网络监控的实现及抓包技术简介
[时间:2012-1-10]  [文章来源:上海百络]  [责任编辑:董北磊]

    网络监听,在网络安全上一直是一个比较敏感的话题,作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用,因而一直倍受网络管理员的青睐。本文借助计算机网络原理,局域网和网络安全原理设计了一个局域网监控技术。

     

    首先,介绍下捕获数据的实现步骤

    ◆先要获得适配器列表,从中选择一个合适的适配器。

    ◆将适配器设置为混杂模式,并设定捕获数据包的最大长度。

    ◆获得打开网络适配器网络号和子网掩码。

    ◆将过滤伪代码编译成符合BPF格式的过滤程序。

    ◆设置BPF过滤器,并设置内核缓冲区大小。

    ◆定义数据包处理回调函数,实现对捕获数据包的分析。

    ◆捕获符合过滤器规则的数据包,并触发处理回调函数进行处理。

    关闭适配器,完成数据捕捉。

    相关阅读:http://www.netbai.com/newbuy_zggglhzgs.asp

     

    其次,数据封包截获技术

    一.Winsock网络协议栈结构

    Windows系统中任何两个基于Winsock进行通信的应用程序都是通过协议栈来传送信息的。网卡完成物理层功能,实现数字信号和电信号的相互转换。网卡驱动程序主要完成部分数据链路层的功能,即从网卡接收数据组装成帧或者将数据帧发送到网卡的功能。NDIS(网络驱动器接口规范)Windows的通信协议程序(比如TCPIP)和网络设备驱动器之间通信的规范。TDI是传输驱动接口,由高层协议驱动,直接面向用户方式,为用户提供网络服务。 SPI是服务提供商接口,负责连接核心态驱动程序和高层应用程序,完成建立连接,传输数据,完成流控制和差错控制等功能。Winsock API为应用程序提供Winsock接口函数,在应用程序和服务提供者之间实现了媒介功能,应用程序负责实现高层的功能。

    二.数据封包截获技术选择

    要截获数据包可以分为在多个层次上进行,可以分为用户模式和内核模式数据封包截获两类。主要包括TDI过滤驱动程序,NDIS中间层过滤驱动程序,NDIS过滤钩子驱动程序,SPI接口,Win2k FiiterHook Driver等。在此我们使用第三方组件WinPcap

     

    WinPcap (windows packet capture)Windows平台下一个免费、公共的网络访问系统,它为win32应用程序提供访问网络底层的能力。它提供了以下的各项功能:

    1.捕获原始数据报,包括在共享网络上各主机发送/接收的以及相互之间交换的数据报。

    2.在数据报发往应用程序之前,按照自定义的规则将某些特殊的数据报过滤掉。

    3.在网络上发送原始的数据报。

    4.收集网络通信过程中的统计信息。

    相关阅读:http://www.netbai.com/shownews.asp?newsid=54

     

    再次,Winpcap的结构与捕获数据原理

    1.WinPcap包括三个部分:

    第一个模块NPF(Netgroup Packet Fiiter)

    是一个虚拟设备驱动程序文件。它的功能是过滤数据包,并把这些数据包原封不动地传给用户态模块,这个过程中包括了一些操作系统特有的代码。

    第二个模块packetd11win32平台提供了一个公共的接口。

    不同版本的Windows系统都有自己的内核模块和用户层模块。 Packetd11用于解决这些不同。调用Packetdll的程序可以运行在不同版本的Windows平台上,而无需重新编译。

    第三个模块 Wpcapdll是不依赖于操作系统的。

    它提供了更加高层、抽象的函数,是一个高层的强大捕获程序库,与Unix下的Libpcap兼容。它独立于下层的网络硬件和操作系统。

    2.inpcap具有BPF分组过滤器和Libpcap函数库

    由支持源自Berkeley内核下的分组过滤器BPF,底层的动态连接库和高层的独立于系统的函数库Libpcap组成。BPF由两部分组成,Network TapPacket Filter。前者是一个回调函数,它不是由BPF直接调用的,而是通过激活网络设备驱动程序Packetsys,从网络中捕捉数据,并转发到对应的程序。过滤器则决定是否接收该数据包以及是否将该数据复制到相应的程序。Packetdll是对这个即F程序进行访问的API接口,通过这个API可直接访问网络设备驱动。同时它具有一套符合Libpcap接口的函数库,该库提供C函数接口,为底层网络提供了一个高层的接口。内核则包括BPF和协议栈,其中协议栈是TCPIP协议模型中的网络层和传输层,用来正常的数据通信。它与网络包捕获系统可以同时运作互不影响,因此捕获到的网络数据不会对正常的通信产生影响。

    3.在混杂模式下,Network Tap收到监听命令后,从网络设备驱动程序处收集数据包把监听到的数据包负责传送给过滤程序,当Packet filter监听到有数据包到达时,NDIS中间驱动程序首先调用分组驱动程序,该程序将数据传递给每一个参与进程的分组过滤程序。当分组过滤器听到有数据包到达时,由PacketFilter决定哪些数据包应该丢弃,哪些数据包应该接收以及是否将该数据复制到相应的程序。通过分组过滤器后,将数据未过滤掉的数据包提交给核心缓冲区。然后等待系统缓冲区满后,再将数据包拷贝到用户缓冲区,监听程序可以直接从用户缓冲区中读取捕获的数据包。

    相关阅读:http://www.netbai.com/service5.asp

     

    最后,Winpcap的主要缺陷如下

    1.免费开放的国外代码,因此安全性欠缺;原理上是采用旁听模式,所以无法阻断UDP应用,无法流量限制,并容易数据丢包;阻断规则有可能引起网络中断或无效;

    2.原理上决定不适合超过100个电脑的网络环境,如采用老式共享式HUB速度限制在10M带宽损失严重;如采用交换机镜像是共享100M方式,由于一些交换机本身的缺陷,采用镜像后会导致交换机阻塞现象的可能,因此网络带宽会大约损失40%

    3.由于是免费接口只提供总线抓包功能,所以不支持集群环境也不支持任何内网监控功能;

    4.由于是高层协议借口同时未提供适合监控的加密压缩数据库;所以不支持即时大规模数据存储,不适合大用户网络;不包含千M、无线网;如需支持多 VLANVPN应采用镜像技术,需额外投资支持双向镜像技术的交换机并正确设置和维护;

    5.由于提供的接口都是通用的有限代码,缺乏良好的可控性,所以很多功能无法实现;

     

    本文主要选定了WinPcap来进行网络监听的实施主体。然后详细介绍了其的工作结构与原理,总结了用其进行数据捕获的步骤与方法。以上只是建立完善办公楼局域网设施的基础,要完成完全的信息化道路,仍旧有很长的路需要走。随着计算机之间资源共享的日益频繁,多媒体,数字娱乐技术的发展,人们对局域网的需求也会进一步的提升。



    [关闭本页]
  关键词:  
首页 |  局域网监控软件使用说明 |  局域网管理软件用户问答 |  网络管理软件典型案例 |  百络网警用户论坛
Copyright © 2013-2016 NETBAI.COM 上海百络信息技术有限公司 版权所有 E-MAIL:netbai999@126.com
监控软件-征信网认证 监控软件-网警网络110 沪ICP备14015905号-1
监控软件-公安部检测报告 监控软件-360认证 监控软件-瑞星认证 监控软件-金山云安全中心网站安全检测 监控软件-江民安全认证 监控软件-卡巴斯基检测通过 监控软件-小红伞安全认证