Wireshark在空管信息化网络管理与运维中的应用.doc

Wireshark 在空管信息化网络管理和运维中的应用栾春伟(民航吉林空管分局技术保障部 长春 130039)摘要：介绍了在民航空管部门各种信息化系统（生产运行和行政管理）的设计、管理、运行和维护过程中，如何利用Wireshark有效提高对计算机通信网络和信息化（自动化）系统的掌控能力。本文通过两个实例演示Wireshark的用途，一个是捕获和分析网页邮箱用户的登录密码，另一个是捕获和分析Selex空管二次雷达数据。关键词：空管；计算机通信；自动化；Wireshark；雷达数据 中图分类号：TP393 文献识别码：AApplication of Wireshark in air traffic controls information network management , operation and maintenance LUAN CHUN WEI(Ji Lin air traffic control sub-bureau, ChangChun 130039, China)Abstract: The article shows how to use Wireshark which is a network protocols and data packets analyzer, to enhance the abilities to design, manage and maintain computer communication networks and information or automation systems for air traffic control, including information systems for both air traffic operation and administration. By showing two cases, the article demonstrates the function of Wireshark, one example is to capture and analyze the login password to a web mailbox, the other is to capture and analyze ASTERIX, a data format using by Selex secondary RADAR for air traffic management.Key words: Air Traffic Control(ATM); Computer Communications; Automation; Wireshark; Radar Data0. 引言计算机通信网络和各种信息化（自动化）系统，是现代空中交通管理工作的重要基础设施，在民航空管系统的生产运行和行政管理中有着广泛而重要的应用。例如，空管自动化系统（ATC）、民航自动转报系统、飞行计划处理、统一放行系统、雷达数据引接网络、气象自动观测系统等信息化系统，都是保障空中交通指挥工作安全、高效运行的重要基础设施；办公自动化系统（OA）、财务信息化系统、人事信息化系统、资产管理系统、执照管理系统、电视电话会议系统等，是现代空管部门在实施行政管理过程中，提高工作效率和质量的有效手段。这些不同专业的业务系统，其本质都是信息化（自动化）技术在具体专业领域中的应用。在技术结构上，自动化业务系统都应该符合ISO/OSI七层网络结构模型，或者TCP/IP四层网络模型。即，信息化系统都是在计算机操作系统（如windows、Linux、UNIX等）、各种通信协议（如HDLC、FR、PPP、ATM、SDH、Ethernet、TCP/IP等），以及中间件（如oracle、SQL server等数据库）等的控制之下协同工作。对于大规模信息化网络来说，能够准确定位故障、自动隔离故障、实时监控网络性能和提高专线资源利用率，是保障业务应用能够安全、可靠和高效运行的关键。例如，在空中交通管制自动化系统（ATC）中，各雷达探测到的航空器目标信息，需要经过通信网络传输，才能送到指定的空管自动化系统，以及管制席位的屏幕上，帮助管制部门实时、准确地掌控空域内航空器的位置和空中交通状态。但是，传输雷达数据的通信网络在运行过程中，可能会遇到通信质量下降和安全问题。如果存在物理线路窜拢过大、广播风暴、意外环路、端口瓶颈、蠕虫病毒、路由器等设备的CPU资源占用率过高、网络参数配置不合理、网络流量不合理等问题，就会产生延时过大、丢包率过高等通信质量问题，严重时将影响雷达数据的传输和管制业务的正常运行。如果雷达数据在传输过程中有网络黑客侵入，被黑客伪造或篡改，导致管制员屏幕上显示航空器假目标或真目标被隐藏等，就可能引发安全风险。为此，利用Wireshark等通信网络协议和数据分析工具，可以有效提高技术人员对通信网络和自动化系统的掌控能力，提高空管部门的整体保障水平。1. Wireshark 简介Wireshark是一款开源的网络数据探嗅和协议分析软件，其主要功能是捕获在网络上传输的数据包（报文），并对捕获到数据包进行分析，可支持对数百种网络协议进行深入分析。Wirshark类似于网络中的黑匣子，对网络运行状况进行记录，为技术人员提供网络事件分析依据和手段，但不会处理网络事务，它帮助技术人员用事实和数据说话，而不是根据网络故障表面现象进行推测和怀疑。Wireshark不是入侵检测系统（IDS），不会对异常网络行为发出警告。网络探嗅的基本原理是，在一个冲突域内，处于混杂模式的网络接口可以接收到所有经过该接口的数据流，不论这些数据流的目的地址是否为该接口。在交换式网络中，需要在交换机上配置镜像端口之后，才能对该交换机上的其它端口进行监听。Wireshark是把双刃剑，既可以用于分析网络故障，评估网络性能、检测网络安全隐患、测试和学习网络协议等，也可以用于截获网络用户的电子邮件密码、捕获网络（有线和无线）传输数据、监视用户网络行为等。进行网络探嗅，一般需要事先经过主管部门批准，但也有些系统出厂时，厂商已经在监控终端上预安装了wireshark用于系统调试和分析，例如selex空管二次雷达系统。2. 用于网络安全管理对于保障空管关键业务的重要网络系统来说，其网络系统自身的安全极其重要。一但有黑客成功侵入网络，就可能引起机密信息泄露、业务数据被伪造、业务流程被篡改、业务服务被中断，甚至整个业务系统被黑客接管等严重问题。在网络安全管理中，Wireshark可以用于安全审计和取证。在网络安全管理工作中，规范各类网络用户的帐号和登录密码是最基本、最重要工作，尤其是加强对系统管理员和网络维护人员帐号的管理。因帐号管理不当，而引发信息安全问题，时有发生。例如，2008年，有黑客侵入美国花旗银行设在7-Eleven链锁超市内的自动提款机(ATM)网络系统，截取银行客户的帐号和密码(PIN)，窃取了至少200万美元。事后调查表明，技术人员存在违规操作行为，在通过互联网对银行自动提款机进行远程的监控、维修和操作时，在没有对客户PIN码进行严格加密保护的情况下，就将PIN码在提款机与处理交易的计算机之间传输，结果导致黑客截获了已经解密的客户PIN码，然后使用空白银行卡从自动提款机提取客户账户上的现金。信息安全管理部门如何才能确认用户是以安全的方式登录到重要业务系统呢？使用wireshark捕获用户登录的全过程，就可以分析出用户所使用的登录密码，甚至是整个通信过程，是否进行了安全的加密保护。下面以登录新浪免费网页邮箱为例，使用wireshark捕获用户邮箱密码。以此提示用户应使用加密的传输方式登录重要的信息化业务系统。这里演示的原理同样适用于多种空管业务系统，无论是B/S架构（基于浏览器访问的WEB网站）还是C/S架构（安装客户端的应用系统）的业务系统。例如，办公自动化系统（OA）、财务系统、人事系统、电子值班，以及大多数生产运行系统等。用户登录网页邮箱系统的基本过程是：首先，在邮箱登录页面上填写用户名和密码，按“确认”按钮向系统提交填写的信息。然后，登录页面将用户所提交的邮箱用户名和密码作为表单数据，使用HTTP协议的POST1方法向Web服务器进行提交，如果经过邮件系统的验证，认为提交的用户名和密码正确，那么用户就可以进入到相应的电子邮箱。Wireshark可以捕捉并记录用户登录邮件系统的全过程。如果邮箱密码没有经过加密处理，那么wireshark将捕获到邮箱密码的明文，也就是用户输入的邮箱密码的原文，利用捕获到的密码可以进入用户的电子邮箱。如果用户对密码进行了加密处理，即勾选了新浪邮箱网页上的“安全登录”选项。那么wireshark所捕获到将是对邮箱密码进行加密处理后形成的密文，是不能被人直接读懂的乱码，密文需要经过破译后，才能被还原成邮箱密码的明文，才能用来登录邮箱。本例中，邮箱用户名为metroplex007,密码为melonboy，图一为登录邮箱过程截图，图二为捕获和解析用户名和密码过程截图。图一：新浪邮箱登录界面图二：wirshark捕获登录邮箱用户名和密码图二表明，如果以“POST”作为过滤条件，在wirshark捕获到的数据中进行查找，就可以找出用户登录网页邮箱系统的全过程，并从数据包中分析出未经加密的邮箱密码。3 用于空管信息化网络的运行维护在空管信息化网络的运行、维护和优化等工作中，Wireshark可以作为重要的分析工具。例如，在Selex二次空管雷达数据的引接业务中，通过Wireshark捕获和分析网络中所传输的雷达数据，可以确认雷达数据的完好性，比对不同厂商在雷达数据格式上的差异性，以及监视雷达数据传输网络运行状态等。下面，首先对雷达数据的交换标准做一些基本了解。3.1ASTERIX标准目前，雷达系统是民航业保障飞行安全和提高航班正常率的重要技术手段。根据一、二次航管雷达探测到的航空器目标，管制员能够实时掌握雷达覆盖空域内航空器的精确位置、速度和航向等信息，大幅减小航空器间隔，提升飞行冲突调配能力，提高空域和机场资源利用率。根据气象雷达的监测预警，民航部门可以有效应对中、小尺度灾害性天气，如绕航雷雨区域等。将位于不同地理位置的多个雷达联网，可以共享雷达信息、扩大监视范围、减少监视盲区、提高目标探测准确度、多重覆盖监视空域。在雷达网络中，存在着采用不同制式、产自不同厂商的雷达。为了使这些雷达之间能够交换监视数据，Eurocontrol定义了欧洲空管多用途结构化雷达监视信息交换标准ASTERIX (All Purpose Structured Eurocontrol Surveillance Information Exchange)。中国民航在ASTERIX基础上，制定了行业标准空管雷达及管制中心设施间协调移交数据规范（MH4008-2000）。ASTERIX标准对应于OSI（Open System Interconnect）7层网络模型中的第6和第7层，对于第1层至5层没做定义。也就是说，对ASTERIX协议数据的传输工作，可由实现了OSI网络参考模型5层以下功能的任何网络技术承担，无论是广域网技术，还是局域网技术；也无论是有线网络技术，还是无线网络技术。3.2捕获和分析雷达数据如果要解决雷达数据传输网络中的初级问题，例如网络联通性、延时大小、数据包出错率等，可使用空管自动化系统（ATC）或雷达系统自身配置的网络监控模块，以及使用UNIX或windows等操作系统自带的诊断工具，如ping、tracert、netstat或pathping等。但是如果要判断雷达头是否产生了正确格式的雷达数据，追踪雷达数据在传输过程中是否被伪造、篡改和丢失，雷达数据包在经过哪个网络设备后开始出错等深层次问题，就需要使用wireshark等网络分析工具来解决，例如在数据源头、传输链路及中间设备，以及数据接收端等不同位置，捕获雷达数据包后，再进行分析对比。Wireshark可以捕获计算机网络传输的任何类型数据，但是要分析空管雷达数据，还需要有对ASTERIX协议进行解码的软件。由于ASTERIX是民航雷达专用数据交换标准，在网络应用中不常见，所以Wireshark自身并不提供对ASTERIX数据的解码，Selex公司也没有向用户提供。因此这里使用法国民航大学ENAC（Ecole National daviation civile）免费提供的ASTERIX plug-in for Wireshark，对ASTERIX数据解码。Wireshark在网络中的部署位置，应视网络分析的具体目标而定，部署位置不同，所捕获的网络数据不同。就如同公路交通状况监控设备，放置的地段不同，所摄录的图像就不同。图三为常见的空管雷达网络拓扑示意图，实际拓扑可能会更复杂些，有很多的冗余传输链路和安全措施。图四和图五为Wireshark捕获到的雷达数据传输过程，并对雷达数据进行了解析。本地雷达运营商专线pulses分析网络运行状况的计算机（安装带有asterix解码器的 wireshark）各种雷达信息处理系统，如航管自动化系统（ATC）航管雷达终端屏幕局部截图异地雷达卫星卫星链路SDH 图三、雷达数据传输网图四：雷达数据传输截图a图五、雷达数据传输截图b对图四分析如下：Protocols in frame:eth:ip:udp:asterix 数据帧中的协议依次为：二层以太、三层IP、四层UPD、高层asterix。在以太网中，采用UDP报文传输雷达数据，而非中国民航标准MH4008-2000中推荐的HDLC。Ethernet II, Src: EmersonN_2c:ea:24 (00:01:af:2c:ea:24), Dst: Broadcast (ff:ff:ff:ff:ff:ff)-数据链路层的源MAC地址和目标地址。此目标地址为广播地址，即任何接入到网络中的计算机设备都可以接收雷达数据。Internet Protocol, Src: 9 (9), Dst: 55 (55)-源地址，目标地址，用UDP广播发送雷达数据User Datagram Protocol, Src Port: 15009 (15009), Dst Port: boks_servm (6502)-UPD报文源端口为15009，目的端口为6502。对图五分析如下：ASTERIX Protocol- ASTERIX协议BLOC Cat 1-本数据块类型为001类CATEGORIE ASTERIX: Monoradar Target Reports (1)-单脉冲雷达目标报告（1）ENREGISTREMENT : 1-记录1FSPEC Asterix: 0x0000ffc4- FSPEC说明随后的记录中包含哪些数据项System Area Code: 1-雷达源区域代码SAC，由国际民航组织分配的国家和地区码System Identification code: Unknown (1)- 雷达数据源标识代码SIC，是由国家民航局空管局分配的雷达站、雷达数据处理服务器代码Target Report Descriptor: 0xa1-目标报告描述Track number: 279-航迹号279Position in Polar Coordinates: 0x5514c750 rho= 85.00 NM, theta= 280.00 deg-极坐标系位置：极径 85.00海里,极角280.00度，以雷达自身天线为坐标圆点。Position in Cartesian Coordinates: 0xd62b079a X= 428.00 NM, Y= 15.00 NM -直角坐标系位置：X= 428.00 NM, Y= 15.00 NM，以雷达自身天线为坐标圆点。Calculated Track Velocity in Polar Representation: Ground speed= 444.40 kt, Heading= 29.68 deg-在极坐标系中计算的轨迹速度：地速444.40 节，航向29.68 度. 1010 0000 0011 = M