基于Linux平台的捕包程序设计

【摘要】 近年来,Internet的快速增长促进了信息技术的飞速发展,它的迅猛成长正在使世界成为一个整体。但随之而来的是数据的完整性与安全性问题。人们一方面要把自己的内部网接入Internet,以便公司成员可以最大可能地利用Internet 上的资源,同时大家都需要把自己的数据有意识地保护起来,以防数泄密及受到外界对内部系统的恶意破坏。而当前能采用的有效措施就是防火墙。防火墙大致可以分为两大类:包过滤防火墙和代理防火墙。其中包过滤技术由于可以与现有的路由器集成,也可以用独立的包过滤软件实现,使用较灵活,应用比较广泛。 本文由此展开,主要介绍linux平台下的包捕获技术。开始文章介绍了一些网络的基本概念，数据包截取需要用到的非常重要的库libcap。在此基础上回顾了当前包过滤技术研究的进展和现状，着重介绍了包过滤的原理、以及优点和缺点。最后介绍了基于debian linux搭建一个包捕获应用程序环境，并实现该程序。 【关键词】 包捕获? libpcap 过滤规则 第一章 绪论 1.1研究的意义 Internet 的迅速发展,为人们提供了发布信息和检索信息的场所,但同时它也带来了信息污染和信息被破坏的危险,网络的安全性问题已成为一个重要研究课题。在Internet 上存在两种安全性问题: ①Internet 服务本身所固有的脆弱性; ②主机配置和访问控制难于实现或过于复杂而产生的安全漏洞。Internet 安全的脆弱性的表现形式主要有Internet蠕虫(Worm) ,身份验证机制的脆弱性,网上传输的信息易窃取及易被欺骗等。其中蠕虫程序与计算机病毒有区别,它是一个独立、完整的程序,本身并不损坏任何文件或窃取信息,但它严重干扰了网络的正常操作,使受感染的计算机处于重负载状态,拒绝其他机器用户的服务请求。而通过破译口令的加密方式和截获传递口令报文的方法,就可以获得该帐户的权限,其身份验证机制的脆弱性由此表现出来。特别是一些TCP 或UDP 服务的身份验证仅仅依赖报文中的IP 地址,管理员不能对某个用户定义访问权限,必须以主机为单位来定义访问权限,该主机上所有用户的权限都一样,这样就容易产生安全问题。当使用Telnet 或FTP 与远程主机相连并进行身份验证时,使用的用户口令以明文的形式在Internet上传输,这样只需监视、截获连接中包含用户名和口令的IP 报文,就很容易获得某台主机的帐户。 E-mail 在网上也是以明文传输,通过监视网上交换的电子邮件可以获得有关某个站点的信息。 Internet的另一个安全性问题主要是由于主机系统的访问控制表很难正确恰当地配置,配置好之后要检查其正确性也很困难,而一旦系统配置有漏洞,就容易为攻击者利用并侵入系统。许多Unix 供应商将系统缺省配置成最大限度的允许访问权限,如果安装之后,管理员不重新配置,就会留下很多安全隐患.目前提高网络安全性主要有两种途径: ①增加所有网络中每台主机的安全性; ②在私有网络和Internet间设置一道防火墙. 防火墙置于私有网络和Internet 之间,对它们之间的通信进行检查、监控及限制,防止外部攻击.Internet 防火墙较普遍地使用包过滤和代理系统两种技术. 其中包过滤技术由于可以与现有的路由器集成,也可以用独立的包过滤软件实现,使用较灵活,应用比较泛。 1.2 相关的研究进展 1、简单的基于地址信息的数据包过滤 基于地址信息的数据包过滤技术作为数据包过滤技术实现的基础，被几乎所有的数据包过滤系统采用。基于地址信息的数据包过滤技术的实现的基本方式是— 在系统运行前根据相应的数据包信息(目前最常用的信息是IP包头部中的报文类型、源端iP地址、目的端IP地址以及TCP/UDP报文头部中TCP/UDP端口号等。)确定相应的过滤规则:系统运行后，根据接收到的数据包头部的分析结果，并将分析得到的结果与相应的过滤规则进行比较;最终系统会根据分析结果与过滤规则的比较结果决定是否让数据包通过。 2.基于状态( Stateful-inspection )的数据包过滤 状态数据包过滤是新型的数据包过滤技术，最初由Check Point公司引入。它的原理是利用TCP协议报文头部中和TCP连接状态有关的信息，监视每一个有效连接的状态，并根据这些信息决定网络数据包是否能够通过。一般来说，状态数据包过滤技术中的状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。基于状态的数据包过滤工作过程一般为:首先截取网络数据包，然后分析这些数据包头部信息，并且将当前数据包及其状态信息和其前一时刻的数据包及其状态信息进行比较，从而得到该数据包的控制信息，来达到保护网络安全的目的。使用基于状态的数据包过滤技术的防火墙和应用网关不同，使用基于状态的数据包过滤技术的防火墙使用用户定义的过滤规则，不依赖预先定义的应用信息，执行效率比应用网关高，而且它不识别特定的应用信息，因此不用对不同的应用信息可以制定不同的应用规则，伸缩性好。 3.基于流的数据包过滤 基于流的数据包过滤是由某些公司首先提出的一种数据包过滤技术，是在基于状态的数据包过滤技术基础上的发展。基于状态的数据包过滤的工作方式是检-测一个个数据包，而基于流的数据包过滤则是把一个个数据包重新整合成数据流，然后再进行过滤检测。 举一个简单的例子来说明:网络用户发出一个邮件，这个邮件就会被分解成一个个数据包传输到网络上的某个地址，这些数据包在传输过程中可能没有严格地按照顺序传输，或者基于底层物理网络的不同而被分成许多分片传输。基于状态的数据包过滤在数据包通过防火墙时，仅仅判断单个碎片能否通过检测，这样做可能会导致一定的安全隐患。防火墙用户如果要检测这个邮件的内容如附件、关键字等部分是否有问题，单纯通过碎片是很难分析出来的。如果采用基于流的数据包过滤，防火墙用户不仪可以检测出这个邮件有无问题，而且还能在阻止该邮件通过的同时不让发送者知道。 1.3 本人的工作 在虚拟机中安装debian linux。在linux环境下使用网络安全开发包libcap开发包捕获应用程序，重点对ip包进行捕获与分析，对其支持的上层协议进行解析。