Linux下的简单网络管理控制系统的设计方案与开发设计方案与实现

PAGEＬinｕx下的简洁网络管理掌握系统的设计与开发摘要随着网络的逐步普及，网络的管理和掌握的重要性已经越来越突出，它关系着网络的进一步进展和普及,甚至关系着网络的生存。为了促进网络的进展,在现有的技术条件下，可以开发出成熟的网络掌握系统对网络进行管理和掌握。可以通过对网络的管理和掌握为本地网络和外部网络之间建立一道屏障,从而掌握和管理进出网络的数据。网络管理掌握系统的核心是制定一套完整的网络掌握指令集和设计掌握管理的功能模块.本系统在Liｎux-2．４．２0—８内核下完成网络管理掌握系统的设计,使用掌握管理命令实现对网络数据的管理。掌握和管理模块的设计使用了ｎetｆｉlter数据掌握过滤机制来实现对网络的管理。模块可以实现对固定端口，网页访问以及不同数据协议类型的数据进行管理和掌握.从实际应用中可以得出结论在Ｌinｕx—2。４。20－８的内核下可以成功的使用ｎeｔfilｔｅr网络数据掌握机制过滤和管理进出系统的网络数据。本文首先介绍网络管理掌握系统的一些基本概念以及一些在Linｕx下的C语言编译环境,其次介绍Lｉnuxnｅｔｆｉlｔｅr掌握模块在内核中的实现，在此着重介绍了netfiltｅｒ在IPv４中的结构以及在Linux2.4。x内核中实现,最后介绍了网络数据管理的策略、模块编程以及如何设计网络管理掌握的功能模块。在了解这些技术的基础之上，成功的在Linｕｘ－2.4.２0－8内核下开发出一套简洁的网络管理掌握模块.这些模块通过程序发出的掌握指令进行动态的插入和卸载。这些模块分别实现了对ICMP网络数据,ＨＴＴP站点，ＦTP服务器的管理掌握。关键词:内核模块；数据包；netfiｌｔerＤｅsignandDｅvelopmeｎｔofＳimpleInterｎeｔMaｎaｇemeｎtａndControllingＳystｅmunderLinuxAｂsｔractWitｈtｈeperｍeaｔioｎofＩntｅrneｔ,theiｍporｔaｎceofInｔerneｔｍanagｅmentａｎdｃontｒolliｎgbeｃｏmeｓmoｒeprominｅnt，IｔisｒelａteｄｔotｈeｆurｔhｅｒdｅvelopｍentaｎｄpermeationｅvenｔｈeeｘistenceｏｆIntｅｒnｅt。ＴoｐｒomoｔｅｔhedevelopmentoｆＩnｔｅrnｅt，itｉｓpossibｌeｔodeｖeｌｏpａmatｕｒｅInterｎeｔｃontrolｌingｓｙstemwhichcanbeｍａnageｄaｎdｃｏntrolledｕndｅrｔｈecｕrrenｔtechnicalcondｉtiｏnｓ.ItcaｎbuildanａｔｕrａldefenｓebetweｅniｎtｅrnalandeｘtｅrｎａｌnetｗorkｔhrｏｕghｍanａｇingandcoｎtroｌｌingtｈｅdataofIｎｔerｎet。IｔｉｓtheｃoｒeoｆthissｙstemthatbｕｉldsａｎoveralｌInternｅtcｏnｔroｌｌiｎgagｒeｅmeｎtandreａｌizesthemodelｆuｎctｉonoｆcontrｏlｌｉnｇａndｍａnaｇeｍeｎt。ThｉsｓysteｍreａlｉzｅｓthｅmanaｇemｅntandｃonｔrｏｌｌingofIntｅｒneｔdaｔａｓｕccessｆullｙbydoｉｎgitsｄesｉｇnwｈｏｓemodulｅsmaｉｎlｙbaｓｅｄｏnthedatacontrｏllinｇandfｉlｔerinｇmecｈanismｏｆＮetfｉlter，ｕｎｄerLinux.Themodulｅｓhａvｅsｕｃcesｓｉnｒeａｌｉｚiｎgthedａtamａnagｅmｅnts．Fｒｏｍpracｔｉｃe，ｉｔｃonclｕdｅsthatｄａtａcontrollingmecｈanismｏｆNｅtｆｉltｅrcａnsuccｅedinmａｎagｉｎｇanｄfiltｅｒingtheｗｈoｌeｄatauｎｄｅｒＬiｎｕx．ThisｔhesiｓｉnｔroducessomebasiccoｎｃepｔsｏfMCＳandeｄiｔioｎenvironmenｔofClａｎguageｕnｄerLiｎuｘ,firstｌy。ＴｈｅｎiｔinｔｒodｕｃｅｄreaｌizａtiｏｎoｆcoｎtrolｌingmodｕｌeofLiｎｕｘ，ＮetｆｉlterinＫeｒnel，wｈｉchhｉghｌｉgｈｔthｅstｒｕｃｔureofＮetfｉltｅｒinＩＰv4andrｅalｉzａtionofＬｉｎux。LastｌyitmentiｏｎeｄthesｔrａｔegyofMCSｍoｄuｌesediｔｉoｎandhｏｗｔoｄesigntｈeｆｕｎｃtｉｏｎmｏduｌeｓoｆMCS。ＳoｏｎesiｍpleｍｏｄｕlｅsofMＣSofwhｉｃhdｏinｇｄｙnａmｉｃinserｔionandsｕddｅnｌyunloaｄiｎｇthroughcoｎtｒoｌliｎgaｇｒｅｅｍeｎｔｓeｎtｂypｒogramsiｓdesignedsuccessfｕｌlyｕndｅrLinux，fｏlｌowinｇｔhesｅskills.ＴhｅsｅmodulesａlsoｒeaｌizethemａｎａｇementａndｃｏｎtｒoｌlinｇoｆIＣMPｄaｔa，HＴTPｗebsitesanｄFTＰServeｒs,respeｃtivｅly．Ｋeyｗordｓ:KernｅlModule；Paｃket；Neｔfilｔｅrﻩ目录论文总页数：29页TOＣ\o”1—3"\ｈ\ｚ\uHYPＥＲLＩNK\l”＿Toｃ１691８２447”１ 引言ﻩPAＧＥRＥF＿Ｔoc16918２4４７\h1ＨYPEＲLＩNK＼ｌ"＿Tｏc１691８2448"1。1ﻩ课题背景ﻩPAGERＥＦ＿Tｏc1６９18２448\h1ＨYPERＬIＮK＼ｌ"_Ｔoc１6９１8２449”１.２ﻩ国内外讨论现状 PAＧEREＦ_Tｏc169182４4９＼ｈ１HＹPEＲLINK\l＂_Ｔｏc１６9１８2450＂1。３ﻩ课题意义ﻩPAGEREF_Toｃ16９18２4５0\h１HYPEＲLＩＮK\l”＿Toｃ１6９１82451＂1。4 本课题讨论方法ﻩPＡGEREF_Ｔoｃ１6９１82４5１\h1HYＰＥＲＬINK＼l”_Toc1691824５2＂２ﻩLiｎux开发环境介绍ﻩPAＧＥREF_Toｃ16９１82452＼h２HＹPERLINK2．２ Lｉnｕx下的Ｃ语言开发环境 PAGＥRＥF＿Ｔoc169１８2454＼ｈ２ＨＹＰERLINK\l”_Ｔｏｃ１６９18245５"２．3 常用的网络数据掌握工具介绍ﻩPＡＧEREＦ_Toｃ1６9１８２４5５＼h3ＨYPERLINＫ\ｌ"_Toc1691824５６＂３ﻩLｉnuｘ网络管理掌握核心技术ﻩPAGEREF_Tｏc１６9１８２４5６\ｈ5ＨYPEＲLINK＼l＂＿Tｏｃ１６91824５7＂3.1ﻩＳOCKEＴ网络编程ﻩPＡGEREF_Toc1６9１8２457\ｈ5HYＰEＲLINK\ｌ"＿Toｃ1６9182458”3．1.1Ｌinuｘ网络编程 PＡＧEＲEF＿Ｔｏc１6９1824５８\h５ＨＹPERＬＩNK＼l＂_Ｔoc1６91８2４59"３．1．2基本套接字函数ﻩＰAＧEREＦ_Toc1６9１8２４５9\h５ＨYＰEＲLIＮK\l”＿Ｔoｃ1６9１8２460＂3．2ﻩ基于TＣＰ协议的通讯ﻩPＡGEＲEF＿Toc１69182460\ｈ7HYPEＲＬINK\ｌ"＿Ｔｏc16918２4６1"3.2.1TCP传输协议简介ﻩPＡGEＲＥF_Ｔｏc1６9182461＼h７ＨＹＰＥＲLIＮK＼ｌ”_Toc１691８２4６2＂3.2.2掌握字符的制定ﻩPAＧEＲＥF_Toc１６918２462＼h7ＨYPERLＩNK＼ｌ＂_Ｔoc1６91８２463＂4ﻩＮＥTFILTER－网络掌握模块设计基础ﻩPAGＥRＥＦ＿Ｔoｃ１6９182４63＼h８ＨYPＥＲＬIＮK\ｌ"_Tｏc16９１8２464”４。1ﻩneｔfilter介绍 １8２46４＼h8HYPERLＩＮK\l＂＿Tｏc１6９182４６5”４．２ ｎetｆｉｌtｅr中的重要返回值ﻩPAGＥＲＥＦ_Toc１69１８２465\h8HＹＰＥＲLINＫ＼ｌ＂_Ｔoc169１824６６＂４。3ﻩｎｅtfilｔer在IPv4中的框架 ＰAGEＲＥＦ＿Toc1691８24６６\ｈ9HYPERLIＮK\ｌ"_Toc1６918２４６7＂４．4ﻩnｅｔfｉｌtｅr核心模块ﻩPAGERＥＦ_Toc16９1８246７＼h1０HＹＰERLIＮK４.5 netｆilteｒ可以实现的基本掌握功能ﻩPＡGEREF＿Toｃ1６91８24６8\h1１ＨYPEＲＬＩNK＼l”_Ｔoc169182469＂５ﻩ测试Ｌinｕｘ网络管理系统的设计实现ﻩPAＧＥREF_Toc１６918２４６９\h13HYPEＲLINＫ\l＂_Ｔoc1６9１824７0"5。1ﻩ系统设计整体框架ﻩPAＧEREF_Tｏｃ１6９182470＼ｈ1３ＨYPEＲLＩＮＫ\ｌ”_Tｏc１6９1８２4７1”５。2ﻩ用SOCKＥT实现掌握端和管理端的通讯ﻩPAＧEREF_Ｔoc1６918２４7１＼ｈ1４HＹPERLＩＮK\ｌ”_Toc1６91824７2＂5．２．1管理端的设计与实现ﻩPAＧERＥF_Toc16９１82472\ｈ15HＹPＥRＬINＫ＼l"_Toc１６９182473"５。2。2掌握端的设计与实现ﻩＰAGEREF＿Toc169182473\ｈ16HYPERLＩNK\l＂_Tｏc1６9１８247４”5。3ﻩ用ｎeｔfilｔer设计掌握功能模块 ＰAGEＲEF＿Toc169１８2474＼h18HYPＥＲLINK\ｌ”＿Toc16９18２47５＂5.3。１设计掌握ＩCＭP数据报的模块ﻩＰAGＥREF_Toc1６９1８24７５＼h18HYPERＬＩNＫ\l＂_Toc１69１82476＂5.3.2用netflｔeｒ设计管理掌握FTP服务器的模块ﻩPAGERＥF_Toc１６9１824７6\h20HYPＥRLIＮK\ｌ＂_Toc１6９１８2477”５．3。３设计掌握ＨTTP网站访问的模块 ＰAGEＲEF_Toｃ１691８２4７7＼h２2HYPERLIＮK\l＂_Toｃ１69１８２4７８＂5．４ﻩ用ＧＣC编译生成模块ﻩPAGERＥF_Toc1６918247８＼h23HＹＰEＲLＩNK5．5ﻩ管理掌握系统测试ﻩPAＧEREＦ_Ｔoc１6918２4７９＼ｈ2３HYPERＬIＮK＼l"_Toｃ169１８2480”５。６ﻩ程序设计中遇到的问题和解决方法ﻩPAGEREF_Ｔoｃ1６９182480\h２４HＹPERLＩＮK\l＂_Tｏc１69182481＂５.6。１解决模块编译的环境问题ﻩPAGＥＲＥF＿Toc169１82481＼h24HYPERLINＫ\l＂_Ｔｏｃ1６918248２”５．６。2解决程序特别退出问题ﻩPAGEREＦ＿Toｃ１６9１8248２\ｈ25HYPＥRLＩNK\ｌ”_Ｔoc169１82483＂5．6．3解决模块自动加载问题 PAGEREF＿Toｃ1６9１8２48３\ｈ２6ＨYPERLＩNＫ\ｌ"＿Tｏc169１８２484”结论ﻩPAGＥREF＿Ｔoｃ1６９1８2484＼ｈ2６ＨＹＰEＲLINK\l＂_Ｔoｃ１6９１８2485"参考文献ﻩPAGEREＦ＿Toc16918２485＼h27ＨYＰERＬIＮＫ\l＂_Ｔoｃ16９1824８6"致谢 PＡＧERＥF_Toc169182486\h2８ＨYＰERLINＫ声明ﻩPAGＥREＦ_Toc１69182487＼h29第23页共29页引言课题背景Linux做为当今使用最为广泛的操作系统，在各个领域都具有格外重要的用途,随着网络技术的飞速进展,网络数据管理和掌握系统方面设计人才的需求不断增加。格外是随着我国经济的不断进展,网络管理掌握系统开发方面的人才的需求也越来越大。通过这个课题可以使我们熟识Lｉnuｘ下的nｅｔfiｌter网络数据掌握过滤机制，可以使我们学会指定网络掌握协议和开发网络管理掌握模块的方法.通过Ｌinuｘ下的简洁网络管理掌握系统的设计和开发，可以提高实际的编程能力，格外是网络数据通讯管理这部分的编程能力。国内外讨论现状Ｌｉｎux作为一种开源的操作系统,在国内外享有较高的声誉,其重要地位是其他操作系统所不行取代的.正是由于Liｎux操作系统的开源性，在国内外各大讨论机构对其进行了不断的开发和完善，逐步形成了今日的Linux操作系统,其功能格外强大,运行格外稳定.国内外均成立了专门的讨论机构对其进行开发和讨论。而近年来由于网络技术的兴起,Lｉnux系统也进展为一种可以进行资源共享和交互的网络平台。在资源共享的同时，网络的平安已经成为科研机构讨论的重点,并且推出了一系列的网络管理掌握系统，格外是实现对网络数据的管理和掌握。其中以网络数据管理和掌握过滤器ＩPＴABLES最为出名.可以说就目前国内外讨论的情况来看Liunx方面的网络管理掌握系统的开发技术已经相当成熟，并且正在不断的进行完善。课题意义随着网络技术的飞速进展，在越来越多的领域要用到网络掌握管理。Linuｘ操作系统是一个开源操作系统，对网络管理掌握程序的设计供应了良好的实验开发平台,同时市场对Ｌinuｘ下的研发人员需求也很大.通过对Liｎｕｘ网络通讯管理掌握系统的开发，可以提高同学对网络通讯知识的了解和实际网络编程的能力，同时通过网络管理掌握模块功能的设计，可以熟识Linux下的网络数据的过滤机制，学会运用ｎeｔｆilter实现对网络数据的管理和掌握。因此,该课题具有较好的有用价值。本课题讨论方法在Ｌiｎux—2。4.２0－8操作系统平台下使用C语言开发环境。通过使用neｔｆｉltｅr网络数据包管理掌握机制进行网络掌握模块功能的开发和编译,并且运用Ｃ语言编程开发出可以发出掌握协议的管理掌握平台进行相应的管理和掌握模块的运行。其次讨论网络通讯中的传输协议,以及数据报的传输过程，以及一些可以掌握和管理网络数据的传输端口,制定出一套网络管理掌握协议,即一套完整的掌握字节.最终在Ｌiｎux操作系统环境下实现完成该网络管理掌握程序,并且用netfiｌter实现掌握功能模块的设计。Lｉｎuｘ开发环境介绍Linux简介Ｌinｕx是开源的类Unｉｘ操作系统，是一个基于POSIX和UＮＩX的多用户、多任务、支持多线程和多ＨYPERＬＩNK"httｐ：//prｏdｕcｔ。ｉt16８。com/lｉsｔ/b/０217_1．shｔml＂\t＂_blａｎk＂CPU的操作系统。它能运行主要的UNIＸ工具软件、应用程序和网络协议.它支持3２位和6４位ＨYＰERＬIＮK＂hｔtp：／／dｉy．iｔ１６8．ｃoｍ／＂＼ｔ"＿blaｎk"硬件。Ｌｉnux继承了Uｎｉｘ以网络为核心的设计思想,是一共性能稳定的多用户网络操作系统。它主要用于基于Inｔelｘ86系列CPＵ的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Uｎix兼容产品。同时Linux以高效性和灵敏性著称。Lｉnux模块化的设计结构,使得它既能在价格昂贵的工作站上运行，也能够在廉价的ＨＹPERLIＮK"hｔtp://ｐc.ｉt168。cｏｍ／"\t"_blａnk＂ＰC机上实现全部的Unｉx特性,具有多任务、多用户的能力。Linux是在GＮU公共许可权限下免费获得的,是一个符合POＳＩX标准的操作系统。Ｌｉnuｘ操作系统软件包不仅包括完整的Ｌｉnｕx操作系统，而且还包括了文本编辑器、高级语言编译器等应用软件。它还包括带有多个窗口管理器的Ｘ—Wiｎｄｏws图形用户界面，如同使用ＷinｄowsＮT一样,允许使用窗口、图标和菜单对系统进行操作。Liｎｕx具有:稳定、牢靠、平安的优点，并且有强大的网络功能.在相关软件的支持下,可实现WWW、FＴP、DNS、DHＣＰ、E－mail等服务，还可作为HＹPERLＩＮK＂http：//ｐｒoduct.ｉｔ1６8。ｃoｍ／files／０4０９seaｒcｈ．ｓhtｍｌ”\t”_blaｎk＂路由器使用,利用IＰCＨAINS/IPTAＢLＥ网络管理工具可构建NAT及功能全面的HYＰＥＲLＩＮK"http:／/pｒoduct。iｔ１68．cｏm／fｉles／0４1８ｓeａrch。ｓｈtml＂\t”＿blaｎk"防火墙。Liｎux下的Ｃ语言开发环境C语言是一种成功的系统描述语言，同时C语言又是一种通用的程序设计语言,在国际上广泛流行。它主要有以下一些特点:（1）语言表达能力强。Ｃ语言是面对数据结构的程序设计语言,通用性好。它可以直接处理字符、数字、地址,可以完成通常由硬件实现的算术、规律运算。它能有效地取代汇编语言来编写各种系统软件和应用软件。最明显的就是ＵNIＸ操作系统。在UNIX操作系统中除了核心内部的1000行左右用汇编语言书写之外,其余的都是用C语言描述的。Ｃ语言同样可以表达数值处理、字处理功能，所以它又是一种通用语言。（2)语言简洁、紧凑，使用灵敏,易于学习和使用。C语言共有３2个关键字，９种掌握语句,程序书写形式自由,主要用小写字母，在表示上力求简洁易行，如用一对｛}来代替复合语句beｇin、eｎｄ，用赋值运算符(如+=,－＝，*=等)对运算和赋值的形式进行精简。（3）数据类型丰富，具有很强的结构化掌握语句。C语言有简洁数据类型（如整型、浮点型、字符型),在此基础上产生各种构造类型(如数组、结构体、共用体等）,因而C的数据类型很丰富.同时,它有各种掌握流语句，如if—eｌｓe、ｗhiｌe、ｆｏｒ、ｓｗitｃh、breaｋ等，功能很强，能够描述结构化的程序。（4）语言生成的代码质量高。高级语言能否用来描述系统软件，格外是象操作系统、编译程序等，除要求语言表达能力强之外，很重要的一个因素是语言生成的代码质量如何。如果代码质量低,则系统开销就大,无有用价值。试验表明,针对同一问题用C语言编写程序，其生成代码的效率仅比用汇编语言写的代码效率低10%~２０％。由于用高级语言比用汇编语言描述问题编程飞快、工作量小、可读性好，易于调试、修改和移植,因此C语言就成了人们描述系统软件和应用软件比较抱负的工具。(５）语法限制不严格,程序设计自由度大.例如,对数组下标越界不作检查,由程序编写者自己保证程序正确。一般的高级语言语法检查格外严格，能检查出几乎全部的语法错误。而C语言允许程序编写者有较大的自由度，放宽了语法检查。”限制"与”灵敏＂是一对冲突,限制严格,就失去灵敏性;而强调灵敏,就必定放松限制.程序编写者要仔细检查程序，保证其正确，而不要过分依靠C编译程序去查错。（6）可移植性好。用Ｃ语言编写的程序基本上不作修改就能用于各种型号的计算机和各种操作系统。常用的网络数据掌握工具介绍在Ｌｉｎux系统中常常使用的网络管理工具是IPTABLES。管理工具ｉptａbleｓ是Linux２.4内核用来安装、维护、检查数据包规章的管理程序。在Lｉｎux２.4网络管理掌握体系结构中，数据处理的规章可以分为四类:IP输入链(IPiｎｐutchain)、ＩＰ输出链（IPｏutputｃhaｉｎ)、ＩP转发链（ＩＰｆorｗaｒdcｈain）、用户自定义链(useｒdｅfｉｎedchain）。网络数据掌握管理的规章指定包的格式和目标.当一个包进来时,内核使用输入链来决定数据包的命运。数据包沿着输入链一条规章一条规章匹配，如果它通过了输入链的检查，内核将决定包下一步该发往何处（这一步叫路由)。假如该数据包是送往另一台机器的，内核就将调用转发链。数据包再沿着转发链一条规章一条规章检查,如果不匹配,就进入目标值所指定的下一条链。这条规章链有可能是用户自己定义的规章链，或者是一个特定值:接受(AＣCEＰT）、否定（DＥNY)、拒绝(RＥＪECＴ)、伪装(MＡSQ）、重定向（REＤIRＥＣT)、返回（RETURN)。=１\＊GB2⑴基本的ｉptablｅs命令一个ｉptabｌeｓ命令基本上包含如下五个部分：=１\*ＧB３①盼望工作在哪个表上=２\＊GB３②盼望使用该表的哪个链=3＼*GB3③进行操作（插入、添加、删除、修改)=4＼＊GB3④对特定规章的目标动作=5\＊GＢ3⑤匹配数据报条件＝2\*GB2⑵ｉptables基本语法iptａｂleｓ基本语法如下：ｉpｔａbｌes－tｔable－Oｐeｒaｔionchａin-jｔａrgｅtmatcｈ(es）例如盼望添加一个规章，允许全部从任何地方到本地SMTP端口的连接：ｉpｔａbｌｅｓ－tfilｔｅr—AIＮＰUT－jAＣCEPT—ptｃp-－dportsmtp.还有其他的对规章进行操作的命令如:清空链表、设置链缺省策略、添加一个用户自定义的链.＝３\*GB2⑶iｐｔablｅｓ的一些基本的操作-A在链尾添加一条规章-I插入规章－Ｄ删除规章—R替代一条规章－L列出规章=４\＊ＧＢ2⑷ｉptables的一些基本目标动作，适用于全部的链ACＣＥPＴ接收该数据报DＲＯＰ丢弃该数据报ＱUEＵE排队该数据报到用户空间REＴＵRＮ返回到前面调用的链Fｏｏbａr用户自定义的链=５＼*ＧB2⑸iptables的一些基本匹配条件，适用于全部的链—ｐ指定协议（tｃp/udp/icmp／…）—ｓ源地址（ｉｐａdｄｒess／mａsklｅn)—d目的地址(ipaｄｄｒｅsｓ/maslｌen)—Ｉ数据报输入接口-ｏ数据报输出接口除了基本的操作,匹配和目标还具有各种扩展。这里只对iptabｌeｓ进行简洁的商量，关于ipｔablｅｓ的简略使用，可以参考manｉｐｔabｌes的手册,也可以参考ｎetfiｌtｅr的核心开发者ＰaulRusｓelｌ写的PacｋetFｉlｔerｉｎgHOW－TＯ和NＡTHＯW-ＴO。Lｉnux网络管理掌握核心技术ﻩSOCKET网络编程Lｉnux网络编程Ｓocket（套接字）是通过标准的UNＩX文件描述符和其它程序通讯的一个方法。每一个套接字都用一个半相关描述：｛协议,本地地址、本地端口｝来表示；一个完整的套接字则用一个相关描述：｛协议,本地地址、本地端口、远程地址、远程端口｝，每一个套接字都有一个本地的由操作系统安排的唯一的套接字号。基本套接字函数函数sockｅｔ(）：这个函数定义为inｔsocket(iｎｔdomａiｎ,inttype，intproｔoｃoｌ）,参数doｍaｉn指定要创建的套接字的协议族,可以是如下值：AF＿UＮIX//UNIX域协议族,本机的进程间通讯时使用AF_ＩＮET//Iｎｔerｎｅt协议族(ＴCP/IＰ）参数type指定套接字类型，可以是如下值：ＳＯCK_STＲＥAＭ／/流套接字，面对连接的和牢靠的通信类型SOＣＫ_DＧRＡＭ／/数据报套接字,非面对连接的和不行靠的通信类型SOCK＿RＡW//原始套接字,只对Interｎet协议有效，可以用来直接访问IP协议参数pｒotocｏl通常设置成0,表示使用默认协议，如Iｎternｅt协议族的流套接字使用TCP协议，而数据报套接字使用UDP协议。当套接字是原始套接字类型时，需要指定参数pｒoｔocｏl，由于原始套接字对多种协议有效，如ＩCＭＰ和IGMＰ等。Lｉnｕx系统中创建一个套接字的操作主要是:在内核中创建一个套接字数据结构，然后返回一个套接字描述符标识这个套接字数据结构。这个套接字数据结构包含连接的各种信息，如对方地址、ＴCＰ状态以及发送和接收缓冲区等等，TＣP协议依据这个套接字数据结构的内容来掌握这条连接.函数ｃonnecｔ(）：这个函数定义为intconnecｔ（inｔsockfd,ｓtｒｕctｓoｃkaddr*sｅrvadｄr,inｔaddrｌen）；参数sｏckfd是函数soｃket返回的套接字描述符;参数servａdｄr指定远程服务器的套接字地址，包括服务器的IＰ地址和端口号；参数adｄｒｌen指定这个套接字地址的长度。成功时返回0,否则返回—１,并设置全局变量为以下任何一种错误类型：EＴＩMEOUＴ、EＣONNREFUSEＤ、EHOSTUNREACH或ENＥTＵNＲEＡＣH。在调用函数conneｃt之前,客户机需要指定服务器进程的套接字地址。客户机一般不需要指定自己的套接字地址(IP地址和端口号），系统会自动从１024至５０00的端口号范围内为它选择一个未用的端口号，然后以这个端口号和本机的ＩP地址填充这个套接字地址.客户机调用函数coｎnecｔ来主动建立连接。这个函数将启动TＣP协议的３次握手过程。在建立连接之后或发生错误时函数返回.函数bｉｎｄ()：这个函数将本地地址与套接字绑定在一起，其定义为:iｎｔbinｄ（intsｏcｋfd，stｒucｔｓockaddr＊ｍyadｄｒ，intadｄｒlｅｎ）；参数sockfd是函数soｃkt返回的套接字描述符；参数ｍｙadｄｒ是本地地址；参数addｒｌen是套接字地址结构的长度。执行成功时返回０，否则，返回—1，并设置全局变量erｒnｏ为错误类型EＡDＤRIＮUＳＥＲ。服务器和客户机都可以调用函数ｂｉnd来绑定套接字地址,但一般是服务器调用函数ｂｉnd来绑定自己的公认端口号函数lｉsteｎ（)：函数listen将一个套接字转换为征听套接字，定义为:intlistｅn（inｔsｏckｆd，inｔｂaｃkｌｏg)参数soｃkfd指定要转换的套接字描述符；参数ｂａｃｋlｏg设置恳求队列的最大长度;执行成功时返回０,否则返回-1。函数ｌiｓtｅｎ功能有两个：（１）将一个尚未连接的主动套接字（函数soｃket创建的可以用来进行主动连接但不能接受连接恳求的套接字）转换成一个被动连接套接字。执行listen之后,服务器的TCP状态由CＬＯSＥＤ转为LＩＳTＥN状态;（２）TCP协议将到达的连接恳求队列,函数lisｔen的其次个参数指定这个队列的最大长度。函数aｃcept(）：函数ａccepｔ从征听套接字的完成队列中接收一个已经建立起来的TCP连接。如果完成连接队列为空,那么这个进程睡眠。intacｃept（intsｏckfd，stｒuctsｏckａdｄr＊ａｄdｒ,int＊addrlｅn）参数sｏckfd指定征听套接字描述符;参数ａddｒ为指向一个Interｎet套接字地址结构的指针;参数aｄｄrlen为指向一个整型变量的指针。执行成功时,返回３个结果：函数返回值为一个新的套接字描述符，标识这个接收的连接;参数addｒ指向的结构变量中存储客户机地址；参数addｒleｎ指向的整型变量中存储客户机地址的长度。失败时返回-1。当函数aｃceｐt堵塞等待已经建立的连接时，如果进程捕获到信号，函数将以错误返回，错误类型为EINＴＲ。对于这种错误,一般重新调用函数accｅｐt来接收连接.函数close（）：函数closｅ关闭一个套接字描述符。定义如为：iｎtｃlｏsｅ（intsoｃｋfd）；执行成功时返回0，否则返回—1。与操作文件描述符的close一样，函数cloｓe将套接字描述符的引用计数器减1,如果描述符的引用计数大于0,则表示还有进程引用这个描述符，函数clｏse正常返回；如果为０，则启动清除套接字描述符的操作,函数close立即正常返回。调用cｌｏse之后，进程将不再能够访问这个套接字,但TCＰ协议将连续使用这个套接字,将尚未发送的数据传递到对方，然后发送FＩN数据段，执行关闭操作，始终等到这个ＴＣP连接完全关闭之后，TＣＰ协议才删除该套接字。基于TＣＰ协议的通讯TＣP传输协议简介在Liｎux网络管理掌握系统的设计中，为了使系统制定的掌握管理字符能够顺利的传输到主机进行相关的操作,系统采纳了ＴCP协议为传输掌握指令的载体。TＣP是一套牢靠的传输协议，其采纳三次握手的方式建立连接：［１］.恳求端发送一个ＳＹＮ段指明客户打算连接的服务器的端口，以及初始序列号IＳN。［２]。服务器发回包含服务器的初始序列号的SYＮ报文段作为应答.同时,将确认序号设置为客户的ＩＳN加1以客户的SYＮ报文段进行确认。一个SYN将占用一个序号.［3］.客户必须将确认序号设置为服务器的ISN加1以对服务器的ＳYＮ报文段进行确认。TＣP这三个报文段完成连接的建立,也就是三次握手。掌握字符的制定当ＴCP连接建立成功后，掌握字节就包含在TCＰ报文的数据部分发送出去，接收端通过对TCP数据报的解析，取出数据部分的掌握字节进行相关的操作。系统制定的通过ＴＣP协议传输的掌握字节可以完成以下网络掌握功能：=1\＊GB2⑴当收到TＣＰ报文段中的数据部分为字符‘ａ’时,系统编译加载全部的网络掌握模块；=２\＊GＢ２⑵当收到TＣP报文段中的数据部分为字符‘f’时,系统丢弃全部进出网络的ICMP数据包；=３\*GＢ2⑶当收到ＴCP报文段中的数据部分为字符‘i’时，系统接收全部进出网络的ICMP数据包;＝4\＊GB2⑷当收到TCP报文段中的数据部分为字符‘t’时，系统禁止访问ＦTＰ服务器;=5\＊ＧＢ２⑸当收到TCP报文段中的数据部分为字符‘ｐ'时，系统允许访问ＦTP服务器；=6\＊GB2⑹当收到ＴＣP报文段中的数据部分为字符‘c’时,系统禁止扫瞄HＴＴＰ网页;=7＼*GB２⑺当收到ＴCＰ报文段中的数据部分为字符‘o'时，系统允许扫瞄HTTP网页；＝8\*GＢ2⑻当收到TＣＰ报文段中的数据部分为字符‘r’时，系统卸载全部功能模块。携带掌握信息的完整TＣP协议报文结构图如下：图1采纳TＣＰ协议传输掌握字节数据报ＴＣP报文段携带掌握字符通过sｏckｅt传输的流程图如下：控制字符控制字符TCP头数据部分TCP头控制数据TCP头TCP数据部分控制字符控制数据Socket建立连接图２采纳ＴCP协议传输掌握字节数据报NEＴFＩLTＥR—网络掌握模块设计基础ｎetfilｔｅr介绍Ｎｅtfilｔer比以前任何一版Liｎｕx内核的网络管理掌握子系统都要完善强大。Netfｉlteｒ供应了一个抽象、通用化的框架，该框架定义的一个子功能的实现就是包过滤掌握子系统。Neｔfilｔｅr框架包含以下三部分:1．给网络协议(IPｖ4、IPｖ６等）定义一套钩子函数(IＰv4定义了５个钩子函数)，这些钩子函数在数据报流过协议栈的几个关键点被调用。在这几个点中，协议栈将把数据报及钩子函数标号作为参数调用nｅtfilｔer框架。2.内核的任何模块可以对每种协议的一个或多个钩子进行注册，实现挂接，这样当某个数据包被传递给netfiｌtｅr框架时,内核能检测是否有任何模块对该协议和钩子函数进行了注册.若注册了,则调用该模块的注册时使用的回调函数,这样这些模块就有机会检查（可能还会修改)该数据包、丢弃该数据包及指示neｔfilｔeｒ将该数据包传入用户空间的队列。３.那些排队的数据包是被传递给用户空间的异步地进行处理.一个用户进程能检查数据包，修改数据包,甚至可以重新将该数据包通过离开内核的同一个钩子函数中注入到内核中.全部的包过滤/NAＴ等等都基于该框架.内核网络代码中不再有处处都是的、混乱的修改数据包的代码了。当前ｎeｔｆiｌｔer框架在ＩPv4、IPｖ６及Ｄeｃnet网络栈中被实现neｔfilｔｅｒ中的重要返回值内核模块可以对一个或多个钩子函数进行注册挂接,并且在数据报经过这些钩子函数时被调用,从而模块可以修改这些数据报，并向ｎeｔｆilｔeｒ返回如下值:=１\*GＢ２⑴ＮF_ＡＣCEＰT连续正常传输数据报.＝2\*GＢ２⑵NＦ_DRＯP丢弃该数据报,不再传输。＝３\＊GB2⑶NF_SＴOＬＥＮ模块接管该数据报,不要连续传输该数据报.=4＼*GB2⑷ＮF_QUEUＥ对该数据报进行排队(通常用于将数据报给用户空间的进程进行处理）。=5＼*GＢ2⑸NF_REＰEAＴ再次调用该钩子函数。ｎｅtfilｔｅｒ在ＩＰv4中的框架一个数据在通过nｅtfiｌｔｅr框架时，它将经过图3所示的过程.图3ｎetfilteｒ框架示意图从图中可以看到neｔｆilter框架共有五个钩子函数，分别为：=1\＊GＢ2⑴ＮＦ_ＩＰ_PＲＥ_ROUＴINＧ=２\*ＧB2⑵NF_IP_LOＣAL_IN=３\*GB2⑶NF_ＩP_ＦORWARD＝４\＊GB2⑷NF＿IP_ＰOST＿ROUＴIＮG=5\＊GB２⑸ＮF_IP_LOCＡL_ＯＵT当数据报经过了完整性检查后，数据报就从左边进入系统，进行IＰ校验以后,数据报经过第一个钩子函数ＮF_IP＿PRＥ＿ROUTＩNG[１］进行处理；然后就进入路由代码，其决定该数据报是需要转发还是发给本机；若该数据报是发给本机,则该数据报经过钩子函数NＦ_IP＿ＬOＣＡL_ＩN［２］处理以后然后传递给上层协议；若该数据报应该被转发则它被NF＿ＩＰ＿ＦＯＲWＡRD[３]处理；经过转发的数据报经过最后一个钩子函数NＦ_IP_PＯST_ROＵＴＩNＧ［4］处理以后，再传输到网络上。本地产生的数据经过钩子函数NF＿IP_LOCAL_OＵT[５]处理以后,进行路由选择处理，然后经过NF_IP＿POST＿ROＵTING[4］处理以后发送到网络上。由此可见，五个HＯOK的位置,掌管了全部数据包的可能出入口,我们只要在对应的位置对数据报进行操作,就能实现对数据报的各种处理.IPv４代码中ｎetfｉｌｔer的接口。ＩPv4协议栈为了实现对nｅtｆｉｌteｒ架构的支持,在数据报经过IPv4协议栈的过程中,仔细选择了五个参考点:NF_IP＿PRE_RＯＵＴＩNG、ＮＦ_IＰ_LOCAＬ_ＩＮ、NF_ＩP_FORWARD、NＦ＿IP_PＯＳT_ROUTING、NF_ＩP＿ＬOCＡL＿ＯUＴ,分别对应IP层五个不同的位置.在这五个参考点上，各引入了一行对NF＿ＨＯOＫ（)宏函数的一个相应的调用。在neｔｆｉｌｔer．h定义了NＦ_HＯＯK（）宏函数.对于NＦ＿ＨOOK宏的定义提炼如下：#ifdefCONFＩＧ_NＥTＦILTＥＲ#dｅfｉnｅNＦ＿ＨOＯK(pｆ,ｈｏok，ｓkb,inｄeｖ，ouｔdｅｖ，ｏkｆn)（ｌｉst_empty（＆ｎf_hoｏks[（pｆ）］［（ｈook）］)?(okfn）（skb)：nf_ｈoｏｋ_ｓloｗ（（pｆ),（hｏok），（skb)，（inｄｅv），（ｏｕtdev)，（oｋｆｎ））＃else/＊！COＮFIG_NETFＩLTER*/＃dｅｆinｅＮＦ_HOＯK(pf,ｈｏｏｋ，ｓkb，ｉndeｖ,oｕtｄev，ｏkfｎ）(okfｎ）（skb）#eｎdif/*ＣＯNＦIG_ＮETFILTＥＲ*/当CONFＩG_NEＴFＩLTＥR被定义的时候，就转去调用ｎｆ_hooｋ＿slｏｗ（）函数；如果ＣONFＩG_NＥＴFILTER没有被定义,则从neｔｆｉlｔer模块转回到IＰv4协议栈连续往下处理。这样用户在编译kerneｌ时可以通过定义ＣＯNＦＩG＿NETFＩLTEＲ与否来决定是否把netfｉltｅr代码编译进内核。从函数的名称来看,也可以把IＰｖ４协议栈上的这五个参考点,形象的看成是五个钩子。当数据报在IPv4协议栈上途经这五个钩子时，就会被nｅｔｆilｔer模块钓上来，进行处理并依据返回值来决定数据报的下一步命运，连续传输或者丢弃。ｎetfｉlｔeｒ核心模块=1\＊GＢ２⑴钩子函数和参考点如果netfｉｌｔｅｒ的钩子函数被调用,数据包就进入nf＿hｏｏk_ｓlow(）函数的处理。此函数主要是依据nｆ＿ｈｏoks［］[]数组开头处理数据包。更精准一点来说，上文所说的IPv4协议栈上的五个参考点,并不是防火墙钩子函数,而是在此点允许放置防火墙钩子函数。在每一个参考点,都可以让netｆｉlter放置一个或多个处理函数,来处理经过参考点的数据包,而ｎeｔｆｉlter的钩子函数则放在了nf_hoｏｋs[］［］数组里面。这些钩子函数用strｕctnf_hoｏk_oｐs给予描述,其声明如下:structnf＿hoｏk＿ops{ｓｔｒuｃtｌｉst＿headlist;nf_ｈookｆn*hｏoｋ；iｎｔpf；iｎthooknｕｍ；intprｉoｒiｔy；｝；在使用nｅtfiltｅｒ实现管理功能的模块初始过程中，它会调用ｎｆ＿reｇｉsｔer＿ｈook(）向netfiｌter的核心代码注册钩子函数。在这个注册的过程中,也就是将钩子函数放在参考点的的过程。钩子函数的简略位置，由nf＿hoｏｋｓ［］[]数组的下标简略说明。＝2＼*GＢ2⑵myｍoｄｕleｓ函数对于nｅtfｉlｔer所供应的框架,这些钩子函数都将会调用ｍymｏｄules函数。该函数执行完后，将返回通用的防火墙策略之一，如NF＿AＣCEPT等。该函数原型如下：unsｉgnedintmymodulｅs(ｓtructsｋ＿buff＊＊ｐskｂ，unsiｇnｅdｉｎthoｏk，coｎsｔstｒｕctnｅt＿device＊ｉｎ，ｃoｎsｔstrｕcｔｎet＿dｅｖｉce＊ｏut,ｓｔｒuｃtiｐt＿ｔablｅ＊taｂle，voiｄ＊useｒｄａta）此函数的参数介绍如下:=1\＊GB３①strｕｃtsk_bｕff＊*pskb:传入的待处理的网络协议包。＝2\*GB３②ｕnsigneｄiｎtｈｏok:在哪个钩子点处理该数据包。=３\*GＢ３③coｎstsｔｒuctnｅt＿ｄevice*in：网络包传入的网络设备名.=4＼*GB3④ｃｏnsｔsｔruｃtｎet_ｄｅvｉｃe＊out：网络包传出的网络设备名.＝５\*GＢ３⑤strucｔipｔ_tａｂle＊ｔabｌe：用户定义的规章表。用户定义的规章表,经过一些处理后送到核心空间,核心空间将用一些数据结构进行标识.在ｎetｆiteｒ框架中，一条规章分为三部分，由三个数据结构来代表：ｓｔructiｐｔ＿ｅｎtry:主要用来匹配IP头。ｓtｒuｃtip＿mａtch：额外的匹配(TＣP头、MＡC地址等）.strｕcｔip_tarｇｅt：除默认的动作外（如：NF_ＡCＣＥＰT、NＦ＿DROＰ),还可以增加新的动作（如：ＮＦ_RＥＪＥＣT)。myｍoｄules()函数就是依据规章表中存储的一条又一条的规章来处理数据包。但并不是全部的规章都一一来匹配数据包,数据包只与相应的参考点的规章相匹配。这个机制,就为每个规章表实现了多个规章链，而每个规章链上又有多个规章。＝3\*GB2⑶匹配和目标匹配(match)是ｉｐtabｌes命令的可选部分,它用于匹配数据包的源地址／源端口、目的地址／目的端口、协议等。匹配分为两大类：通用匹配和特定于协议的匹配。目目标是由规章指定的操作,对与那些规章匹配的数据包执行这些操作。除了默认的目标之外，还增加新的目标选项.netｆilｔer可以实现的基本掌握功能=1＼＊GB３①.包过滤包过滤的掌握模块不会对数据包进行修改,只对数据包进行过滤.它通过钩子函数NF_IP_LOCAＬ_IN、ＮF＿ＩP_FORＷARD及ＮF_IP_LOCAＬ_ＯUT接入neｔfilteｒ框架。对于任何一个数据报只有一个地方对其进行过滤。Ｉｐtabｌes相对iｐｃhａins是一个巨大的改进，由于在ipｃhａｉns中一个被转发的数据报会遍历三条链.包过滤框架示意图如下:图4掌握管理包过滤模块框架示意图=2\＊GB3②.NAＴ网络地址转换通过ＮF_IP_ＰRE＿ROＵTING、ＮF_IP_POST＿ROUＴINＧ及ＮF＿IＰ_LOCＡL_OＵT三个钩子函数接入ｎeｔｆilｔer框架。网络地址转换只对新连接的第一个数据包进行转换，随后的数据包将依据第一个数据包的结果进行同样的转换处理,其分为源地址转换和目的地址转换.NF_ＩP_PRＥ＿ROＵTING实现对转发的数据包的源地址进行地址转换,NF_IP＿PＯＳＴ_RＯUＴＩNG对转发的数据包的目的地址进行地址转换，对于本地数据报的目的地址的转换则由NF＿IP_LＯＣAL_OUT来实现。地址转换框架图如下：图5地址转换框架示意图=3\*GB3③．数据包处理通过钩子函数ＮF＿ＩP_ＰRＥ＿ＲOUTIＮＧ和ＮＦ＿IP_LＯCAＬ_OＵＴ接入ｎetfｉlｔｅr框架。包处理可以实现对数据报的修改或给数据报附上一些带外数据.在框架中的钩子点一和钩子点五进行处理，即在下图中的MANＧLE处进行处理。ﻩ包过滤框架示意图如下：图6包处理框架示意图=４\＊GB3④．连线跟踪连线跟踪（CoｎｎecｔionＴrａckｉng）是包过滤、地址转换的基础,但其又作为一个独立的模块在运行,有了连线跟踪,动态包过滤及地址转换才能得以实现。连线跟踪的工作原理是:检测第一个有效连接的状态，并依据这些信息决定网络数据包是否能够通过ｎetｆilｔer功能模块.连线跟踪在nｅtfilter框架中ＮＦ_ＩP_PRE_ROUＴIＮG、ＮF＿IP＿LOCAL_IN、ＮＦ＿ＩP_POＳT_RＯＵＴINＧ、NF＿IP_LOCAL＿OUＴ的四个地方被采纳,连线跟踪的框架示意图如下：图7连线跟踪框架示意图测试Linux网络管理系统的设计实现系统设计整体框架Liｎux网络掌握管理框架主要分为两个部分：管理部分,掌握部分。首先管理部分通过在本机发送相应的管理命令即管理掌握口令对系统进行管理和掌握，这个部分拥有一套完整的掌握指令,掌握指令是通过TCP数据报发送出去的.掌握部分又分为三部分：接受掌握字节;解释字节掌握模块;掌握模块的加载执行；此系统具有一些比较常用的网络管理掌握功能。可以实现的管理掌握功能包括对网络上ICMＰ数据包的收发,FＴP服务器资源通讯，HＴTP网页的访问。Ｌiｎux网络管理掌握系统的结构图８：管理端管理端控制端ICMP的管理控制FTP的管理控制HTTP的管理控制ICMP数据报FTP服务器HTTP网页访问通过TCP通讯图８网络管理系统结构图用SＯCＫＥＴ实现掌握端和管理端的通讯整个管理掌握系统的框架是用sｏcket套接字编程开发出来的，主要是通过ＴCP建立起管理端和掌握端的通讯.管理端通过ＴＣＰ建立通讯发送掌握字节，而掌握端在收到ＴＣP数据报后依据接收到的掌握指令去操作掌握模块执行相关的网络掌握。在本系统的设计中主要是掌握进出网络的ICMＰ数据报，ＦＴP服务器的访问掌握,HＴTP网页的访问掌握。在设计过程中网络套接字的端口均是采纳的TCP4112端口，并且为了便利对设计效果的检测,掌握端的IP地址设为本机的IP地址：222．1８。１８９。1９９．Soｃkｅt通讯的简略流程为：通讯建立的简略过程为：1.管理端输入掌握端的IP地址,向掌握端恳求建立连接。然后掌握端开头监听.管理端把掌握字符写进ｓenｄbuff［］这个数组里面,通过sｅnd()函数发送出去.２.掌握端通过rｅｃv(）函数接受管理端发来的掌握字符，并且把字符写进ｒｅcvｂｕff［]里面。３．掌握端再依据相应的掌握字符去执行简略操作。４.通讯完后关闭套接字:ｃlose（）Socｋｅt通讯的简略流程图为：ﻫ图9soｃkｅt通讯流程图管理端的设计与实现管理端一个用户管理界面,管理端通过发送连接恳求与掌握端建立连接,从而可以通过ＴCP发送掌握字节去掌握相关的操作。其核心的代码和注释为：／／建立一个基本的套接字，使用的是IＮET协议族,ＴCP套接字，0表示基本套接字ｓｏckfd=sｏcket（ＡF_INET,ＳOＣＫ_STREAM，0);／/通过ｓiｚｅof取地址长度，并且调用ｂｚero把地址结构清零bzｅro(&serveraddr，sizeof(ｓerｖｅrａｄdr）)；//表示地址结构类型是IＮEＴ的地址结构类型sｅｒvｅraｄdr．sｉｎ＿ｆamｉｌy＝AF_INET；／/使用的端口是4114端口，并且用htons转化为网络字节序serveraddr.sin＿pｏrｔ=hｔons（4１１4）；inｅt_pｔon（ＡF_INET,aｒgv[１]，＆ｓeｒvｅｒaddr．ｓin_ａｄdｒ);/／使用ｃoｎnｅct函数连接soｃｋfd套接字ｃonnｅct（sockfd，（sｔructsoｃｋａｄｄｒ＊)＆seｒveraddr，ｓiｚeｏf(ｓerveradｄｒ））;/／用rｅcv接受管理界面中ｒｅcvｂufｆ发过来的数据rｅcｖ(ｓockfd,ｒecｖbuｆf，sizeｏｆ(ｒｅcvbufｆ),0）;sｃaｎf（”％c＂，＆w）；ｗhｉle（ｗ!＝’ｑ'）｛/／把ｗ的值写进sebｕff数组的一个空间里面通过ｓeｎｄ发送给掌握界面sebuff［0]=ｗ;ｓend(sｏcｋfd,sｅｂuff,１,０）;sｃanf("％c＂,＆w)；ｓwｉtｃh(w）……．……。｝//关闭套接字Cｌose（）；掌握端的设计与实现掌握端为一个后台执行程序，掌握端在和管理端建立连接后,接收来自掌握端的ＴＣP数据报,并且依据数据报中的掌握字节掌握相应的功能模块执行简略的网络掌握操作。其核心的代码和注释为：/／定义一个接受缓冲区数组charresｂｕfｆ［5]；//定义两个套接字,一个为监听套接字，一个为连接套接字inｔliｓtｅnｓｏck，ｃｏnnsｏck；//定义一个soｃｋａddr＿in类型的变量serｖerａｄdｒ.ｓtructｓｏckａddr_ｉnserverａｄdr；／／定义一个bｕff存储hｅllｏ．ｃｏnsｔchaｒbufｆ［］＝＂hello\r\n＂；//初始化ｌiｓtｅｎsock套接字ｌｉｓtenｓｏck=sｏcket(AF_INET,SOCK_STＲEＡＭ，0）;/／地址结构清零bzero（&servｅraddｒ，sizｅｏf(seｒveｒａddr)）；／/使用INEＴ结构的地址的数据结构ｓerｖeｒadｄr．sin＿faｍilｙ=AF＿INET；//允许任意地址进行连接ｓervｅｒａddｒ．sin_aｄdr。s＿addｒ＝htｏnｌ（INAＤDR_ＡＮY)；//连接的端口号为４1１4serveｒadｄr。ｓin_ｐoｒｔ=hｔonｓ（4１14）；／／绑定套接字bｉｎｄ(ｌiｓｔensoｃｋ，(ｓtｒｕctsockａｄdｒ*)&serｖerａｄdr，sizｅｏf（ｓerveｒaddr）)；//开头监听，允许接入的用户个数为4个ｌiｓｔen（listensock，４)；cｏｎnｓock=accept(lｉsｔeｎsoｃk,（ｓtruｃｔsockaｄｄr＊）NＵLＬ,NULL)；/／发送数据seｎd（connsoｃk，buff,sｉzeoｆ（buff),0）；／/接受掌握字节recｖ（connsock，resbuff，1，０）；ｐrｉｎtf("%c\n”,rｅsｂｕｆf［０］）；／/以下就是执行掌握命令wｈｉle（reｓbuff[0］!=＇q＇）{ｓｗitch（rｅｓbｕfｆ[0］)｛ｃａse＇a’：pｒｉntf（"startｔheｃontrolｍｏduｌe。＼n”）；／/systｅm函数中的命令为模块编译命令sｙstｅm(＂gｃc-Ｏ2－g－Ｗall-DMODULＥ－D＿＿KＥRＮEL_＿—I／usｒ/ｓｒc/ｌｉnux—２.4／iｎcludｅ－ｃnrｇｃc.c”）；ｓｙstem("ｇｃｃ-O２-g—Ｗaｌｌ—ＤMＯDULE－D_KＥRNEＬ_－I／usr/sｒｃ/linｕx－2。4／incｌｕde－clgcｃ．c"）；ｓyｓｔeｍ（"ｇｃｃ-O2-g-Walｌ-ＤＭＯＤUＬE—D_＿KＥRNEＬ＿_-I/usｒ／src/linux-2．４/ｉnｃlｕdｅ—cｎｒgｃcf。ｃ＂)；ｃasｅ＇c’:pｒｉntf(＂ｃlosetｈe80ｓourｃeporｔ．\n＂)；sysｔｅm(”iｎｓmｏd。/nｒgcc．o＞lｏｇ１"）；brｅaｋ；ｃａｓｅ＇ｏ’:ｐrｉntf(”ｏｐenｔhｅ80sｏurｃeｐｏｒt．\n＂）；sysｔeｍ（"ｒmmoｄnｒgcc〉log３＂）；ｂreａｋ;…．/／关闭套接字ｃｌoｓe（ｃｏｎｎsocｋ);cloｓe(lisｔｅｎsｏｃk）；用ｎｅｔfｉltｅｒ设计掌握功能模块设计掌握ICMP数据报的模块在linux－2.4下面可以使用netｆilter实现过滤数据报的功能模块,因此在掌握管理IＣMP数据报的模块中也同样可以使用netfｉｌｔer。核心的的模块代码如下:／/依据内核模块编译#ｉｆｎdｅf＿_KERNEＬ＿_＃defiｎｅ__KＥＲNＥL__#ｅｎdiｆ/／依据设备驱动程序模块编译＃iｆnｄefＭOＤＵLE#definｅMOＤＵLE#eｎdｉfﻩ模块处理函数tｅｓt_firｅwalｌ,其中hoｏknum是核心指定的五个钩子点之一，其次个参数它是一个指向指针(这个指针指向sk＿buff一类型的结构体）的指针，它是网络堆栈用来描述数据包的结构体。这个结构体定义在liｎux／sｋbuff。h中,由于这个结构体的定义很大,这里只着重于它当中更有趣的一些域。ｓk_bufｆ结构体中最有用的域就是其中的三个联合了，这三个联合描述了传输层的头信息(例如UDＰ，TＣＰ,ICMP，SPＸ),网络层的头信息(例如ｉｐv4/6，IPX，ＲAW)和链路层的头信息（Etheｒｎet或者RＡＷ）。三个联合相应的名字分别为:h,ｎh和mａc。依据特定数据包使用的不同协议,这些联合包含了不同的结构体。neｔ_dｅviｃeｓ结构体是Liｎｕx内核用来描述各种网络接口的。第一个结构体,ｉｎ代表了数据包将要到达的接口，out就代表了数据包将要离开的接口最后一个参数是一个名为ｏkｆn的指向函数的指针,这个函数有一个sｋ_bｕff的结构体作为参数，返回一个整型值。ｓtａticunsigｎｅdｉｎtｔeｓｔ＿firewａll（unsｉgneｄinthoｏknum，ｓｔructsk＿ｂuff*＊ｓｋb，conｓtｓｔructｎｅt_ｄeｖｉｃe＊in，cｏnｓtstrｕctｎｅt_ｄevicｅ＊out，int(＊ｏｋｆn）(sｔrｕｃtｓk_buｆｆ*）)｛/／定义了一个ｉｐhdｒ的结构体指针*ｉｐｈ ｓtructｉphdr*ｉpｈ; //取出IP头，并且检查协议类型是不是ICＭP数据报类型 ｉph=(＊skb）->nｈ．iｐｈ； if(ｉph—〉pｒotocoｌ=＝ＩPPＲOＴＯ_ＩCＭP） ｛printｋ(＂＼nＤRＯPａIＣMPPackｅt”）;／/如果是ICMＰ的话直接使用NＦ_DＲＯＰ丢弃数据报 ﻩｒｅturnNF＿ＤRＯＰ；}//如果是TCP数据报的话，允许数据报通过if（iｐh－>proｔocol＝=IPＰRＯTO_TCP)｛ｐｒintｋ（"\nPｅrmitavalidａccｅss”)；ｒｅtuｒｎNＦ_ACCEＰＴ；}｝//其他条件的数据报都不匹配设置的掌握管理规章因此允许通过接受