網絡數據包的截取及解析

翟佩超

（運城幼兒師范高等專科學校，山西 運城 044000）

當前我們已經進入了以計算機網絡技術為基礎的信息化時代。通過不同的通信介質，把不同廠家、不同操作系統的計算機以及相關設備連接在一起，打破時間和空間的界限，共享軟硬件資源和進行信息傳輸。通信協議可以保證高層協議與應用之間的互連、互通與資源共享。同時，在Internet安全隱患中扮演雙刃劍重要角色的Sniffer受到越來越大的關注。

一、可行性分析

基于以太網絡嗅探的Sniffer只能抓取一個物理網段內的包，監聽的目標中間不能有路由或其他屏蔽廣播包的設備。由于以太網是一個廣播型的網絡，被監聽的可能性較高，主要在使用以太網協議的局域網實驗環境下實現。大多數網卡是支持混雜模式的，將網卡設置在混雜模式下，主要利用軟件嗅探器Sniffer和Ethereal（為輔助軟件）就能捕獲網絡上的數據包并對其進行分析。應用軟件為：Sniffer和Serv-U。

1.理論依據

以太網是基于載波監聽多路訪問/沖突檢測（CSMA/CD）協議建立的。該協議定義了用以太網進行訪問的方法。每個工作站進行傳輸的機會相等，沒有任何一個具有優先權。當不止一個工作站同時傳輸時，就會發生沖突。而當交叉電纜連接兩個工作站或者一個設備附屬于一個交換機端口時，工作站就可以進入全雙工的工作模式。這種模式運行電腦同時進行傳輸與接受，提高了性能，但是該實驗如果在全雙工模式下進行，要借助于Sniffer提高到一個硬件設備Pod，無疑提高了實驗的誤差性，故而在半雙工情況下進行實驗。

一個網絡分析程序（Sniffer）就是一個故障檢測的工具，可以用來發現并解決網絡交流問題，規劃網絡容量，并進行網絡優化。Sniffer可以捕獲所有通過的網絡流量，并把它們翻譯出來進行解碼，還可以翻譯正在使用的不同的協議。解碼后的數據以一種容易理解的格式顯示。Sniffer還可以只捕獲用戶定義的數據類型，這就使網絡管理員可以僅僅捕獲與當前網絡問題相關的數據。

Sniffer通常提供下述能力：

（1）捕獲并解碼網絡上的數據；

（2）生成并顯示關于網絡活動的統計結果；

（3）進行網絡能力的類型分析。

2.運行環境

硬件環境：3臺PC機（處理器IntelPentium 200MHz以上、內存128M以上、硬盤2G以上）；1臺路由器；1臺共享型集線器。

軟件環境：Windows 2003 server操作系統；Server-u；Sniffer4.75；QQ。

二、總體設計與實施

將網卡設置在混雜模式下，利用軟件嗅探器Sniffer和Ethereal（輔助軟件）捕獲網絡上的數據包并對其進行分析。

1.搭建實驗平臺

將電腦PC1PC2PC3連接至HUB，并將HUB與一臺路由器相連接，最后連接至Internet。

2.數據包截取

數據包截取的步驟如下：（1）按照實驗模型圖連接設備。（2）啟動設備并使其穩定運行（PC,ROUTER,HUB）。（3）安裝應用軟件（如 Sniffer、Ethereal、Server-u等）。（4）PC訪問互聯網或相互通信過程中，運行Sniffer軟件并打開截取數據包按鈕。（5）截取一段時間后按停止并顯示按鈕。（6）保存截取數據以便分析使用。（7）安全退出軟件，關閉設備，關閉電源。

三、數據分析

1.FTP包內容解析

利用嗅探器對FTP傳輸時的數據包進行截取，得到FTP用戶名及密碼。

PC3 上裝有 Sniffer，PC1 的 IP 為 222.30.78.4，PC3的IP為222.30.78.67，在PC1上用server-u搭建成FTP服務器，并設置用戶名和密碼都是tjuci,在PC2通過用戶名密碼登錄PC1進行權限訪問時，PC3截取到的數據包。

從截取數據包可以清晰地看到，用戶名是tjuci，用戶密碼是tjcci。實驗之所以能夠得到用戶名及密碼，主要因為FTP用戶名和密碼在默認情況下以明文進行傳輸。

另一方面，從數據截獲的情況來看，FTP采用TCP傳輸，從第三行到第五行，可以清楚地看出TCP傳輸的三次握手機制，首先是在連接請求的主機一方（也就是客戶機，這里是FTP客戶端，即PC2,它的IP是222.30.78.67）。由3829＞ftp可以看出，第一次數據流是由PC2發向PC1的請求，即第一次握手，它只有SYN標識，第二次握手是由PC1發給PC2確認連接，它不僅有SYN還有ACK標識，第三次握手再由PC2發給PC1，表示開始傳輸。

2.HTTP包內容解析

在網絡中應用最為廣泛的就是訪問互聯網。訪問互聯網通常用到的協議是HTTP協議，瀏覽器通過超文本傳輸協議(HTTP)將Web服務器上站點的網頁代碼提取出來，并翻譯成漂亮的網頁。對HTTP數據包的解析如下：

（1）對Frame項的分析

從選項中可以得到一些相關信息如下：捕獲的這個數據幀是第七個幀；它的大小是608比特；到達時間是2008年11月29日；與捕獲的前一個數據幀相差的時間是0.303619秒；與捕獲的第一個數據幀相差的時間是0.687199秒；使用的協議有TCP、ETH、HTTP；HTTP使用的協議端口號是80。

（2）Ethernet選項分析

從選項中基本看到如下信息：發送源端口的物理（MAC）地址是 00：0f：e2：82：1d：27；接收端口的物理地址是 00：13：e8：74：07：77。從內容信息中不難理解，它的作用是保證數據包在以太網中的正確傳輸，以太網中的數據包傳輸主要通過ARP協議將IP轉換成MAC，靠MAC地址來識別主機。

（3）IP選項的數據分析

從選項中可以看到的信息如下：IP協議是第四版本；IP包頭的長度是20比特；IP包的總長度是594比特；源地址IP是65.55.128.52；目的端 IP是222.30.78.67。從展開項提供的信息可以看出，網絡層依靠對IP包頭的解析來保證數據包在網絡層的正確路由，主要靠目的IP和源IP來識別主機。

（4）TCP選項的詳細解析

從選項中可以看到如下信息：HTTP使用端口80；目的端口2751；其余為TCP的標志控制位。從展開的項可以看到，TCP對傳輸的控制主要使用的端口是80，其余控制位保證了可靠的傳輸。

（5）HTTP選項的標識部分解析

從選項中可以看到：數據接收時間是2008年11月29日；服務是由微軟IIS6.0組件提供的；網頁是用ASP.NET編寫的；網頁內容類型是文本格式，因為HTML就是文本格式。

（6）HTTP整個數據包內原始數據

從圖中看出，這部分數據是經過加密的，在傳輸過程中并非使用明文，這樣保證了數據的安全性和傳輸的可靠性。

3.IPX包內容解析

IPX協議是一種開放的協議，對IPX數據包的解析如下：

（1）Frame選項的分析得到：截取時間是2008年11月29下午3時；這是第一個數據包；包大小是58比特；用到的協議有ETH、IPX、IP等。

（2）IEEE802.3選項分析得到：目的地址是ff:ff:ff:ff:ff:ff(為廣播地址)；源地址是00:e0:a0:06:58:45。這是物理地址信息，主要負責在以太網中尋找使用IPX的主機。

（3）IPX路由信息協議分析信息：這是一個IPX請求；路由矢量參數，65535跳級等。IPX整個數據包內原始數據。這部分數據也是采用加密傳輸的，并非以明文出現在信道上。

4.IMCP包內容的解

由于IP協議并不是一個可靠的協議，它不能保證數據被可靠送達，因此要由其他的模塊來完成以保證數據送達的工作。其中一個重要的模塊就是ICMP(網絡控制報文)協議。當傳送IP數據包發生錯誤時，如主機不可達、路由不可達等等，ICMP協議將會把錯誤信息封包，然后傳送回給主機，給主機一個處理錯誤的機會。這也就是為什么說建立在IP層以上的協議是可能做到安全的原因。PC3上裝有Sniffer嗅探軟件，當PC3向PC1發出PING命令的同時開始截包，完成IMPC協議下的網絡數據包捕獲。

四、數據包截取解析的擴展和防范

Sniffer Pro是網絡應用中的一把雙刃劍，既能竊取數據，又能為網絡運營做出統計和維護。在實際應用中，網絡管理員可以利用高級網絡分析程序提供的分析能力，這種特性允許網絡管理員查看上千個數據包，然后發現問題。網絡分析程序還可以提供這些問題出現的可能原因，以及如何解決問題的線索。Sniffer Pro是用于高級分組檢錯的工具。它可以提供分組獲取和譯碼的功能，也可以提供圖形，以確切地指出在你的網絡中哪里正出現嚴重的業務擁塞。

另一方面，在網絡應用中最普遍的安全威脅來自內部，同時這些威脅通常都是致命的，其破壞性遠大于外部威脅。其中網絡嗅探器對于安全防護一般的網絡來說，操作簡單的同時威脅巨大，很多黑客也使用嗅探器進行網絡入侵的滲透。網絡嗅探器對信息安全的威脅來自其被動性和非干擾性，使得網絡嗅探具有很強的隱蔽性，往往讓網絡信息泄密變得不容易被發現。但是，嗅探器與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端輸入的鍵值，而嗅探器捕獲的則是真實的網絡報文，威脅程度遠遠高于鍵盤捕獲程序。

[1]趙新輝,李祥.捕獲網絡數據包的方法[M].北京：清華大學出版社，2004.

[2]高嗣呂,姚青.基于網絡入侵檢測的網絡安全監測系統的設計[M].北京：機械工業出版社，2006.

[3]Cui Yun，Zhu Da ming.A 1.752ApproximationAlgorithms for Unsigned Translocation Distance[J].ISAAC,2005，（17）:397-401.