網(wǎng)絡數(shù)據(jù)包的截取及解析

翟佩超

（運城幼兒師范高等專科學校，山西 運城 044000）

當前我們已經(jīng)進入了以計算機網(wǎng)絡技術(shù)為基礎的信息化時代。通過不同的通信介質(zhì)，把不同廠家、不同操作系統(tǒng)的計算機以及相關(guān)設備連接在一起，打破時間和空間的界限，共享軟硬件資源和進行信息傳輸。通信協(xié)議可以保證高層協(xié)議與應用之間的互連、互通與資源共享。同時，在Internet安全隱患中扮演雙刃劍重要角色的Sniffer受到越來越大的關(guān)注。

一、可行性分析

基于以太網(wǎng)絡嗅探的Sniffer只能抓取一個物理網(wǎng)段內(nèi)的包，監(jiān)聽的目標中間不能有路由或其他屏蔽廣播包的設備。由于以太網(wǎng)是一個廣播型的網(wǎng)絡，被監(jiān)聽的可能性較高，主要在使用以太網(wǎng)協(xié)議的局域網(wǎng)實驗環(huán)境下實現(xiàn)。大多數(shù)網(wǎng)卡是支持混雜模式的，將網(wǎng)卡設置在混雜模式下，主要利用軟件嗅探器Sniffer和Ethereal（為輔助軟件）就能捕獲網(wǎng)絡上的數(shù)據(jù)包并對其進行分析。應用軟件為：Sniffer和Serv-U。

1.理論依據(jù)

以太網(wǎng)是基于載波監(jiān)聽多路訪問/沖突檢測（CSMA/CD）協(xié)議建立的。該協(xié)議定義了用以太網(wǎng)進行訪問的方法。每個工作站進行傳輸?shù)臋C會相等，沒有任何一個具有優(yōu)先權(quán)。當不止一個工作站同時傳輸時，就會發(fā)生沖突。而當交叉電纜連接兩個工作站或者一個設備附屬于一個交換機端口時，工作站就可以進入全雙工的工作模式。這種模式運行電腦同時進行傳輸與接受，提高了性能，但是該實驗如果在全雙工模式下進行，要借助于Sniffer提高到一個硬件設備Pod，無疑提高了實驗的誤差性，故而在半雙工情況下進行實驗。

一個網(wǎng)絡分析程序（Sniffer）就是一個故障檢測的工具，可以用來發(fā)現(xiàn)并解決網(wǎng)絡交流問題，規(guī)劃網(wǎng)絡容量，并進行網(wǎng)絡優(yōu)化。Sniffer可以捕獲所有通過的網(wǎng)絡流量，并把它們翻譯出來進行解碼，還可以翻譯正在使用的不同的協(xié)議。解碼后的數(shù)據(jù)以一種容易理解的格式顯示。Sniffer還可以只捕獲用戶定義的數(shù)據(jù)類型，這就使網(wǎng)絡管理員可以僅僅捕獲與當前網(wǎng)絡問題相關(guān)的數(shù)據(jù)。

Sniffer通常提供下述能力：

（1）捕獲并解碼網(wǎng)絡上的數(shù)據(jù)；

（2）生成并顯示關(guān)于網(wǎng)絡活動的統(tǒng)計結(jié)果；

（3）進行網(wǎng)絡能力的類型分析。

2.運行環(huán)境

硬件環(huán)境：3臺PC機（處理器IntelPentium 200MHz以上、內(nèi)存128M以上、硬盤2G以上）；1臺路由器；1臺共享型集線器。

軟件環(huán)境：Windows 2003 server操作系統(tǒng)；Server-u；Sniffer4.75；QQ。

二、總體設計與實施

將網(wǎng)卡設置在混雜模式下，利用軟件嗅探器Sniffer和Ethereal（輔助軟件）捕獲網(wǎng)絡上的數(shù)據(jù)包并對其進行分析。

1.搭建實驗平臺

將電腦PC1PC2PC3連接至HUB，并將HUB與一臺路由器相連接，最后連接至Internet。

2.數(shù)據(jù)包截取

數(shù)據(jù)包截取的步驟如下：（1）按照實驗模型圖連接設備。（2）啟動設備并使其穩(wěn)定運行（PC,ROUTER,HUB）。（3）安裝應用軟件（如 Sniffer、Ethereal、Server-u等）。（4）PC訪問互聯(lián)網(wǎng)或相互通信過程中，運行Sniffer軟件并打開截取數(shù)據(jù)包按鈕。（5）截取一段時間后按停止并顯示按鈕。（6）保存截取數(shù)據(jù)以便分析使用。（7）安全退出軟件，關(guān)閉設備，關(guān)閉電源。

三、數(shù)據(jù)分析

1.FTP包內(nèi)容解析

利用嗅探器對FTP傳輸時的數(shù)據(jù)包進行截取，得到FTP用戶名及密碼。

PC3 上裝有 Sniffer，PC1 的 IP 為 222.30.78.4，PC3的IP為222.30.78.67，在PC1上用server-u搭建成FTP服務器，并設置用戶名和密碼都是tjuci,在PC2通過用戶名密碼登錄PC1進行權(quán)限訪問時，PC3截取到的數(shù)據(jù)包。

從截取數(shù)據(jù)包可以清晰地看到，用戶名是tjuci，用戶密碼是tjcci。實驗之所以能夠得到用戶名及密碼，主要因為FTP用戶名和密碼在默認情況下以明文進行傳輸。

另一方面，從數(shù)據(jù)截獲的情況來看，F(xiàn)TP采用TCP傳輸，從第三行到第五行，可以清楚地看出TCP傳輸?shù)娜挝帐謾C制，首先是在連接請求的主機一方（也就是客戶機，這里是FTP客戶端，即PC2,它的IP是222.30.78.67）。由3829＞ftp可以看出，第一次數(shù)據(jù)流是由PC2發(fā)向PC1的請求，即第一次握手，它只有SYN標識，第二次握手是由PC1發(fā)給PC2確認連接，它不僅有SYN還有ACK標識，第三次握手再由PC2發(fā)給PC1，表示開始傳輸。

2.HTTP包內(nèi)容解析

在網(wǎng)絡中應用最為廣泛的就是訪問互聯(lián)網(wǎng)。訪問互聯(lián)網(wǎng)通常用到的協(xié)議是HTTP協(xié)議，瀏覽器通過超文本傳輸協(xié)議(HTTP)將Web服務器上站點的網(wǎng)頁代碼提取出來，并翻譯成漂亮的網(wǎng)頁。對HTTP數(shù)據(jù)包的解析如下：

（1）對Frame項的分析

從選項中可以得到一些相關(guān)信息如下：捕獲的這個數(shù)據(jù)幀是第七個幀；它的大小是608比特；到達時間是2008年11月29日；與捕獲的前一個數(shù)據(jù)幀相差的時間是0.303619秒；與捕獲的第一個數(shù)據(jù)幀相差的時間是0.687199秒；使用的協(xié)議有TCP、ETH、HTTP；HTTP使用的協(xié)議端口號是80。

（2）Ethernet選項分析

從選項中基本看到如下信息：發(fā)送源端口的物理（MAC）地址是 00：0f：e2：82：1d：27；接收端口的物理地址是 00：13：e8：74：07：77。從內(nèi)容信息中不難理解，它的作用是保證數(shù)據(jù)包在以太網(wǎng)中的正確傳輸，以太網(wǎng)中的數(shù)據(jù)包傳輸主要通過ARP協(xié)議將IP轉(zhuǎn)換成MAC，靠MAC地址來識別主機。

（3）IP選項的數(shù)據(jù)分析

從選項中可以看到的信息如下：IP協(xié)議是第四版本；IP包頭的長度是20比特；IP包的總長度是594比特；源地址IP是65.55.128.52；目的端 IP是222.30.78.67。從展開項提供的信息可以看出，網(wǎng)絡層依靠對IP包頭的解析來保證數(shù)據(jù)包在網(wǎng)絡層的正確路由，主要靠目的IP和源IP來識別主機。

（4）TCP選項的詳細解析

從選項中可以看到如下信息：HTTP使用端口80；目的端口2751；其余為TCP的標志控制位。從展開的項可以看到，TCP對傳輸?shù)目刂浦饕褂玫亩丝谑?0，其余控制位保證了可靠的傳輸。

（5）HTTP選項的標識部分解析

從選項中可以看到：數(shù)據(jù)接收時間是2008年11月29日；服務是由微軟IIS6.0組件提供的；網(wǎng)頁是用ASP.NET編寫的；網(wǎng)頁內(nèi)容類型是文本格式，因為HTML就是文本格式。

（6）HTTP整個數(shù)據(jù)包內(nèi)原始數(shù)據(jù)

從圖中看出，這部分數(shù)據(jù)是經(jīng)過加密的，在傳輸過程中并非使用明文，這樣保證了數(shù)據(jù)的安全性和傳輸?shù)目煽啃浴?/p>

3.IPX包內(nèi)容解析

IPX協(xié)議是一種開放的協(xié)議，對IPX數(shù)據(jù)包的解析如下：

（1）Frame選項的分析得到：截取時間是2008年11月29下午3時；這是第一個數(shù)據(jù)包；包大小是58比特；用到的協(xié)議有ETH、IPX、IP等。

（2）IEEE802.3選項分析得到：目的地址是ff:ff:ff:ff:ff:ff(為廣播地址)；源地址是00:e0:a0:06:58:45。這是物理地址信息，主要負責在以太網(wǎng)中尋找使用IPX的主機。

（3）IPX路由信息協(xié)議分析信息：這是一個IPX請求；路由矢量參數(shù)，65535跳級等。IPX整個數(shù)據(jù)包內(nèi)原始數(shù)據(jù)。這部分數(shù)據(jù)也是采用加密傳輸?shù)模⒎且悦魑某霈F(xiàn)在信道上。

4.IMCP包內(nèi)容的解

由于IP協(xié)議并不是一個可靠的協(xié)議，它不能保證數(shù)據(jù)被可靠送達，因此要由其他的模塊來完成以保證數(shù)據(jù)送達的工作。其中一個重要的模塊就是ICMP(網(wǎng)絡控制報文)協(xié)議。當傳送IP數(shù)據(jù)包發(fā)生錯誤時，如主機不可達、路由不可達等等，ICMP協(xié)議將會把錯誤信息封包，然后傳送回給主機，給主機一個處理錯誤的機會。這也就是為什么說建立在IP層以上的協(xié)議是可能做到安全的原因。PC3上裝有Sniffer嗅探軟件，當PC3向PC1發(fā)出PING命令的同時開始截包，完成IMPC協(xié)議下的網(wǎng)絡數(shù)據(jù)包捕獲。

四、數(shù)據(jù)包截取解析的擴展和防范

Sniffer Pro是網(wǎng)絡應用中的一把雙刃劍，既能竊取數(shù)據(jù)，又能為網(wǎng)絡運營做出統(tǒng)計和維護。在實際應用中，網(wǎng)絡管理員可以利用高級網(wǎng)絡分析程序提供的分析能力，這種特性允許網(wǎng)絡管理員查看上千個數(shù)據(jù)包，然后發(fā)現(xiàn)問題。網(wǎng)絡分析程序還可以提供這些問題出現(xiàn)的可能原因，以及如何解決問題的線索。Sniffer Pro是用于高級分組檢錯的工具。它可以提供分組獲取和譯碼的功能，也可以提供圖形，以確切地指出在你的網(wǎng)絡中哪里正出現(xiàn)嚴重的業(yè)務擁塞。

另一方面，在網(wǎng)絡應用中最普遍的安全威脅來自內(nèi)部，同時這些威脅通常都是致命的，其破壞性遠大于外部威脅。其中網(wǎng)絡嗅探器對于安全防護一般的網(wǎng)絡來說，操作簡單的同時威脅巨大，很多黑客也使用嗅探器進行網(wǎng)絡入侵的滲透。網(wǎng)絡嗅探器對信息安全的威脅來自其被動性和非干擾性，使得網(wǎng)絡嗅探具有很強的隱蔽性，往往讓網(wǎng)絡信息泄密變得不容易被發(fā)現(xiàn)。但是，嗅探器與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端輸入的鍵值，而嗅探器捕獲的則是真實的網(wǎng)絡報文，威脅程度遠遠高于鍵盤捕獲程序。

[1]趙新輝,李祥.捕獲網(wǎng)絡數(shù)據(jù)包的方法[M].北京：清華大學出版社，2004.

[2]高嗣呂,姚青.基于網(wǎng)絡入侵檢測的網(wǎng)絡安全監(jiān)測系統(tǒng)的設計[M].北京：機械工業(yè)出版社，2006.

[3]Cui Yun，Zhu Da ming.A 1.752ApproximationAlgorithms for Unsigned Translocation Distance[J].ISAAC,2005，（17）:397-401.