（信号与信息处理专业论文）基于协议分析的网络信息还原及挖掘.pdf

基于协议分析的网络信息还原及挖掘 作者简介：彭祚鹏，男，1 9 8 0 年7 月出生，2 0 0 5 年9 月师从于成都理工大学李 灿平副教授，于2 0 0 8 年6 月获硕士学位。 摘要 随着i n t e r n e t 的迅速发展，网络技术和信息技术也得以广泛的应用与发展。 据中国互联网络信息中心( c n n i c ) 发布的“第二十次中国互联网络发展状况统 计报告 显示，截至2 0 0 7 年6 月，中国网民人数已经达到1 6 2 亿，仅次于美 国2 1 1 亿的网民规模，位居世界第二。比2 0 0 6 年年末新增了2 5 0 0 万网民， 与2 0 0 6 年同期相比，网民数一年内增加了3 9 0 0 万人。与2 0 0 6 年中相比，主 要基础资源呈爆炸式增长。其中，i p 地址增长率接近4 0 ，域名数增长率达到 2 1 1 ，网站增长率达到6 6 ，国际出口带宽增长率达到4 6 ，中国网民的网络环 境进一步改善。 无论对于政府、企业，还是普通网民，网络信息都已经是一个重要的信息 来源。通过基于网络信息流的协议分析，可以用它来研究网络的运行状况和信息 监控。 本文首先介绍了网络的基本结构，并结合笔者在网络信息捕获和还原方面 的实际实习工作经验，详细分析了基于l i n u x 平台的网络信息截获技术，协议分 析技术等；给出了网络数据监听的工作原理，并对数据包的捕获机制和过滤机制 进行了一定的分析。然后，采用基于l i b p c a p 函数库的方案进行数据监听的实现， 并针对不同的应用层协议，分别针对h t t p 、m s n 和y m s g 协议中传送的数据，进 行协议分析，并对网络信息流进行提取有用的信息，还原成标准格式的数据，并 存入数据库。 接下来，针对网络信息的极其丰富，数据量特别巨大的特点，本文引进了 数据挖掘的方法，数据挖掘就是从大量的数据中挖掘出有用的信息。它是根据 人们的特定要求，从浩如烟海的数据中找出所需的信息来，供人们的特定需求使 用。本文介绍了数据挖掘理论，及其相关的概念，并对数据挖掘算法做了一定的 研究。最后，利用关联规则挖掘对协议分析的数据进行处理。 关键词：数据挖掘网络协议 成都理工大学硕士学位论文 i n 蜀d r m a 耋i o 鼗耋r o mn e 参w o r kp a c k e t sb a s e do 珏p r o t o c o l a n a l v s i sa n dd a t am i n i n ga n a 量v s l sa n dl j a t a l n l n g i n t r o d u c t i o no fa u t h o r ：p e n g z u o p e n g ，m a l e ，b o mi n7o fl9 8 0 ，w a sg r a n t e dt h e r n a s t e r 舳mc h e n g d uu n i v e r s i t y0 ft e c h n o l o g y 、h o s et u t o rw a sp r o f 色s s o rl i c a n p i n g a b s t r a c t w h i l ei n t e m e ti ss p r e a dr a p i d ly ，i n f o n n a t i o nt e c h n o l o g ya n dn e 似o r ka r ew i d e 娃s e d 嚣l e 辩弦难纳趱c 斟l c ，程a 撒e d 髓l e2 文hs 珏e yo 曩d 。v e l o p 趣e 程l 糠c h i 珏e s e i n t e m e t ，d i s p l a y st h a tt h en u m b e ro fn e t i z e ni nc h i n ah a db e e n16 2 ，0 0 0 ，0 0 0b yj u n e 醴2 7 1 1w a s 饿es e c o n di nl h ew o r l d ，l e s sl h a ni na 搬e r i e a 漱w 量l i e h h e f ew e 聪 2 1 1 ，0 0 0 ，0 0 0n e t i z e n 1 tw a s2 5 ，0 0 0 ，0 0 0m o r ct h a nd e c e m b e ro f2 0 0 6 1 tw e r e3 9 0 0 m o r et h a no n ey e a ra g o t 1 1 ef o u n d a t i o n a lr e s o u r c e sa r ei n c r e a s e df 缸t t h en u m b e ro f i pa d d r e s si si n c r c a s e d4 0 。l h en u m b e fo fd o m a 汤n a m ei si 霸c r e a s e d2 l l ，l h e n u m b e ro fw e b s i t ei si n c r e a s e d6 6 ，a n dt h eb a n d w i d t hj si n c r e a s e d5 6 i n t e m e t p 妁v i d e d 建b e t e fs e i c el h 鑫娃b e 两玷。 i n f o r m a t i o nf m mi n t e m e ti sa ni m p o r t a n ta p p r o a c ht og a i n i n gk n o w l e d g e 1 n f o 鼬a l i o nf f o mn e 姆o f kp a c k e l sb a s e d0 1 1p 羚l o la n a l y s i se 赫f i n dl h es l a u so f n e t w o r ka n ds n i f ft h ec o n t e n to fn e t w o r k p r o t o c o l s 弧i sp a p e rb e g i n sw i t ht h es t n l c t u r eo fn e t w o r k t h e n ，a c c o r d i n gt ot h ew r i t e r s p r a c l i c ei 旌an e t w o 像s e c t l 西t yc o h l p a n y ，i ta n a l y s e st h es n i 蠢j n gl e c h n o l o g yo n 矗珏u x o s ，p r o t o c o la n a l y s i st e c h n o l o g ya n ds oo n t h ep a p e ri n t r o d u c e s t h et h e o r yo f s 狂i 舔鑫g | e 曲爨o l o g y ，能p l 疆羚o fp a c l 【。sa 稳db s pp a 呔e l 琰l l e a 巍锘l h a l ，i l 磐v e s 躲 a p p r o a c ho fs n i f f j n gb yl i b p c a p ，p a c k e tc a p t u r el i b r a r y w ec o n s t r u et h ef u n c t i o na n d s h o wh o 、vl od e c o d e h ep a c k e 撼。 b e c a u s et h e r ea r eal o to fd a t a ，t h i sp a p e r 舀v e sam e t h o d ，w h i c hi sd a t am i n i n g a t 1 a s t ，t h i sp a p e rd e s c r i b e ss o m ec o n c e p t s ，t h et h e o r ya n da l g o r j t h m s0 fd a t am i n j n g w b d e a lw i t 纛n e t w o l i kd a l ab y 翔e a 玎so fa s s o c i a t i o 稚l 屯l ei nd a l am i n i n g x e y w o 确s ：d a t a 糯i 娃主n g l n l e r n e p 内t o c o l i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得盛都理工太堂或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：夥 柞觞 伽前年j ，月形日 学位论文版权使用授权书 本学位论文作者完全了解盛都堡工太堂有关保留、使用学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和 借阅。本人授权盛都理王盔堂可以将学位论文的全部或部分内容编入有关数 据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： 学位论文作者导师签 s ，月彳 目 第1 章引言 第1 章引言 1 1网络发展现状和信息安全 近年来，i n t e r n e t 的迅速发展，网络技术和信息技术也得以广泛的应用与 发展。i n t e r n e t 早已从最初学术科研网络变成了一个拥有众多的商业用户、政 府部门、机构团体和个人的综合的计算机信息网络。在发展规模上，目前i n t e r n e t 已经是世界上规模最大、发展最快的计算机互连网。 与此同时，信息科技也得以飞速发展，我们正在步入信息社会的过程中，或 者可以称之为网络社会。网络传播已渗入到我们生活的方方面面，对我们的社会、 我们的生活、我们的价值观念甚至思维方式都产生了强烈的冲击。对网络的依赖 也越来越多，利用网络传播来获取所需要信息也已是当代人的必备技能。 网络与信息安全是关系到国家安全的一个重要课题，涉及社会政治、经济、 文化各个领域。当我国在加速信息化建设的同时，随之而来的安全问题也愈发严 重。 网络数据监听是伴随着网络的发展而产生的，是网络入侵的核心技术，也是 网络安全协议技术研究的核心技术。监听技术最初是提供给系统管理员用的，主 要是对网络的状态、信息流动和信息内容等进行监视，相应的工具被称为网络分 析仪。在几乎所有的i d s ( 入侵检测系统) 中，最基本的要求就是能够实现网络监 听与过滤，所有的部分( 安全策略、防护、检测、响应) 都建立在此基础上，可 以帮助网络管理员查找和解决网络故障，为防火墙和入侵检测系统构建基础。但 是，网络监听和过滤也成了黑客使用最多的技术，主要用于监视他人的网络状态、 攻击网络协议、窃取敏感信息等目的。技术通常是把双刃剑，网络数据监听既是 黑客窃取网络信息的重要手段，也是对网络信息进行监控，保障国家信息安全和 控制犯罪的重要方法。 在以太网中，数据的传输会采用广播方式，因此，在某个广播域中可以监听 到所有的信息包。而黑客通过对信息包进行分析，就能获取局域网上传输的一些 重要信息。事实上，很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤 和手段，原因是想用这种方法获取其想要的密码等信息。但另一方面，我们对黑 客入侵活动和其它网络犯罪进行侦查、取证时，也可以使用网络监听技术来获取 必要的信息。因此，了解以太网监听技术的原理、实现方法和防范措施就显得尤 为重要。 网络通信的基础是协议，捕获到特定的数据包后，就可以进行协议分析了。 成都理工火学硕士学位论文 根据疆p 至p 协议层次的概念，对数据包的分析是从链路层开始的，然后分析嬲 络层协议，然后分析传输层协议，最后分析应用层协议。这样一层一层的分析， 就可以把整个数据包的协议都分析出来。对应用层进行协议分析是按照应用层的 工作原理、协议规范，还原获得应用层的内容。 1 2 数据挖掘现状 随着数据痒技术的迅速发展以及数据库管理系统的广泛应用，人们积累的数 据越来越多。激增的数据背后隐藏着许多重要的信息，人们希望能够对其进行更 高层次的分析，以便更好地利用这整数据。逡前的数据库系统可以高效地实现数 据的录入、查询、统计等功能，但无法发现数据中存在的关系和规则，无法根据 现有的数据预测未来的发展趋势。缺乏挖掘数据背后隐藏的知识的手段，导致了 “数据爆炸但知识贫乏”的现象。 从1 9 8 9 年8 月在美国底特律召开的第1 1 届国际人工智能会议上首先出现 l ( 1 ( n o w 】r e d g e i s e o v e r yi n 融乞曲a s e ，数据库中的知识发现) 这个术语，弓l 起了国际人工智能和数据库等领域专家的广泛关注；到1 9 9 5 年在加拿大蒙特利 尔首届l d e v i c e ， 1 5 1 8 ， l ， 1 0 0 0 ， e r r b u f ) ) = = n u l l ) p r i n t f ( ”p c a p o p e n li v e ：s n ”， e r r b u f ) ： e x i t ( 0 ) ： e l s e i f ( p d = p e a p o p e n o f f l i n e( c o n i n f o r m a t i o n e a p f i l e n a 翔e ， e r r b u f ) ) = = n 馨l 己) p r i n t f ( ”p c a p o p e n o f f li n e ：s n ”， e r r b u f ) ： e x i t ( o ) ： f o r ( ：) r e t = o ： p a c k e t = p c a p n e x t ( p d ，b h ) ： 术g e tn e x tp a c k e t 术 i f ( r u l e f l a g ) i f ( c o n n e c t i n p u t r u l e ( e o n a l l p t ，( u i n t 8 一t 术) r u l e d a t a ) = = 0 ) p r i n t f ( ”规则下发成功n ”) ： f r e e ( r 疆l e d a 之a ) ： r u l e f l a g = o ： i f ( p a c k e t = 然n u l l ) c o n t i n u e ： ) c o n n e e t l l l & in ( e 。n 一氇l 圭一p t ，( 醛in t 8 一t 零) p a e k e t ，r e p o r 乞b u f f e r b y p a s s ) ： p c a p c l o s e ( p d ) ： 1 8 第4 章数据截获和协议分析的实现 4 3i c q 即时信息的获取 至圈是”is e e k ￥o u ”的谐音，是以色列麓i r 曲i l i s 公司1 9 9 6 年开发邀的一 种即时讯息传输软件，可以即时传送文字信息、语音信息、聊天和发送文件，并 让使震者侦测出他朋友的联赝状态。悉且它还具有很强的”一体化”功能，可以将 寻呼机、手机、电子邮件等多种通信方式集于身。 4 3 1i c q 工作模式 当i c q 雇动时，客户溃尝试通过端鼹4 0 0 0 用l 阴登录疑童r a b i l i si c 铲s e r v e r ( 服务器) ，在此过程中，客户端首先把自己的i p 地址，为i c q 保留的t c p 连接 端口，用户密码和用户联系列表发送给服务器。当登录成功后，客户端将自己的 网络状态和关于用户联系列表中联系入状态的请求发送给服务器。服务器会把可 户端的信息存储在服务器上。如果有关于该客户信息请求，则把此服务器上的信 息耀嚣d p 方式发送给请求该信息的客户端。 客户端之间的联系，包括聊天和文件传输等，是通过客户端之间的t c p 连接 完成的，他们相互的王p 地址和t c p 端团号等信息都是通过服务器交换的。 整个工作模式如图4 2 所示： u d p 4 3 2i c q 数据分析 u d p 图4 2i c q 工作模式 在程序设计中，首先需要确定一个链接是否是i c q 数据链，可以根据一个链 接中的数据包的应用层信息是否包含的一些特征信息来判断，从而决定是否监视 这个链接。如果监视这个链接，则把这个链接孛酶所有数据包继续给l c q 协议分 析模块做进一步处理。 1 9 成都理工大学硕士学位论文 下巍的代码展示了对网络数据包进行处理，并转换成一定规范的蠹容，体现 了对网络信息还原的过程。 i n t 3 2 一tg e t c o n t e n t ( u i n t 8 一t 枣 u in t 8 一t 术p t r = n u l l ： u in t 8 一t ，i cp t r e n d = n u l l ： u i n t 8 一t t a l k f l a g 4 ：t 毽一i 弱t 8 一乞t a l k f l a g e n 蠢 9 i n t 3 2 一to u t l e n g = o ： t a l k f la g 0 = 0 x 6 6 ： 省略 i n b u f ，u i n t 8 一t 堆o u t b u f ，i n t 3 2 一ti n l e n g ) h eb e g i n n i n go ft h et a l k i n gc o n t e n t ：l 魏oe n do f 专b et a l k i n ge o 瓣乞e n t p p l = m e m m e m ( p t r ，lo n g o f f 矗乙k ，f la g l ，2 ) ； p p 2 = m e m m e m ( p t r ，1o n g o f t a l k ，f la 9 2 ，2 ) ： p p c h in e s e = m e m m e m ( p t r ，l o n g o f t a l k ，f l a g c h ，2 ) ： p = p 专r + 4 ； w h il e ( p pl = p t r e n d ) i f ( ( p p ! = p p l ) ( p p ! = p p 2 ) ( p p ! = p p c h i n e s e ) ( 术p p ! = 0 x 5 c ) ) o u t b u f 】e n g o f c o n t e n t = 术p p ： l e n g o f c o n t e n t + + ： p p + + ： i f ( ( 爿c p p = = o x 5 c ) & ( p p ! = p p l ) ( p p ! = p p 2 ) ( p p ! = p p c h i n e s e ) ) i f ( 拳( p p 十1 ) ! = o x 5 c ) o u t b u f 1 e n g o f e o n t e n t = o x 2 0 ： l e n g o f e o n t e n t 十+ ： u i n t 8 一t 爿p p m i d = p p ； w h i 王i e ( ( p p ! = p p l ) & ( p p ! = p p 2 ) ( p p ! = p 一c h i n e s e ) & ( p p ! = p 匕r e n d ) ) i f ( ( p p 0 = = 0 x 5 c ) ( p p 1 = = 0 x 7 0 ) ( p p 2 = = 0 x 6 1 ) ( p p 3 = = 0 x 7 2 ) & & ( p p 4 = = o x d ) ( p p 5 = = 0 x a ) ) f i n d p a r 换行标迎 o u t b u f 王e n g o f c o n t e n t 然o x 2 0 ： 1 e n g o f c o n t e n t 十+ ： p p + = 4 ： b r e a k ： i f ( ( p p o = = o x 5 e ) ( p p 1 = = o x ? 4 ) ( p p 2 = = o x 6 1 ) & ( p 1 ) 3 = = o x 6 2 ) ) o u t b u f 1 e n g o f c o n t e n t 拦0 x 2 0 ： le n g o f c o n t e nt 十+ ： p p + = 4 ： b r e a k ： ) p p 十+ ： 2 0 ) if ( p p = = p t r e n d ) b r e a k ： i f ( p p = = p p l ) p p = p p l + 3 ： le n g t h = p t r e n d p p ： p p l 2 m e m m e m ( p p ，l e n g t h ，f l a 9 1 ，2 ) ： j if ( p p = = p p 2 ) p p = p p 2 + 3 ： le n g t h = p t r e n d p p ： p p 2 = m e m m e m ( p p ，l e n g t h ，f l a 9 2 ，2 ) ： j if ( p p = = p p c hin e s e ) if ( p p p t r e n d 一8 ) b r e a k ： i f ( ( p p 4 = = 0 x 5 c ) ( p p 5 = = 0 x 2 7 ) ) i f ( p p 2 = 0 x 6 1 ) q u t j u 1 e n g o f c o n t e n t = ( p p 2 一o x 6 1 + o x a ) 木1 6 ： i f ( p p 3 = o x 6 1 ) o u t b u f 1 e n g o f c o n t e n t + = p p 3 一0 x 6 1 + 0 x a ： 1 e n g o f c o n t e n t + + ： i f ( p p 6 = 0 x 6 1 ) 9 u t j u 1 e n g o f c o n t e n t = ( p p 6 一o x 6 1 + o x a ) 木1 6 ： i f ( p p 7 = 0 x 6 1 ) o u t b u f 1 e n g o f c o n t e n t + = p p 7 一0 x 6 1 + 0 x a ： l e n g o f c o n t e n t + + ： p p + = 8 ： 1e n g t h = p t r e n d p p ： p p c h i n e s e 2 m e m m e m ( p p ，l e n g t h ，f l a g c h ，2 ) ： j e l s e o u t b u f 1 e n g o f c o n t e n t = 0 x 2 0 ： 1e n g o f c o n t e n t + + ： p p + = 4 ： 1 e n g t h = p t r e n d p p ： p p c h i n e s e 2 m e m m e m ( p p ，1 e n g t h ，f l a g c h ，2 ) ： j ) ) i f ( 木( p p + 1 ) = = 0 x 5 c ) o u t b u f 1 e n g o f c o n t e n t = 0 x 5 c ： l e n g o f c o n t e n t + + ： 2 1 成都理工大学硕士学位论文 p p + = 2 ： ) i f ( p p 。= p p l ) p p + = 3 ： le n g t h = p t r e n d p p ： p p l = 嚣e 毽耀e 拜l ( p p ，王e 瓣g 专魏，f l a g l ，2 ) ： if ( p p = = p p 2 ) p p + = 3 ： ie n g th = p t r e n d p p ： p p 2 = m e m m e m ( p p ，le n g t h ，f l a 9 2 ，2 ) ： if ( p p = = p p e li 魏e s e ) if ( p p p t r e n d 一8 ) b r e a k ： i f ( ( p p 4 】= = 0 x 5 e ) ( p p 5 = = 0 x 2 7 ) ) i f ( p p 2 = o x 6 1 ) 1 ，o 岖b u f 1 e n g o f c o n t e n t = ( p p 2 卜o x 6 l + o x a ) 木1 6 ： i f ( p p 3 = o x 6 1 ) o u t b u f 1 e n g o f c o n t e n t + = p p 3 一0 x 6 1 + 0 x a ； 1 e n g o f c o n t e n t 十+ ： i f ( p p 【6 = 0 x 6 1 ) ，o u j 趋p f 1 e n g o f e o n t e n t = ( p p 6 _ o x 6 l + o x a ) ：l c l 6 ； i f ( p p ? = 0 x 6 1 ) o u t b u f 1 e n g o f e o n t e n t + = p p 7 - o x 6 l + o x a ： le n g o f e o n t e n t 十十： p p + ：8 ： le n g t h = p t r e n d p p ： 、 p 1 ) 一e h i n e s e 2 掰e l l l 氇e 臻( p p ，l e n g t h ，l a g e h ，2 ) ： e i s e o 珏专b 疆f 1 e 强g o o 魏专e n 之 = 0 x 2 0 ： le n g o f c o n t e n t 十+ ： p p + = 4 ： l e n g t h = p t r e n d p p ： p p e 魏i n e s e = 璜e 辩瓣e 毽( p p ，l e 羹g t h ，f 王a g e h ，2 ) ； o u t b u f 1 e n g o f c o n t e n t = 0 ： le n g o f c o n t e n t + + ： r e t u r n 】o n g o f e o n t e n t ； 第4 章数据截获和协议分析的实现 4 4 m s n 即时信息的获取 m s n ，指的是m s nm e s s e n g e r ，是微软公司推出的即时消息软件，目前在国内 已经拥有了大量的用户群。使用m s nm e s s e n g e r 可以与他人进行文字聊天，语音 对话，视频会议等即时交流，还可以通过此软件来查看联系人是否联机。 4 4 1m s n 登陆方式 派遣服务器( d i s p a t c hs e r v e r ，简称d s 服务器) 。这是客户端最初连接的服 务器，负责给客户端分配合适的通知服务器。域名是m e s s e n g e r h o t 瑚a i l c o m ， 标准服务端口是1 8 6 3 。完成派遣任务后，切断t c p 连接。 通知服务器( n o t i f i c a t i o ns e r v e r ，简称n s 服务器) 。通知服务器的目的主 要就是保留用户的在线信息，还有其他用户所关心的重要人员的信息。包括登录、 改变状态、获取用户列表、修改用户信息、发起聊天、接受呼叫、邮件通知、退 出等等。通知服务器同样也提供其他通知服务，如h o t m a i l 的新邮件提示和创建 或者加入会话等。服务端口由派遣服务器指定，通常也是1 8 6 3 。 接线服务器( s w it c h b o a r ds e r v e r ，简称s s 服务器) 。这里保存了各人员的 即时会话信息，换句话说，每个m s n 中的用户对应连接到一个共享交换板的会话 中。因此，这里也可以看作客户端之间聊天使用的中转服务器。每开一个聊天窗 口，客户端和服务器就建立一个t c p 会话。当客户端之间需要进行文件传输或语 音聊天时，发送系统消息，建立“点对点 会话通道( 可能转为使用u d p ) ，服务 端口通常也是1 8 6 3 。“点对点”通信使用的端口由客户端自动协商决定，如文件 传输通常使用6 8 9 1 端口。 登录模式如图4 3 所示， 图4 3m s n 登录示意图 成都理工大学硕士学位论文 4 4 2m s n 协议命令 客户端与服务器闻信息是以命令格式传递的，命令是三个大写字母的命令代 号。一般命令有个事务i d 并且以新行结束，客户端发送的命令一般会使服务 器响应个及以上的命令。这些命令是纯a s c i i 码，同时对非a s c i i 码字符使用 u r 乙编码。命令的语法如下： 命令 t r i d p a r a m l p a r a m 2 命令是一个3 大写字符的命令串，黏王d 是一个流水号，默 i 蠢麓x 是参数， 内的参数是可选的， 是回车换行。 部分命令的含义，可以参考表4 一! ： 命令来源去向 c h gc l i e n tn s n sc l i e n t c h ln sc h e n l s sc l i e n t c v rc l i e n l n s a i e n s s n sc l 薹c 姒 s sa i e n t l n fc l i e n ln s a i e n ts s n sc l i e n l s sa i e n t m s gc l i e n ts s n sc l i e n t s sc l i e n t s y nc l i e n tn s n sc l i e n t u r lc l i e n t n s 表4 1 部分m s n 命令 说明 发出改变状态的请求。 返皤改变状态的成答。 服务器发出验证要求。 发出客户端的0 s 、语言、m s nm e s s e n g e r 版本等信 意。对学害方客户端来说，敝务器会响痉黧汉瘸产 使用的客户端版本信息。 返| 口| 推荐鲢m s nm e s s e 驾甜舨零、势级软伴翥要的 下载地址等信憨。 询闽服务器所支持豹认证方式。 返| 口| 服务器所支持的认证方式。 发送消息到其他用户( 聊天对象) 。 传递服务器( 系统) 的消息捌客户端。 传递j 他用户( 聊- 天对象) 的消息到客户端。 客户端服务器旧步。 发f 获取m s n 服务u r l 的请求。 n sc l i e n t返回获取u r l 请求的戍答。 第4 章数据截获和协议分析的实现 u s ra l la 1 1 v e rc l i e n td s c 1 i e n tn s d sc 1 i e n t n sc l i e n l 声明、传递、鉴别用户身份。 协商m s nm e s s e n g e r 协议版本。 x f rd s c 1 i e n t 向客户端分配n s ( 通知客户端转向连接指定的n s ) 。 c l i e n tn s n sc l i e n t 4 4 3m s n 数据分析 发；f _ ；分配s s 的请求。 返同分配s s 请求的心答。 如图4 4 所示，为s n if f e r 在网络上截获的一个m s n 通讯包。 0 0 0 0 0 0 2 0 0 0 0 0 0 0 3 0 0 0 0 0 0 0 4 0 0 0 0 0 0 0 5 0 0 0 0 0 0 0 6 0 0 0 0 0 0 0 7 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 9 0 0 0 0 0 0 0 a 0 0 0 0 0 0 0 b 0 0 0 0 0 0 0 c 0 0 0 0 0 0 0 d 0 缓戮獭 4 d4 52 d 0 a4 3 6 f 6 s 7 8 7 4 6 5 7 43 d 4 94 d 2 d 3 5 2 5 4 1 3 b2 04 5 3 8 3 63 b 3 1 3 10 d o 。囊缀1 0n1 46m 工m e v e r s i o n 10c o n t e n t t y p e ：t e x t p 上a l n ， c h a r s e t = u t f 一8 x m m s i m f o r m a t f n = z e 5 z a e 幺8 b 幺e 4 幺b d 幺9 3 ：e f = ，c 0 = 0 ：c s = 8 6 ：p f = 0 1 1 1 1 1 1t e s t 1 簦鳜i i 图4 4m s n 即时信息包 m s g 是消息的命令，后面是m l m e 的版本号，接着是连接类型c ( ) n t e n t t y p e ： t e x t p l a jn ，表示文本的传输，然后是编码格式c h a r s e t = u t f 一8 ，表示信息是经 过u t f8 编码过的，最后是携带的信息，即“11 11 11 t e s t ”，其中包括中 文“发送”的u t ? 一8 编码“e 58 f9 1e 9 8 08 1 ”。 在程序设计巾，首先需要确定一个链接是否是m s n 数据链，可以根据一个链 接巾的数据包的应用层信息足否包含的些特征信息( 如m s n 的命令) 来判断， 从而决定是甭监视这个链接。如果监视这个链接，则把这个链接中的所有数据包 继续给m s n 协议分析模块做进一一步处理。这些消息携带的内容足有m s n 命令决定 的，如表4 1 ，再根据需要把这些消息巾的信息提取出来。 l j in t 3 2 tm s n d e c o d e ( ) j if ( c o m p a r e = = m s g ) i f ( p t r 2 = s t r s t r ( d a t a ，l e x t p l a i n ：，) ) 1 e 4 b a a 4 d a a 3 6 5 3 0 3 3 3 0 0 0 f d e d 4 5 f d d 2 6 2 6 0 7 4 4 0 0 e 9 4 9 8 1 5 3 0 4 4 6 7 6 3 6 2 4 3 7 0 3 e l d d 2 0 d 3 2 7 6 6 2 6 4 2 3 7 0 2 5 c 6 2 8 b 6 5 3 7 6 6 4 7 3 3 4 6 1 5 4 0 4 f 5 d 0 4 3 6 7 7 5 6 2 3 5 7 0 6 e f 5 6 5 6 0 a 2 5 6 2 5 4 4 4 2 0 9 d 4 3 d 5 3 d 1 1 4 0 7 7 2 4 3 3 3 8 d 0 0 2 3 5 9 3 1 0 4 3 2 7 5 2 3 5 3 8 a e a 1 d d 5 3 1 9 0 2 3 6 4 3 2 4 3 e d l 5 8 d e 4 0 1 1 0 3 6 6 4 4 4 2 3 9 6 0 0 3 d 6 2 b a f 3 2 7 6 2 4 4 3 0 8 4 a 9 0 8 0 5 0 d 5 3 3 7 2 5 2 2 3 0 e 成都理工人学硕士学位论文 u in t 3 2 一td is t a n c e = p t r 2 一( c h a r 宰) d a t a ； e h a r 零m s g s 乞o r e 6 ； i n ti n i = o ： f o r ( ：i n i = p t r 2 ) l l l s g e o u n t 一一： b r e a k ： d a t a = m s g s t o r e m s g c o u n t ： dis t a n e e = p t r 2 一( e h a r 枣) d a t 氇： m s g c o u n t 十+ ： ) d a t a = m s g s t o r e m s g c o u n t ； 露a t l l e 掩= d a 专a l e 秘一( 璎s g s 专o r e 疆s g e 9 疆秘专 一骥s g s t 。r e 0 ) ： u j n 铬一tm m 2 ： ui n t 3 2t 唧3 = 0 ： u j n t 3 2 一t1 0 n g o f m s g = 0 ： l l l 鑫专e h f l 疆g 0 = 0 x o d ： m a t c n f l a g 1 = o x o a ； m a t c h f l a g 2 = 0 x o d ： m a t c h f l a g 3 = o x o a ： p t r l = 孺e 鞠璜e l l l ( d & t a ，d a 专l 王e 魏，鬻a t e 魏一f 羔a g ，2 ) ： if ( p t r l = = n u l l ) p r i n t f ( ”d o n tf i n dt h e 氆a t e h f l a go fo do a ! ! n ”) ； r e t u r n ： ) ui n t 3 2th 1 0 ： w h i l e ( 1 ) h 1 0 = l ： f o r ( i = o ：i 0 x 7 f f f f f f f ) p r i n t f ( ”1 0 n g o f t a l ki se r r o ! n ”) ： r e t u r n ： ) o u t p u tn o d e 木o u t d u tn o d ei n f 2 ： m s n m o d ule 半m s n p t ： m s np t = ( m s nm o d u l e 术) m o d u l ep t ： o u t p u t n o d e i n f 2 =( o u t p u t n o d e 木) m s n p t 一 m s n a l a r m ： r u l en o d e 术t m pr u l e = n u l l ： ui n t l 6tw1 e n ： i n tr e t ： i n to u t l e n = m a x s i z e ： c h a ro u t b u f m a x s i z e ： i f ( w 一1 e n = l o n g o f t a l k ) c h a r 水p i n = p t r ： c h a r 木p o u t = o u t b u f ： i n ti n l e n = wl e n ： i f ( ( c p t = i c o n v o p e n ( ”g b 2 3 1 2 ”，”u t f 8 ”) ) = = ( i c o n v t ) 一1 ) p r i n t f ( ”i c o n v o p e nf a l s e ：u t f 8 = = g b 2 3 1 2 n ”) ： r e t u r n0 ： if ( ( r e t = i c o n v ( c p t ，p i n ，i n l e n ，p o u t ，o u t l e n ) ) = = 一1 ) p r i n t f ( ”s t o pa t ：s n ”，p i n ) ： ) i c o n v c l o s e ( c p t ) ： o u t l e n = m a x s i z e o u t l e n ： l o n g o f t a l k = o u t le