基于winpcap的以太网数据分析系统

基于winpcap的以太网数据分析系统

随着网络技术的快速发展，网络规模的不断扩大，异构性和复杂性的不断提高，网络用户的数量急剧增加。在这种情况下，我们面临着如何提高网络的服务质量，优化现有的网络资源，为网络用户提供更安全、更可靠、更高效的使用环境，改善流量控制和管理体系等问题。本文利用WinPcap实现对网络底层数据包的捕获,对以太网帧净载荷的十六进制数据分析。并给出网络协议分析系统的设计与实现方法。1检测系统的构成本系统开发WinPcap(windowspacketcapture)是由意大利人FulvioRisso和LorisDegioanni提出并实现的。WinPcap是集成于Windows操作系统的设备驱动程序,它可以从网卡捕获或者发送底层原始数据,同时能够过滤并且存储数据包。它工作于驱动(Driver)层,能以很高的效率进行底层网络操作。WinPcap的体系结构如图1所示,它包括3个部分。第一个模块NPF(NetgroupPacketFilter)是一个虚拟设备驱动程序文件。功能是过滤数据包。第二个模块packet.dll执行如获取适配器名称、动态驱动器加载以及获得主机掩码及以太网冲突次数等低级操作。调用Packet.dll的程序可以运行在不同版本的Windows平台上,而无需重新编译。第三个模块Wpcap.dll提供了一组功能强大的函数,利用这些函数,可以不去关心适配器和操作系统的类型。2苯二通网的本质是信息捕获系统以太网(Ethernet)具有共享介质的特征,当网络适配器设置为监听模式(混杂模式,Promiscuous)时,由于采用以太网广播信道争用的方式,使得监听系统与正常通信的网络能够并联连接,并可以捕获任何一个在同一冲突域上传输的数据包。使得各个站点可以获得其他站点发送的数据。运用这一原理使信息捕获系统能够拦截的我们所要的信息,这是捕获数据包的物理基础。以太网是一种总线型的网络,总线的特点是:当一台计算机发送数据时,总线上所有计算机都能检测到这个数据。从逻辑上来看以太网是由一条总线和多个连接在总线上的站点所组成各个站点采用上面提到的CSMA/CD协议进行信道的争用和共享。每个站点通过网卡来实现这种功能。一般网卡具有以下4种工作模式:广播模式、多播模式、直播模式和混杂模式。网卡设置成混杂模式时,它将接收到的所有帧不作任何判断直接交给上层处理程序。基于这个原理来捕获网络中所有的数据包,实现网络监测和流量分析的。3系统的设计和实现3.1显示设计模块1)捕获数据模块,是设计本程序的关键,它主要包括:捕获、过滤及保存功能。2)显示设计模块,主要包括:接收数据包的显示、对各类数据包的统计显示、对数据包协议分析的显示功能。3)分析数据模块,主要包括:对以太网的数据帧分层数据分析和对以太网帧净载荷的十六进制数据分析功能。3.2科学添加两种功能调用Packet.dll和Wpcap.dll中提供的API函数。WinPcap库函数如下:1)pcap-findalledvs()函数,实现获取系统中所有网络适配器列表的功能;2)pcap-open-live()函数,实现把选择的网卡设置为混杂模式以捕获网络数据的功能;3)pcap-setbuff()函数,实现设置内核缓冲区的功能;4)pcap-complice()、pcap-setfilter()函数,实现编译和设置过滤规则的功能;5)pcap-loop()函数,实现循环捕获网络数据包;6)由packet-handler()回调函数,实现解析数据包的功能;7)pcap-close()函数,实现关闭WinPcap句柄的功能。3.3系统总体架构明确应用程序和WinPcap结构之间的关系,合理地利用WinPcap,捕获性能可以得到显著提高。本系统从以下3方面提高数据包的捕获性能:1)采用多线程的方法,主线程主要任务:选择网络接口、设置分析过滤器、分析捕获数据包。2)设置过滤规则,将所需要分析的数据包发送给协议分析模块,这样就提高系统的处理速度,提高捕获性能,节省系统的开销。3)读写缓冲的方法。缓冲区的大小直接影响数据的捕获能力,WinPcap的内核缓冲区默认值是1MB,每次系统调用中能从内核复制到用户区的最大数据量256kB。如果缓冲区较小,在一段时间内中,当系统读取数据的速度低于驱动的捕获速度时就会出现丢包。所以WinPcap在运行时可以对内核级的缓冲和用户级的缓冲进行合理的更改。本文简述了WinPcap内部结构及实现原理等知识,并详细分析提高捕获性能方法。本系统选择WindowsXP作系统平台,利用VisualC++开发,在设计过程中考虑到数据包捕获性能的问题,极大的降低了丢包率,对系统整体进行优化。设计新颖之处在于对数据链路层捕获的数据包进行细致分析(即对以太网帧净载荷的十六进制数据分析)。将捕获的数据包按照各层网络协议格式对数据进行分析,并解析数据信息的实际意义。通过对数据内容的分析,了解数据包的安全性,对研究利用目前比较流行的以太网的缺陷、入侵检测技术的缺陷:不能识别未知病毒、杀毒能力弱和TCP/IP协议服务的特征来截获并篡改网络中的IP数据报报头和TCP段,以及网络攻击以拒绝服务攻击居多,而拒绝服务攻击大多数都与TCP相关,因此,可