網絡數據包的抓取與識別

虞凌霄

【摘要】 首先對網絡數據包的特點以及其中所用的技術進行分析和研究，之后對珠寶軟件的識別機制進行了了探討，介紹了數據包被網卡接收后是如何經過過濾到達協議分析應用軟件。

【關鍵字】 網絡數據包 抓取 識別

可以將網卡設置為混雜模式而捕獲網段上的全部數據包的技術我們稱之為數據包的捕獲技術，我們將能夠實現數據包捕獲功能的工具成為嗅包器。網絡底層的數據包捕獲能夠通過下面的方法實現：一是使用以太網的廣播特性實現；另外可以通過設置路由器監聽端實現。

一、網絡數據包的抓取

抓取模塊主要包括對圖片、視頻以及文本的抓取，抓取的子模塊在本質上是屬于數據抓取模塊，數據抓取模塊一般分為下面幾個部分：（1）數據識別部分，主要對數據進行檢查，判斷是否為要抓取的數據。（2）數據抓取部分，該部分為最重要的部分。（3）數據分析部分，這樣是對數據包頭的分析，通過簡單的數據分析后可以進入下一部分。（4）數據入庫操作部分，將抓取的數據以及分析得到的數據都放在數據庫中，對數據進行分類存放，將這些數據進行分類存放，通過分類存儲對數據分析以及融合。

數據間數據通信時使用不同的數據通信包來進行通信的，在數據包的抓取以及分析的基礎上能夠實現多個數據之間的數據通信以及數據共享。使用數據通信以及數據共享進行數據分析，能夠到到多種數據融合之后的數據，通過各個數據集合進行數據的合成和轉換。數據之間的不同要求進行數據存儲，在此過程中對數據進行分類操作，將非結構以及結構化的數據進行分類存儲，通過數據觀察和識別對數據模塊進行處理。

項目中數據庫的設計是按照確定表和確定實體的細化行為、關系以及制定規則、約定的技術流程的實施。數據庫中使用SQL Server2008，確定表的設計要遵循以文件類型作為分類的原則進行分類，相同文件的要素放到一張表例，例如TCP數據、數據要素表、視頻數據表和圖片要素表等等。

二、數據包的識別

現在比較流行的網絡數據包一般是基于服務器/客戶端模式，依據網絡的按原因是因為現在大家都經常使用Internet，在網絡層使用IP協議，在傳輸層利用TCP作為為上一層提供面向連接的可靠服務，通過對網絡數據包以及抓包軟件的抓包機制、網絡數據包端口的特性以及數據包的包長的試驗以及研究，可以識別網絡的數據包，并且能夠確定其是何種數據包是一種非常可行的方法。

當我們需要判別某個網絡的接口是否有該種數據包時，一般需要通過一下幾步：（1）按照該網絡數據包的端口號來過濾數據。（2）將過濾到的數據按數據流分開，這里所指的數據流是指IP五元組相同的一組數據，也就是目的IP、源IP、目的端口號、源端口號以及傳輸層協議類型相同的一系列的數據包。（3）分析各個數據流的包場分布，如果流的99%以上的包長都是40-159字節，再將此流的各個數據包按照時間來排序，測試每個包的時間間隔，如果時間間隔小于1s，在在第二步許多流中找與該流對應的反向流。（4）如果找到反向流按照時間進行排序然后觀察各個數據包之間的時間間隔是否大于等于1s。（5）將反向流與正向流合并，可判別正反向流對應的數據報是否是交替出現的。如果上面的條件都判斷符合標準，我們能夠確定這兩個正反向流是網絡數據包的。

三、總結

通過研究發現，網絡數據包可以通過利用抓包軟件的編輯接口，從而能夠開發出相對應的軟件識別來通過各個網絡的接口數據流有哪幾種數據包，我們能夠將數據包的端口存儲于一個鏈表中。依據以上方法依次驗證所有的端口號。由于大型數據包開發成本較大，現有數據包的數量有限，搜集到所有的數據包的端口號是能夠實現的，這也解決了抓包軟件中的數據包是別的空白。數據包已經被越來越多的人接受，所以數據包市場規模也會繼續擴大，這需要有更多的人投入到數據包中，而且能夠解決數據包普遍存在的外掛問題、掉線問題、私服問題和提高數據包信息的交互性。

參 考 文 獻

[1]李培.網絡數據包的監聽與分析技術研究.煤炭技術，2012，31（2）：456-457

[2]周維，劉芳好，羅宇，談子龍，趙留濤，劉東映.P2P應用特征檢測與識別.計算機應用，2009，29（5）：103-105

[3]魯鵬俊，鐘亦平，張世永.多模匹配問題在IDS中的解決.計算機工程，2005，31（4）： 74-78

[4]陳亮，龔儉，徐選.基于特征串的應用層協議識別.計算機工程與應用，2006，24（7）：64-69

[5]宋田秋，張國權，鄧貴仕.入侵檢測多模式匹配算法.計算機工程，2006，32（5）：4547