是要能夠接收網(wǎng)絡(luò)上所有的數(shù)據(jù)包。計(jì)算機(jī)網(wǎng)絡(luò)從傳輸方式的角度分為兩類：采用點(diǎn)到點(diǎn)連接的網(wǎng)絡(luò)和采用廣播方式的網(wǎng)絡(luò)，廣域網(wǎng)中一般采用點(diǎn)到點(diǎn)連接方式，而幾乎所有的局域網(wǎng)都以廣播方式作為通信的基礎(chǔ)，網(wǎng)上的站點(diǎn)共享信道，一個(gè)站點(diǎn)發(fā)出的數(shù)據(jù)包，其他站點(diǎn)均能收到，也就是說(shuō)，任一臺(tái)計(jì)算機(jī)都可以接收到網(wǎng)絡(luò)中同一個(gè)共享域的所有的數(shù)據(jù)通訊。

[1]王興寶.網(wǎng)絡(luò)管理與維護(hù)[M].北京：機(jī)械工業(yè)出版社.2001.

[2]劉遠(yuǎn)生.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用實(shí)踐[M].北京：清華大學(xué)出版社.2010.

[3]劉曉輝，陳洪彬.網(wǎng)絡(luò)管理工具技術(shù)應(yīng)用實(shí)戰(zhàn)詳解[M].北京：化學(xué)工業(yè)出版社.2010.