IP Trap的實現與應用研究

摘 要:IP Trap是用來截獲TCP/IP層數據信息的軟件，可以把連接發起端和終端的數據信息無修改地保存下來供管理者分析。通過對IP Trap技術及網絡互聯協議的學習、總結和研究，采用套接字編程，設計出自己的IP Trap軟件。軟件采用客戶/服務器(C/S)模式，實現了IP地址的動態捕獲，使服務器端能準確地截獲并保存客戶端的相關數據，增強網絡安全分析的可實施性。關鍵詞:套接字; IP地址; 服務器; 協議

中圖分類號:TN915-34文獻標識碼:A

文章編號:1004-373X(2010)16-0091-03

Implementation and Application of IP Trap

FENG Guo-liang

(Xi’an Railway Vocational Technical Institute， Xi’an 710016， China)

Abstract:The computer network with its fast development makes the network security become the focus. IP Trap(IP data interception )as the data source and basis for network security analysis becomes one of the most important research subjects. IP Trap is a kind of software used for intercepting TCP/IP level data message， which may conserve the data message that joint the initiate extremity to the terminal end without mending for administrator to analysis. IP Trap software was designed with socket programming by studying， summarizing and researching IP Trap technique and the network protocol. The software adopts C/S(Client-Server)pattern to capture dynamic IP address，the server can exactly intercept and conserve the data associated to the client， and improve the performance of network security analysis. Keywords: socket; IP address; server; protocol

收稿日期:2010-04-26

計算機網絡的飛速發展，使得網絡安全已成為業內關注的焦點[1]，IP數據截獲(IP Trap)作為網絡安全分析的數據來源和基礎，自然成為研究的重點之一。

網絡中任一結點的身份標識與結點之間的信息交流都要通過IP地址，這使得IP地址成為非常重要的網絡資源，給網絡安全及網絡配置[2-3]帶來極大的影響。盡管現在有不少軟件介紹了如何防止其他人隨意更改IP地址，防止通過 IP地址進行非法攻擊[4]，但是對IP地址的動態活動情況以及數據捕獲和及時分析方面還存在很大差距，這就使IP Trap的研究迫在眉睫。

IP Trap是用來截獲TCP/IP層數據信息的軟件，可以把連接發起端和終端的數據信息無修改地保存下來供分析。通過研究IP Trap，可以從服務器端清楚地統計出網絡用戶的數量，準確地查找出進行安全攻擊的主機地址信息，提高網絡的安全度。

1 相關基礎知識的介紹

1.1 TCP/IP協議的介紹

傳輸控制/網際協議(transfer controln protocol/internet protocol，TCP/IP協議)又稱網絡通信協議，這個協議是Internet國際互聯網絡的基礎。

TCP/IP是網絡中使用的基本的通信協議。雖然從名字上看TCP/IP包括兩個協議，傳輸控制協議(TCP)和網際協議(IP)，但實際上TCP/IP是一組協議，它包括上百個各種功能的協議，如:遠程登錄、文件傳輸和電子郵件等，而TCP協議和IP協議是保證數據完整傳輸的兩個基本的重要協議。通常說TCP/IP是Internet協議族[5]，而不單是TCP和IP，包括TCP，IP，UDP，ICMP，RIP，TELNETFTP，SMTP，ARP，TFTP等許多協議。

1.2 點對點TCP/IP連接

一個運行TCP/IP協議接入因特網的計算機必須擁有一個惟一的IP地址，才能與網上的其他計算機進行網絡通信。實際上，在任何時刻，Internet連接都能由4個要素來描述: 源IP地址、源地址端口號、目的IP地址和目的地址端口號。

(1) 點對點TCP/IP連接的間接實現

由于大多數上網用戶每次上網都自動獲得一個動態IP地址，這就使兩臺計算機之間建立直接、方便的點對點TCP/IP連接存在一定障礙。解決的辦法是通過間接的方式進行連接，即通信雙方同時登錄到某個提供服務的主機上，由該主機建立雙方的間接連接，網絡電話、網絡尋呼、網絡游戲大都使用這一方法。隨著技術的成熟和發展，這種網絡連接服務可以提供諸如網絡會議、多方通話、多方游戲等服務，已經突破了雙機連接的局限。

(2) 點對點TCP/IP連接的直接實現

支持直接TCP/IP連接的軟件很多，例如微軟的網絡電話軟件NetMeeting，惟一的前提就是雙方必須在聯網時相互獲得對方的動態IP地址，或者更簡單地，只要知道被呼叫方的IP地址即可，這類似于知道被叫方的電話號碼即可建立電話聯系。于是關鍵問題就是捕捉和交換各自的動態IP地址，或者捕捉和發布自己的動態IP地址，以等待呼叫進而建立連接。

1.3 動態IP地址的捕捉

有許多方法和工具來實現動態IP地址的捕捉[6-7]，Windows 系統提供了一個IP配置 (WINIPCFG) 實用程序。使用方法是單擊“開始→運行”，在“打開”框中鍵入:winipcfg，出現程序窗口后，可以單擊“詳細信息”進行查看。IP配置實用程序允許用戶或管理員查看當前IP地址和其他與網絡配置有關的有用信息。有關配置信息包括主機名、DNS 服務器、IP地址、網絡掩碼等。可以重置一個或多個IP地址。“釋放”或“更新”按鈕分別釋放或更新一個IP地址。如果希望釋放或更新所有IP地址，可單擊“全部釋放”或“全部更新”。其他工具也可以實現本機IP地址的查詢。

2 軟件的總體設計

2.1 軟件設計思想

本軟件用套接字[8](API)嵌套C語言編程創建客戶服務器連接，使用TCP/IP協議創建一個循環的、面向連接的服務器。

在創建主套接字后，服務器主程序進入一個無限循環。在每次循環中，服務器調用accept從主套接字上獲得下一個請求。為了防止服務器在等待客戶的連接時耗費資源，accept調用將阻塞服務器直到有一個連接到來。當有連接到來時，TCP協議進行三次握手來建立連接，在握手過程完成時，服務器端的主程序已抓獲了來訪的數據包，并對其進行分析，以獲得終端的IP地址，但不給終端任何回應;并且系統為到來的連接分配了一個新的套接字后，accept調用返回新套接字的描述符，并允許服務器繼續執行。如果沒有連接到達，服務器線程就在accept調用處一直阻塞。

2.2 軟件的主要功能

本軟件的主要功能是在服務器端抓獲終端的來訪數據包，并對其進行分析，以提取并記錄下終端數據包的IP地址。

2.3 軟件的設計構架

(1) 設計構架

軟件的設計架構如圖1所示，客戶端(網絡中有很多)在訪問服務器時，發送數據包到服務器，服務器通過截獲數據包，對其分析[9-10]從中獲得客戶端的IP地址，并記錄其IP地址和訪問次數，將數據保存下來供管理員分析。

圖1 網絡物理圖

(2) 軟件數據流向

客戶端發送數據包給服務器端，服務器端截獲數據包將其存儲在數據庫中并對其進行數據分析，以獲得終端的IP地址，數據流向如圖2所示。

圖2 軟件數據流向

3 軟件設計實現

程序用套接字創建客戶/服務器模式，主體用C語言編寫，最后在VC++環境中編譯運行。

3.1 套接字API的簡介

應用層通過傳輸層進行數據通信時，TCP和UDP會遇到同時為多個應用程序進程提供并發服務的問題。多個TCP連接或多個應用程序進程可能需要通過同一個TCP協議端口傳輸數據，為了區別不同的應用程序進程和連接，許多計算機操作系統為應用程序與TCP/IP協議交互提供了稱為套接字(socket)的接口。

區分不同應用程序進程間的網絡通信和連接，主要有3個參數:通信的目的IP地址、使用的傳輸層協議(TCP或UDP)和使用的端口號。socket原意是“插座”。通過將這3個參數結合起來，與一個“插座”socket綁定，應用層就可以和傳輸層通過套接字接口區分來自不同應用程序進程或網絡連接的通信，實現數據傳輸的并發服務。

3.2 程序中使用的套接字調用

圖3說明了使用TCP的客戶端和服務器在各自使用套接字調用時的順序。客戶端創建套接字后調用connnect連接到服務器，然后調用send發送請求，調用recv 接收響應。使用完該連接后，調用closesocket，而服務器調用bind 指定將要使用的本地協議端口，調用 listen 設置隊列的長度，然后進入循環。

在該循環里，服務器調用 accept 等待下一個連接請求，調用 recv和send與客戶交互，最后調用closesocket終止該連接。然后，服務器返回到調用accept處，等待下一個連接。

圖3 使用TCP的客戶端和服務器的

套接字系統調用的使用序列

3.3 客戶端設計及算法實現

構建戶軟件往往比構建服務器軟件容易的多，因為TCP處理了所有的可能性和流量控制問題。TCP客戶程序使用如下算法建立和服務器的連接，并與它進行通信。步驟如下:

(1) 找到要與其通信的服務器IP地址和協議端口號;

(2) 分配套接字;

(3) 指明此連接需要本地機器中的任意的、未使用的協議端口，并允許TCP選擇其中一個;

(4) 將套接字連接到服務器;

(5) 使用應用層協議與服務器通信(這往往包含發送請求和等待響應);

(6) 關閉連接。

3.4 服務器端設計及算法實現

TCP面向連接傳輸的循環服務器算法步驟如下:

(1) 創建套接字，并將其綁定到服務所使用的熟知地址上;

(2) 將套接字設置為被動模式，使其準備為服務器所用;

(3) 從該套接子上接收下一個連接請求，獲取該連接中新的套接字;

(4) 重復地接受客戶的請求，構造應答，按照應用協議向客戶發回響應;

(5) 完成與某個客戶的交互后，關閉連接，回到步驟(3)，以接受新的連接;

4 結 語

本文從網絡互聯協議的介紹開始，通過對網絡安全的分析，以及對IP Trap技術的總結和研究，采用套接字編程，設計了IP Trap算法，實現了IP地址的動態捕獲，使服務器端能準確、高效地截獲并保存客戶端的入侵數據信息，為網絡安全分析提供了有力的支持。

參考文獻

[1]中國互聯網絡消息中心.第18 次中國互聯網絡發展狀況統計報告[ EB/OL ].[2008 - 05 - 11 ].http://www.cnnic.net.cn.

[2]王石.局域網安全與攻防[M].北京:電子工業出版社，2006.

[3]麥克勞爾，措哈.黑客攻擊與防御[M].技橋，譯.北京:清華大學出版社，2004.

[4]IHEAGWARA C， BLYTH A， SINGHAL M. A comparative experimental evaluation study of intrusion detection system performance in a gigabit environment [J].Journal of Computer Security，2003，11(1):1-33.

[5]凌力.網絡協議與網絡安全[M].北京:清華大學出版社，2007.

[6]郭麗蓉，李杰.動態IP地址的捕獲及其應用[J].科技情報開發與經濟，2005，15(2):254-255.

[7]王佰玲，方濱興，云曉春.零拷貝報文捕獲平臺的研究與實現[J].計算機學報，2005，28(1):46-52.

[8]COMER D E， STEVENS D L. TCP/IP網絡互連技術(卷3):客戶-服務器編程與應用(Windows套接字版)[M].北京:清華大學出版社，2004.

[9]陶小梅，羅曉曙，陳元琰，等.IP網絡中的顯式擁塞指示算法研究[J].計算機應用研究，2005(1):55-58 .

[10]張永波，尚大影.MRTG在校園網絡流量監控中的應用[J].科技信息，2007(1):51.