VC385 局域网的数据包监听及数据分析论文
以下是资料介绍,如需要完整的请充值下载.
1.无需注册登录,支付后按照提示操作即可获取该资料.
2.资料以网页介绍的为准,下载后不会有水印.资料仅供学习参考之用.
密 惠 保
1.无需注册登录,支付后按照提示操作即可获取该资料.
2.资料以网页介绍的为准,下载后不会有水印.资料仅供学习参考之用.
密 惠 保
资料介绍:
2 网络协议
因特网是一个发展非常活跃的领域。在1 9 6 8年,它的早期研究成果开始崭露头角,后来便出现了它的前身A R PA N E T,A R PA N E T为表现因特网特性的试验平台做出了重大贡献,1 9 7 3年,因特网正式面世。从那时起,关于因特网的研究和努力就一直没有间断过,其中大部分努力都是围绕着被称为网络的一个新型赛博空间所需要的标准而进行的。因特网协议及其标准与世界上任何其他事物的结构不同,它总是由一些机构或专业人士中的个人首先提出的。为了了解新的协议是如何出现并最终成为标准的,应该首先熟悉缩写词R F C,即Request for Comment。它的发展变迁过程要追溯到1 9 6 9年,起因是由于因特网的成员过于分散。正如这个词的字面意思所示,这些文档是一些实用文档、方法、测试结果、模型甚至完整的规范。因特网社会的成员可以阅读,也可以把意见反馈给R F C,如果这些想法(或基本原理)被社会接受,就有可能成为标准。在因特网社会中关于R F C的用法(M O)以及如何操作并没有太大的变化。1 9 6 9年,当时只有一个网络,整个社会不超过一百位专业人员;随着因特网的飞速发展,因特网不但需要一个机构来集中和协调这些成果,并且需要制定一个最低要求的准则,至少能在成员之间进行有效的通信并取得相互了解。1 9 7 4年前后,摆在A R PA N E T面前的形势很清晰了,通信联络需要进一步扩展,它需要的不仅是要能容纳成倍增加的通信媒体,而且要了解早已存在于群组中的许多领域的意义。这个领域需要一个管理者。大约在1 9 7 7年,随着作为因特网实验备忘录( I E N)一部分的许多实验的进行,著名的T C P / I P协议获得了发展的动力。没过多久(1 9 8 6年),为了R F C讨论的需要,需要建立一个由工程技术人员组成的、对标准的发展负责的工作机构,以便有效地引导因特网的发展成长,这样,因特网工程工作组
(I N E N G)成立了。今天,因特网工程部( I E T F)和因特网研究部( T RT F)成为对因特网近期工程需求和远期研究目标负责、并担负重任的两个工作组。这两个组织曾直接隶属于国际网络执行委员会(I A B),现在属于因特网协会( 1 9 9 2年成立),这个协会最终也是为因特网技术的发展负责的。
但是,如果你是一个因特网上的常客,可能对缩略词I A B并不满意,的确,在I A B的逐步发展并走向成熟过程中, I A B将它的名字改为“Internet Architecture Board”(由“A c t i v i t i e s”改为“A r c h i t e c t u r e”),因为I A B在因特网发展的运作方面并没起多大作用。谈到R F C标准,那么首先考虑到的应该是RFC 733。如果有关于标准的想法或对因特网有益的新技术,可以把它作为R F C提交给因特网社会。作为I A B成员之一的R F C编辑,决定着R F C的发表,对任一正式文档, R F C都有一种确定的风格和格式。
现今因特网上用到的主要协议有:用户数据报协议(UDP),次要文件传输协议(TFTP),网际协议(IP),因特网控制报文协议( I C M P ),传输控制协议( T C P ),地址转换协议( A R P ),虚终端协议( Te l n e t ),反向地址转换协议( R A R P ),外部网关协议( E G P )版本2,引导协议( B o o t P ),路由信息协议( R I P ),距离向量多播路由协议( D V M R P )。下面对每项协议做一些简单的介绍: 内容来自think58 [资料来源:www.THINK58.com]
网际协议( I P):是广泛用于公司、政府部门和因特网上的网络协议。它支持许多个人、专业以及商业上的应用系统,像电子邮件、数据处理以及图像、声音的传输等。I P是一个无连接的数据报(报文)传输协议。用它来进行网上的寻址、路由选择以及对传输和接收数据报进行控制。每个数据报都包括源地址和目的地址、控制信息以及传向主机层或来自主机层的真实数据。I P数据报是进行网上(包括因特网)传送的基本单位。由于I P是一个无连接协议,所以它不需要定义一个与逻辑网络连接的关联路径。由于信息包是由路由器接收的,因此I P寻址信息常用来确定信息包到达其最终目的地址的最佳路由。这样,尽管I P没有关于数据路径用法的控制,但当一个资源不可用时,它能为数据报重选路由。
用户数据报协议( U D P):为I P提供了一种不可靠、无连接的数据报传输服务。因此,此协议通常应用于面向事务的实用程序,如I P标准“简单网络管理协议(S N M P)”和“次要文件传输协议( T F T P)”。同下一节要讨论的T C P一样,U D P与I P协同工作用来传送报文到目的地址,并提供协议端口以区分运行于单个主机上的软件应用程序。然而,与T C P不同的是, U D P并不保证数据不丢失和不被复制,因此,如果要使数据传输可靠的话,一定要用T C P而不是U D P。 think58好,好think58
传输控制协议(T C P):为I P提供了一种可靠的面向连接的传输层服务。由于它为非同类的计算机系统和网络之间提供了很高的互操作能力, T C P / I P得到了迅速发展,从而使它走出学术理论领域而进入市场。该协议通过使用一个握手方案,提供了一种在主机之间建立、维护和终止逻辑连接的机制。另外, T C P提供了协议端口,从而可以通过每个包含目的端口和源端口号的消息,辨别运行于单一设备上的多道程序。T C P还通过单一的网络连接对字节流、数据流的界定、数据确认、数据再传输以及多路复用的多重连接提供了可靠的传输。
路由信息协议(R I P):是一个距离向量、内部网关协议( I G P),路由器用它来交换路由选择信息,通过R I P向终端站和路由器提供在不同网络进行动态选择最佳路径的信息。
因特网控制报文协议( I C M P):是I P的一部分,其作用是处理错误报文和系统级报文,并将报文发送到纠错网关或主机。它用的是I P的基本支持,看上去好像是一个更高级的协议,但是, I C M P确实是I P不可分割的一部分,且I P的每一部分都必须执行它。控制报文的传送是在这么几种情况下,例如:当数据报不能到达它的目的地时,或当网关转发数据报失败时(一般是由于没有足够的缓冲容量)。
因特网组管理协议( I G M P):定义于RFC 111 2,它的形成是为了使多路访问网络上的主机能够命令具有它们群组成员信息的本地路由器,它是通过主机多播I G M P的主机成员报告来实现的。这些多播路由器侦听到这些信息后能够与其他多播路由器交换群组成员信息,这里允许形成分发树去传递多播数据报。 copyright think58 [资料来源:http://THINK58.com]
边界网关协议版本4(B G P - 4):是一个能使处于不同自治系统中的路由器进行路由信息交换的外部网关协议。B G P - 4还提供了一系列机制以方便C I D R,这是因为它提供了广播一个任意长I P前缀的能力且由此消除了B G P中网络“类”的概念。B G P使用T C P以确保交互式自治系统的信息的传递。仅当拓扑结构发生变化时产生更新信息,且更新信息只包含变化了的那部分信息,这减少了网上的通信量,也降低了为了使路由器间的路由表保持一致所需的开销。
地址转换协议( A R P):是一种从主机因特网地址获得其以太网地址的方法。发方广播一个含有另一个主机因特网地址的A R P数据包,并等待它送回其以太网地址。每个主机都持有一个地址转换高速缓存,以减少延迟和负载。A R P允许因特网地址独立于以太网地址,但只有当所有主机都支持它时才能工作。
反向地址转换协议( R A R P):提供了与前面所述的A R P相反的功能。R A R P映像一硬件地址,也称为M A C地址,到一I P地址。R A R P主要用于无盘节点,当其首次初始化时,用来查找它们的因特网地址,其功能与B O O T P很相似。
简单网络管理协议( S N M P):用于管理I P网络上的节点。在I P安全因素中,某种程度上忽视了网络设备自身的保护。S N M P v 2使得对网络设备的管理方法得到明显加强。但由于略有争议, S N M P的安全特性还有待于进一步完善。注意S N M P v 2最初提出的一些方面的安全性被做成了可选择的,有的在1 9 9 6年3月根据因特网标准从S N M P v 2的描述中清除掉了。现在新的S N M P v 2又有一个实验性安全协议被提出。尽管如此, S N M P仍是一个用于监视和控制I P路由器和连接网络的标准协议。这个面向事务的协议描述了S N M P管理者与代理之间结构化管理信息的传递。驻留于工作站上的S N M P管理者发出查询去收集路由器的状态、配置和执行信息
网络时间协议( N T P):是一个建立在T C P / I P之上的协议,通过在因特网上参考无线电装置、原子时钟以及其他时钟,确保对本地时间的准确记录。此协议能在很长一段时间内使分布式时钟同步在毫秒级。
动态主机配置协议( D H C P):是1 9 9 4年末由M i c r o s o f t在3 . 5版本的N T服务器上所介绍的一个协议。这个协议提供了一种动态分配I P地址到IBM PC的一种方法,前提是这些P C上运行的是Microsoft Wi n d o w s并且处于局域网中。系统管理员分配一个I P地址范围给D H C P,且在L A N上的每一客户P C都配有各自的T C P / I P软件,这些软件的作用是从D H C P服务器请求一个I P地址请求和授权过程使用可控时间段租用的概念。
3 WINSOCK技术与监听原理
3.1 WINSOCK技术概述
Winsock是为上层应用程序提供的一种标准网络接口。上层应用程序不用关心Winsock实现的细节,它为上层应用程序提供透明的服务。
Winsock2是Windows Socket的2.0版本。Winsock2引入的一个新功能就是打破服务提供者的透明,让开发者可以编写自己的服务提供者接口程序,即SPI程序。SPI以动态链接库(DLL)的形式存在,它工作的应用层,为上层API调用提供接口函数。Winsock2是一个接口,不是一个协议。作为接口,它只能发现和利用底层传输协议完成通信。下面对sock进行详细介绍: think58好,好think58 [资料来源:THINK58.com]
SOCK(套接字)
◆先看定义:
typedef unsigned int u_int;
typedef u_int SOCKET;
◆Socket相当于进行网络通信两端的插座,只要对方的Socket和自己的Socket有通信联接,双方就可以发送和接收数据了。
三种常用类型
(1)流式套接字(stream socket)
定义:
#define SOCK_STREAM 1
流式套接字提供了双向、有序的、无重复的以及无记录边界的数据流服务,适合处理大量数据。它是面向联结的,必须建立数据传输链路,同时还必须对传输的数据进行验证,确保数据的准确性。因此,系统开销较大。
(2)数据报套接字(datagram socket)
定义:
#define SOCK_DGRAM 2
数据报套接字也支持双向的数据流,但不保证传输数据的准确性,但保留了记录边界。由于数据报套接字是无联接的,例如广播时的联接,所以并不保证接收端是否正在侦听。数据报套接字传输效率比较高。
(3)原始套接字(raw-protocol interface)
定义:
#define SOCK_RAW 3
原始套接字保存了数据包中的完整IP头,前面两种套接字只能收到用户数据。因此可以通过原始套接字对数据进行分析。
◆Socket开发所必须需要的文件(以WinSock V2.0为例):
头文件:Winsock2.h
库文件:WS2_32.LIB
动态库:W32_32.DLL
一些重要的定义
因特网是一个发展非常活跃的领域。在1 9 6 8年,它的早期研究成果开始崭露头角,后来便出现了它的前身A R PA N E T,A R PA N E T为表现因特网特性的试验平台做出了重大贡献,1 9 7 3年,因特网正式面世。从那时起,关于因特网的研究和努力就一直没有间断过,其中大部分努力都是围绕着被称为网络的一个新型赛博空间所需要的标准而进行的。因特网协议及其标准与世界上任何其他事物的结构不同,它总是由一些机构或专业人士中的个人首先提出的。为了了解新的协议是如何出现并最终成为标准的,应该首先熟悉缩写词R F C,即Request for Comment。它的发展变迁过程要追溯到1 9 6 9年,起因是由于因特网的成员过于分散。正如这个词的字面意思所示,这些文档是一些实用文档、方法、测试结果、模型甚至完整的规范。因特网社会的成员可以阅读,也可以把意见反馈给R F C,如果这些想法(或基本原理)被社会接受,就有可能成为标准。在因特网社会中关于R F C的用法(M O)以及如何操作并没有太大的变化。1 9 6 9年,当时只有一个网络,整个社会不超过一百位专业人员;随着因特网的飞速发展,因特网不但需要一个机构来集中和协调这些成果,并且需要制定一个最低要求的准则,至少能在成员之间进行有效的通信并取得相互了解。1 9 7 4年前后,摆在A R PA N E T面前的形势很清晰了,通信联络需要进一步扩展,它需要的不仅是要能容纳成倍增加的通信媒体,而且要了解早已存在于群组中的许多领域的意义。这个领域需要一个管理者。大约在1 9 7 7年,随着作为因特网实验备忘录( I E N)一部分的许多实验的进行,著名的T C P / I P协议获得了发展的动力。没过多久(1 9 8 6年),为了R F C讨论的需要,需要建立一个由工程技术人员组成的、对标准的发展负责的工作机构,以便有效地引导因特网的发展成长,这样,因特网工程工作组
[来源:http://think58.com]
(I N E N G)成立了。今天,因特网工程部( I E T F)和因特网研究部( T RT F)成为对因特网近期工程需求和远期研究目标负责、并担负重任的两个工作组。这两个组织曾直接隶属于国际网络执行委员会(I A B),现在属于因特网协会( 1 9 9 2年成立),这个协会最终也是为因特网技术的发展负责的。
但是,如果你是一个因特网上的常客,可能对缩略词I A B并不满意,的确,在I A B的逐步发展并走向成熟过程中, I A B将它的名字改为“Internet Architecture Board”(由“A c t i v i t i e s”改为“A r c h i t e c t u r e”),因为I A B在因特网发展的运作方面并没起多大作用。谈到R F C标准,那么首先考虑到的应该是RFC 733。如果有关于标准的想法或对因特网有益的新技术,可以把它作为R F C提交给因特网社会。作为I A B成员之一的R F C编辑,决定着R F C的发表,对任一正式文档, R F C都有一种确定的风格和格式。
现今因特网上用到的主要协议有:用户数据报协议(UDP),次要文件传输协议(TFTP),网际协议(IP),因特网控制报文协议( I C M P ),传输控制协议( T C P ),地址转换协议( A R P ),虚终端协议( Te l n e t ),反向地址转换协议( R A R P ),外部网关协议( E G P )版本2,引导协议( B o o t P ),路由信息协议( R I P ),距离向量多播路由协议( D V M R P )。下面对每项协议做一些简单的介绍: 内容来自think58 [资料来源:www.THINK58.com]
网际协议( I P):是广泛用于公司、政府部门和因特网上的网络协议。它支持许多个人、专业以及商业上的应用系统,像电子邮件、数据处理以及图像、声音的传输等。I P是一个无连接的数据报(报文)传输协议。用它来进行网上的寻址、路由选择以及对传输和接收数据报进行控制。每个数据报都包括源地址和目的地址、控制信息以及传向主机层或来自主机层的真实数据。I P数据报是进行网上(包括因特网)传送的基本单位。由于I P是一个无连接协议,所以它不需要定义一个与逻辑网络连接的关联路径。由于信息包是由路由器接收的,因此I P寻址信息常用来确定信息包到达其最终目的地址的最佳路由。这样,尽管I P没有关于数据路径用法的控制,但当一个资源不可用时,它能为数据报重选路由。
用户数据报协议( U D P):为I P提供了一种不可靠、无连接的数据报传输服务。因此,此协议通常应用于面向事务的实用程序,如I P标准“简单网络管理协议(S N M P)”和“次要文件传输协议( T F T P)”。同下一节要讨论的T C P一样,U D P与I P协同工作用来传送报文到目的地址,并提供协议端口以区分运行于单个主机上的软件应用程序。然而,与T C P不同的是, U D P并不保证数据不丢失和不被复制,因此,如果要使数据传输可靠的话,一定要用T C P而不是U D P。 think58好,好think58
[资料来源:http://www.THINK58.com]
传输控制协议(T C P):为I P提供了一种可靠的面向连接的传输层服务。由于它为非同类的计算机系统和网络之间提供了很高的互操作能力, T C P / I P得到了迅速发展,从而使它走出学术理论领域而进入市场。该协议通过使用一个握手方案,提供了一种在主机之间建立、维护和终止逻辑连接的机制。另外, T C P提供了协议端口,从而可以通过每个包含目的端口和源端口号的消息,辨别运行于单一设备上的多道程序。T C P还通过单一的网络连接对字节流、数据流的界定、数据确认、数据再传输以及多路复用的多重连接提供了可靠的传输。
路由信息协议(R I P):是一个距离向量、内部网关协议( I G P),路由器用它来交换路由选择信息,通过R I P向终端站和路由器提供在不同网络进行动态选择最佳路径的信息。
因特网控制报文协议( I C M P):是I P的一部分,其作用是处理错误报文和系统级报文,并将报文发送到纠错网关或主机。它用的是I P的基本支持,看上去好像是一个更高级的协议,但是, I C M P确实是I P不可分割的一部分,且I P的每一部分都必须执行它。控制报文的传送是在这么几种情况下,例如:当数据报不能到达它的目的地时,或当网关转发数据报失败时(一般是由于没有足够的缓冲容量)。
因特网组管理协议( I G M P):定义于RFC 111 2,它的形成是为了使多路访问网络上的主机能够命令具有它们群组成员信息的本地路由器,它是通过主机多播I G M P的主机成员报告来实现的。这些多播路由器侦听到这些信息后能够与其他多播路由器交换群组成员信息,这里允许形成分发树去传递多播数据报。 copyright think58 [资料来源:http://THINK58.com]
边界网关协议版本4(B G P - 4):是一个能使处于不同自治系统中的路由器进行路由信息交换的外部网关协议。B G P - 4还提供了一系列机制以方便C I D R,这是因为它提供了广播一个任意长I P前缀的能力且由此消除了B G P中网络“类”的概念。B G P使用T C P以确保交互式自治系统的信息的传递。仅当拓扑结构发生变化时产生更新信息,且更新信息只包含变化了的那部分信息,这减少了网上的通信量,也降低了为了使路由器间的路由表保持一致所需的开销。
地址转换协议( A R P):是一种从主机因特网地址获得其以太网地址的方法。发方广播一个含有另一个主机因特网地址的A R P数据包,并等待它送回其以太网地址。每个主机都持有一个地址转换高速缓存,以减少延迟和负载。A R P允许因特网地址独立于以太网地址,但只有当所有主机都支持它时才能工作。
反向地址转换协议( R A R P):提供了与前面所述的A R P相反的功能。R A R P映像一硬件地址,也称为M A C地址,到一I P地址。R A R P主要用于无盘节点,当其首次初始化时,用来查找它们的因特网地址,其功能与B O O T P很相似。
简单网络管理协议( S N M P):用于管理I P网络上的节点。在I P安全因素中,某种程度上忽视了网络设备自身的保护。S N M P v 2使得对网络设备的管理方法得到明显加强。但由于略有争议, S N M P的安全特性还有待于进一步完善。注意S N M P v 2最初提出的一些方面的安全性被做成了可选择的,有的在1 9 9 6年3月根据因特网标准从S N M P v 2的描述中清除掉了。现在新的S N M P v 2又有一个实验性安全协议被提出。尽管如此, S N M P仍是一个用于监视和控制I P路由器和连接网络的标准协议。这个面向事务的协议描述了S N M P管理者与代理之间结构化管理信息的传递。驻留于工作站上的S N M P管理者发出查询去收集路由器的状态、配置和执行信息
copyright think58
[资料来源:http://THINK58.com]
网络时间协议( N T P):是一个建立在T C P / I P之上的协议,通过在因特网上参考无线电装置、原子时钟以及其他时钟,确保对本地时间的准确记录。此协议能在很长一段时间内使分布式时钟同步在毫秒级。
动态主机配置协议( D H C P):是1 9 9 4年末由M i c r o s o f t在3 . 5版本的N T服务器上所介绍的一个协议。这个协议提供了一种动态分配I P地址到IBM PC的一种方法,前提是这些P C上运行的是Microsoft Wi n d o w s并且处于局域网中。系统管理员分配一个I P地址范围给D H C P,且在L A N上的每一客户P C都配有各自的T C P / I P软件,这些软件的作用是从D H C P服务器请求一个I P地址请求和授权过程使用可控时间段租用的概念。
3 WINSOCK技术与监听原理
3.1 WINSOCK技术概述
Winsock是为上层应用程序提供的一种标准网络接口。上层应用程序不用关心Winsock实现的细节,它为上层应用程序提供透明的服务。
Winsock2是Windows Socket的2.0版本。Winsock2引入的一个新功能就是打破服务提供者的透明,让开发者可以编写自己的服务提供者接口程序,即SPI程序。SPI以动态链接库(DLL)的形式存在,它工作的应用层,为上层API调用提供接口函数。Winsock2是一个接口,不是一个协议。作为接口,它只能发现和利用底层传输协议完成通信。下面对sock进行详细介绍: think58好,好think58 [资料来源:THINK58.com]
SOCK(套接字)
◆先看定义:
typedef unsigned int u_int;
typedef u_int SOCKET;
◆Socket相当于进行网络通信两端的插座,只要对方的Socket和自己的Socket有通信联接,双方就可以发送和接收数据了。
三种常用类型
(1)流式套接字(stream socket)
定义:
#define SOCK_STREAM 1
流式套接字提供了双向、有序的、无重复的以及无记录边界的数据流服务,适合处理大量数据。它是面向联结的,必须建立数据传输链路,同时还必须对传输的数据进行验证,确保数据的准确性。因此,系统开销较大。
(2)数据报套接字(datagram socket)
定义:
#define SOCK_DGRAM 2
数据报套接字也支持双向的数据流,但不保证传输数据的准确性,但保留了记录边界。由于数据报套接字是无联接的,例如广播时的联接,所以并不保证接收端是否正在侦听。数据报套接字传输效率比较高。
(3)原始套接字(raw-protocol interface)
定义:
#define SOCK_RAW 3
原始套接字保存了数据包中的完整IP头,前面两种套接字只能收到用户数据。因此可以通过原始套接字对数据进行分析。
◆Socket开发所必须需要的文件(以WinSock V2.0为例):
头文件:Winsock2.h
库文件:WS2_32.LIB
[资料来源:http://think58.com]
动态库:W32_32.DLL
一些重要的定义