论文部分内容阅读
摘 要:在当今计算机网络无处不在的时代,网络攻击时刻威协着我们所处局域网络的安全。为了确保网络的安全性,就要对网络交互的数据包进行分析。本文提出了TCP/IP协议分析器的设计开发方案,并通过Qt Creator和C++编程实现。该分析器能够捕获网络数据包,并根据网络协议格式对数据进行解析,从而为进一步分析网络系统的安全性提供依据。
关键词:网络数据包;TCP/IP协议;数据分析
1 系统需求分析
本系统主要功能需求有以下几项:
①具备网络数据包捕获的参数设置: 在进行数据捕获之前要进行协议类型、MAC地址、IP地址等参数的设置,满足用户的一些常规需求,保证用户使用系统的合理性。
②能够捕获到本机所有的网络数据包:通过本系统可以对网络上的数据包进行捕获,包括ICMP、DNS、ARP、RARP等一些网络协议的数据包的捕获,让用户通过本系统能够捕获到有用的数据包。
③能正确地对捕获到的网络数据包进行网络协议分析:在捕获到网络数据包后能够对网络数据包进行包结构分析,对数据链路层数据按照帧格式进行分析,对网络层的IP数据报的分析,对传输层TCP和UDP的头格式进行分析,对应用层协议进行分析。
④能够把捕获到的网络数据包保存到当地文件中:在用户的使用过程中,可能需要对捕获到的网络数据包进行存储,那么需要满足用户对网络数据包的存储功能,让用户能够更灵活地使用本系统。
⑤能够打开已经捕获到的网络数据文件并进行网络协议分析:能够满足用户打开已经保存的网络数据文件,并进行网络协议分析,这样用户就能随时随地对以前的网络数据进行协议分析了。
⑥能统计当前所有网络接口的网络数据包:通过这个功能,用户可以查看当前网络接口的数据包数量和每秒通过的数据量,用户可以清晰地掌握当前网络接口通过数据包的状况,有助于用户对网络接口的检测。
2 总体设计
2.1系统总体模块设计
通过系统需求分析可以将网络协议分析器分为四大主要功能模块,分别为文件存储与读取模块、抓包参数设置模块、数据包捕获模块和数据包分析模块。这些模块详细功能如下:
①文件存储与读取模块:通过捕获网络数据包,把其存储到文件中,有利于以后对网络数据包的分析;读取已经捕获到并存储到文件中的数据包,并进行协议分析。
②抓包参数设置模块:通过配置抓包参数,来确定捕获数据包的类型,可以指定捕获网络数据包的MAC地址和网络地址,并能够对网络协议和网络数据包大小进行设置。
③数据包捕获模块:通过配置的抓包参数进行数据包的捕获,在程序运行的过程中,会将捕获到的数据包以链表的形式存储起来,以供下一步的分析。
④数据包分析模块:根据捕获到的数据包进行各层协议分析,将分析的结果以可视化的界面形式展示给用户,让用户能够看清每层协议的格式和数据包数据部分内容。
系统功能模块图如图1所示:
2.2 软件开发平台
本系统开发平台是一般的PC机,使用Windows 8版本。因为本系统没有涉及到数据库所以就没有使用数据库。程序开发使用的编程环境是Qt 5.4.1中文版,并且opensource使用的版本是Qt Creator 3.3.1。用到的数据包捕获函数库为WinPcap,这个函数库主要运行在操作系统的底层,所以使用这个函数库会大大提升本系统的运行效率,尤其在大量循环捕获网络数据包的时候,优势就愈发明显。编程工具Qt Creator具有很好的跨平台性能,可以很轻松的把本系统移植到Linux环境的系统中去。
3 详细设计
系统中各个功能模块的界面是用Qt Designer来设计的,它提供可视化的界面操作,通过拖动控件来实现我们想要的界面效果,方便高效。Qt提供的信号与槽的机制对逻辑功能的编程更加方便。根据模块所需要实现的功能,编写代码,最终实现系统的整体功能。
3.1 协议头结构设计
通过对协议头结构体的设计,帮助我们完成网络数据包的解析,将定义的结构体与捕获到的网络数据包进行匹配,把相应的字段进行处理,从而分析出网络协议头格式,完成对网络协议的分析。
设计协议头结构体的时候需要注意以下一些事项:①明确网络数据包的结构;②清楚网络数据包捕获的方法;③明确各层协议头数据每个字节或每个字段的含义;④定义对应的结构体用来解析网络协议;⑤把分析的结果以可视化的方式显示在界面上。
这个环节是整个系统中的一个重点,不管哪里出现任何差错,都将导致最终对网络协议的分析出现错误,所以在对网络协议头结构体设计的时候要认真细致,确保结构体里面的字段与网络协议的字段能够一一对应,保证对网络协议分析的正确性。
通过对TCP/IP网络体系各层协议格式的分析,本系统定义了以下的结构体表:数据链路层帧首部结构体表(_ETHERNET_HEADER)、ARP首部结构体表(_ARP_HEADER)、IP首部结构体表(_IP_HEADER)、IPv6首部结构体表(_IP6_HEADER)、TCP首部结构体表(_TCP_HEADER)、UDP首部结构体表(_UDP_HEADER)、ICMP首部结构体表(_ICMP_HEADER)。
3.2 算法概要
抓包模块的程序流程图如图2所示。在对抓包参数设置完点击确定的时候,将选择的每一项按照网络数据包过滤器过滤规则进行处理,转化为字符串模式并通过调用相应的接口函数,对过滤条件进行编译和设置,完成对抓包参数的设计。
当捕获到网络数据包时,这时可以选择一个想要分析的数据包并对数据包进行解析。这里用到数据包分析算法,算法中根据每层协议的协议类型对数据包进行解析,然后判断下一层协议,依次解析,直到最后一层协议。 在系统使用的过程中,可能需要保存数据包,那么这里就会有数据包保存的算法。代码中做这样的处理:每当有数据包到来都会把数据包追加到指定的文件中,当用户需要保存数据包的时候,只需要将数据包临时文件拷贝到指定的目录即可。
通常会对已经保存的数据包进行读操作,这样我们就会有数据包文件的读取功能。这个功能的算法使用标准C语言的二进制读取文件的方法,将文件一个字符一个字符地读取出来,并分离每一个数据包,并对数据包进行相应的处理。
4 系统的编码
4.1 主要函数
此处列出了主要函数,具体程序代码省略。
①捕获网络数据包函数
int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user)
函数返回值:成功返回0,失败返回负数。
参数描述:p: Libpcap句柄,cnt: 指定捕获的数据包个数,-1代表无限个,callback: 回调函数,可在此函数中对数据包进行处理,user: 表示往回调函数传的参数。
②打开存储文件函数
pcap_dumper_t *pcap_dump_open(pcap_t *p, const char *filename)
函数返回值:成功返回一个文件句柄,失败返回NULL。
参数描述:p: 表示一个Libpcap句柄,filename: 文件名。
函数功能:打开一个文件,并准备向其写入网络数据包。
③IP协议分析函数
void ethernet_protocol_IPpacket (LinkList p)
函数返回值:无返回值。
参数描述:p: LinkList类型的链表节点指针。
④TCP协议分析
void ethernet_protocol_TCPpacket (LinkList p, bool isIP6)
函数返回值:无返回值。
参数描述:p: LinkList类型的链表节点指针,isIP6: 是否为IPv6数据包。
4.2 数据包结构分析结果显示
在数据包成功捕获后,选择要解析的数据包进行数据包的解析,数据包协议分析界面如图3所示。在主窗口的右上方有一个表格,里面显示捕获到的每一个数据包的基本信息,如果要对其中的一个数据包进行协议分析,那么需要点击要分析的那个数据包,协议分析的结果会在左侧的树形列表中显示出来,下面窗口中则显示数据包的原始数据和数据包数据。
5 结束语
本系统实现了对网络数据抓包以及对数据链路层、网络层、传输层和应用层等各层协议分析。在对网络数据捕获中,主要用到了操作系统底层的WinPcap函数库,在大量捕获网络数据包时系统运行效率高;使用的编程工具是能够跨平台的Qt Creator,具有良好的可移植性和跨平台性。应用该系统能够捕获到网络上交互的全部数据包,并把数据包的内容显示给用户,把每层协议的协议头按照协议格式解析,让用户更清楚地知道当前网络的网络数据交互状态,进一步分析网络系统的安全性。
参考文献:
[1]刘文涛编著.网络安全开发包详解[M].电子工业出版社,2005.10:20-30.
[2]严蔚敏,吴伟民编著.数据结构(C语言版)[M].清华大学出版社,1997.4:55-60.
[3]殷人昆,郑人杰,马素霞等编著.实用软件工程[M].第三版.清华大学出版社,2011年.
[4]明日科技编著.Visual C++从入门到精通[M].第三版.清华大学出版社,2012年9月:3-31.
[5]Bruce Eckel,Chuck Allison编著.C++编程思想[M].刘宗田,袁兆山等译.机械工业出版社,2011年7月:52-70.
[6]陆文周编著.QT5开发及实例[M].电子工业出版社,2014年1月:11-89.
[7]布兰切特,萨默菲尔德编著.C++GUI Qt4编程[M].第二版,闫锋欣等译.电子工业出版社,2013年5月:21-33.
[8]Brian W.Kernighan,Dennis M.Ritchie编著.C程序设计语言[M].第二版.机械工业出版社,2004年1月:30-60.
[9]W.Richard Stevens编著.TCP_IP协议详解:卷一[M].机械工业出版社,2005年7月:37-45.
[10]Gary R. Wright,W. Richard Stevens编著.TCP_IP协议详解:卷二[M].机械工业出版社,2001年12月:28-67.
基金项目:
国家级大学生创新训练项目(201335)。
关键词:网络数据包;TCP/IP协议;数据分析
1 系统需求分析
本系统主要功能需求有以下几项:
①具备网络数据包捕获的参数设置: 在进行数据捕获之前要进行协议类型、MAC地址、IP地址等参数的设置,满足用户的一些常规需求,保证用户使用系统的合理性。
②能够捕获到本机所有的网络数据包:通过本系统可以对网络上的数据包进行捕获,包括ICMP、DNS、ARP、RARP等一些网络协议的数据包的捕获,让用户通过本系统能够捕获到有用的数据包。
③能正确地对捕获到的网络数据包进行网络协议分析:在捕获到网络数据包后能够对网络数据包进行包结构分析,对数据链路层数据按照帧格式进行分析,对网络层的IP数据报的分析,对传输层TCP和UDP的头格式进行分析,对应用层协议进行分析。
④能够把捕获到的网络数据包保存到当地文件中:在用户的使用过程中,可能需要对捕获到的网络数据包进行存储,那么需要满足用户对网络数据包的存储功能,让用户能够更灵活地使用本系统。
⑤能够打开已经捕获到的网络数据文件并进行网络协议分析:能够满足用户打开已经保存的网络数据文件,并进行网络协议分析,这样用户就能随时随地对以前的网络数据进行协议分析了。
⑥能统计当前所有网络接口的网络数据包:通过这个功能,用户可以查看当前网络接口的数据包数量和每秒通过的数据量,用户可以清晰地掌握当前网络接口通过数据包的状况,有助于用户对网络接口的检测。
2 总体设计
2.1系统总体模块设计
通过系统需求分析可以将网络协议分析器分为四大主要功能模块,分别为文件存储与读取模块、抓包参数设置模块、数据包捕获模块和数据包分析模块。这些模块详细功能如下:
①文件存储与读取模块:通过捕获网络数据包,把其存储到文件中,有利于以后对网络数据包的分析;读取已经捕获到并存储到文件中的数据包,并进行协议分析。
②抓包参数设置模块:通过配置抓包参数,来确定捕获数据包的类型,可以指定捕获网络数据包的MAC地址和网络地址,并能够对网络协议和网络数据包大小进行设置。
③数据包捕获模块:通过配置的抓包参数进行数据包的捕获,在程序运行的过程中,会将捕获到的数据包以链表的形式存储起来,以供下一步的分析。
④数据包分析模块:根据捕获到的数据包进行各层协议分析,将分析的结果以可视化的界面形式展示给用户,让用户能够看清每层协议的格式和数据包数据部分内容。
系统功能模块图如图1所示:
2.2 软件开发平台
本系统开发平台是一般的PC机,使用Windows 8版本。因为本系统没有涉及到数据库所以就没有使用数据库。程序开发使用的编程环境是Qt 5.4.1中文版,并且opensource使用的版本是Qt Creator 3.3.1。用到的数据包捕获函数库为WinPcap,这个函数库主要运行在操作系统的底层,所以使用这个函数库会大大提升本系统的运行效率,尤其在大量循环捕获网络数据包的时候,优势就愈发明显。编程工具Qt Creator具有很好的跨平台性能,可以很轻松的把本系统移植到Linux环境的系统中去。
3 详细设计
系统中各个功能模块的界面是用Qt Designer来设计的,它提供可视化的界面操作,通过拖动控件来实现我们想要的界面效果,方便高效。Qt提供的信号与槽的机制对逻辑功能的编程更加方便。根据模块所需要实现的功能,编写代码,最终实现系统的整体功能。
3.1 协议头结构设计
通过对协议头结构体的设计,帮助我们完成网络数据包的解析,将定义的结构体与捕获到的网络数据包进行匹配,把相应的字段进行处理,从而分析出网络协议头格式,完成对网络协议的分析。
设计协议头结构体的时候需要注意以下一些事项:①明确网络数据包的结构;②清楚网络数据包捕获的方法;③明确各层协议头数据每个字节或每个字段的含义;④定义对应的结构体用来解析网络协议;⑤把分析的结果以可视化的方式显示在界面上。
这个环节是整个系统中的一个重点,不管哪里出现任何差错,都将导致最终对网络协议的分析出现错误,所以在对网络协议头结构体设计的时候要认真细致,确保结构体里面的字段与网络协议的字段能够一一对应,保证对网络协议分析的正确性。
通过对TCP/IP网络体系各层协议格式的分析,本系统定义了以下的结构体表:数据链路层帧首部结构体表(_ETHERNET_HEADER)、ARP首部结构体表(_ARP_HEADER)、IP首部结构体表(_IP_HEADER)、IPv6首部结构体表(_IP6_HEADER)、TCP首部结构体表(_TCP_HEADER)、UDP首部结构体表(_UDP_HEADER)、ICMP首部结构体表(_ICMP_HEADER)。
3.2 算法概要
抓包模块的程序流程图如图2所示。在对抓包参数设置完点击确定的时候,将选择的每一项按照网络数据包过滤器过滤规则进行处理,转化为字符串模式并通过调用相应的接口函数,对过滤条件进行编译和设置,完成对抓包参数的设计。
当捕获到网络数据包时,这时可以选择一个想要分析的数据包并对数据包进行解析。这里用到数据包分析算法,算法中根据每层协议的协议类型对数据包进行解析,然后判断下一层协议,依次解析,直到最后一层协议。 在系统使用的过程中,可能需要保存数据包,那么这里就会有数据包保存的算法。代码中做这样的处理:每当有数据包到来都会把数据包追加到指定的文件中,当用户需要保存数据包的时候,只需要将数据包临时文件拷贝到指定的目录即可。
通常会对已经保存的数据包进行读操作,这样我们就会有数据包文件的读取功能。这个功能的算法使用标准C语言的二进制读取文件的方法,将文件一个字符一个字符地读取出来,并分离每一个数据包,并对数据包进行相应的处理。
4 系统的编码
4.1 主要函数
此处列出了主要函数,具体程序代码省略。
①捕获网络数据包函数
int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user)
函数返回值:成功返回0,失败返回负数。
参数描述:p: Libpcap句柄,cnt: 指定捕获的数据包个数,-1代表无限个,callback: 回调函数,可在此函数中对数据包进行处理,user: 表示往回调函数传的参数。
②打开存储文件函数
pcap_dumper_t *pcap_dump_open(pcap_t *p, const char *filename)
函数返回值:成功返回一个文件句柄,失败返回NULL。
参数描述:p: 表示一个Libpcap句柄,filename: 文件名。
函数功能:打开一个文件,并准备向其写入网络数据包。
③IP协议分析函数
void ethernet_protocol_IPpacket (LinkList p)
函数返回值:无返回值。
参数描述:p: LinkList类型的链表节点指针。
④TCP协议分析
void ethernet_protocol_TCPpacket (LinkList p, bool isIP6)
函数返回值:无返回值。
参数描述:p: LinkList类型的链表节点指针,isIP6: 是否为IPv6数据包。
4.2 数据包结构分析结果显示
在数据包成功捕获后,选择要解析的数据包进行数据包的解析,数据包协议分析界面如图3所示。在主窗口的右上方有一个表格,里面显示捕获到的每一个数据包的基本信息,如果要对其中的一个数据包进行协议分析,那么需要点击要分析的那个数据包,协议分析的结果会在左侧的树形列表中显示出来,下面窗口中则显示数据包的原始数据和数据包数据。
5 结束语
本系统实现了对网络数据抓包以及对数据链路层、网络层、传输层和应用层等各层协议分析。在对网络数据捕获中,主要用到了操作系统底层的WinPcap函数库,在大量捕获网络数据包时系统运行效率高;使用的编程工具是能够跨平台的Qt Creator,具有良好的可移植性和跨平台性。应用该系统能够捕获到网络上交互的全部数据包,并把数据包的内容显示给用户,把每层协议的协议头按照协议格式解析,让用户更清楚地知道当前网络的网络数据交互状态,进一步分析网络系统的安全性。
参考文献:
[1]刘文涛编著.网络安全开发包详解[M].电子工业出版社,2005.10:20-30.
[2]严蔚敏,吴伟民编著.数据结构(C语言版)[M].清华大学出版社,1997.4:55-60.
[3]殷人昆,郑人杰,马素霞等编著.实用软件工程[M].第三版.清华大学出版社,2011年.
[4]明日科技编著.Visual C++从入门到精通[M].第三版.清华大学出版社,2012年9月:3-31.
[5]Bruce Eckel,Chuck Allison编著.C++编程思想[M].刘宗田,袁兆山等译.机械工业出版社,2011年7月:52-70.
[6]陆文周编著.QT5开发及实例[M].电子工业出版社,2014年1月:11-89.
[7]布兰切特,萨默菲尔德编著.C++GUI Qt4编程[M].第二版,闫锋欣等译.电子工业出版社,2013年5月:21-33.
[8]Brian W.Kernighan,Dennis M.Ritchie编著.C程序设计语言[M].第二版.机械工业出版社,2004年1月:30-60.
[9]W.Richard Stevens编著.TCP_IP协议详解:卷一[M].机械工业出版社,2005年7月:37-45.
[10]Gary R. Wright,W. Richard Stevens编著.TCP_IP协议详解:卷二[M].机械工业出版社,2001年12月:28-67.
基金项目:
国家级大学生创新训练项目(201335)。