监听协议论文(精选7篇)
监听协议论文 篇1
1 我院网络监听解析平台介绍
西安理工大学高等技术学院校园网是全院日常教学, 办公等的基本网络平台, 随着学院近几年的飞速发展, 随着我院校园网规模的不断扩充和日益增加的复杂性, 为了有效的管理我院的校园网, 设计了面向校园网络的监听解析平台。
网络监听解析平台的结构图如图1所示, 该平台包括数据包捕获模块, 网络协议解析模块, 解析到数据库模块, 解析到文本文件模块, 流量分析模块。该系统平台以数据库技术和文本分析技术为网络流量分析提供一个平台, 基于该平台可以灵活的对网络流量进行分析, 同时可以以流量数据库和流量文本为基础开发自己的流量分析系统, 实现对该平台的灵活扩展。该平台有以下主要特点:
1) 该平台包括从数据包捕获、网络协议解析到网络流量分析的一整套系统。
2) 该平台可以解析自己捕获的网络流量, 也可以解析windump、ethereal捕获的网络流量。
3) 基于数据库技术和文本技术相结合的方法进行网络流量分析。
4) 用户可以以该平台为基础开发自己的网络流量分析系统, 流量的数据库化和文本化为系统扩展提过了无缝接口。
包捕获模块:从网络上捕获网络流量, 并保存成文件。
协议解析模块:把网络流量按照不同的协议及其字段进行解析。
解析到数据库模块:按照不同的协议和协议字段在数据库中建立相应的表格, 并把解析的流量按照协议的名称和字段保存到数据库中。
解析到文本文件模块:把解析的流量按照协议的名称和字段保存到不同的文本文件中。
流量分析模块:基于流量数据库和流量文本对网络流量进行分析。
2 流量协议解析的设计和实现
根据捕获的网络流量文件, 可以进行流量协议的解析和协议信息入库。协议解析模块的主要功能是辩别数据包的协议类型, 把流量中的包头信息进行解析。可以把所有的协议构成一棵协议树, 一个特定的协议是该树结构中的一个结点, 如图2所示。
一个数据包的分析就是一条从根到某个叶子的路径。树的结点数据结构中应包含以下信息:该协议的特征、协议名称、协议代号、下级协议代号、协议对应的数据分析函数链表。协议名称是该协议的唯一标志。协议代号是为了提高分析速度用的编号, 如TCP的下级协议是IP协议。协议特征是用于判定一个数据包是否为该协议的特征数据, 这是协议分析模块判断该数据包的协议类型的主要依据。
协议解析模块的目的是根据定义好的数据结构, 从原始的网络数据包中解析出协议信息, 按照协议栈自下向上的顺序调用, 从数据链路层到网络层、传输层和应用层, 以使相应的数据解析程序来检测数据包。
为了将捕获得到的数据解析出来, 必须对TCP/IP协议进行深入的研究。数据进入TCP/IP协议栈的封装过程如图3所示。具体的数据解析过程是数据帧封装过程的逆过程, 这个过程需要对多种需要的帧格式加以分析。当目的主机收到一个以太网数据帧时, 数据就开始从协议栈中由底向上升, 同时去掉各层协议加上的报文首部。每层协议盒都要去检查报文首部中的协议标识, 以确定接收数据的上层协议。
Ethernet帧格式, 如图4所示。
用Ethernet帧格式的类型域可以区分IP, ARP及RARP协议帧。类型字段的意义, 如表1所示。
RARP (逆地址解析协议) 的帧格式与ARP的帧格式是相同的, 只是ARP帧类型域中的数值是0806, RARP帧类型域中的数值是8035。
现在可以将数据结构树的第一层数据解析出来。
对第二层的数据 (即IP数据) 帧进行进一步解析。IP (网际协议) 帧格式, 如图5所示。
在IP数据帧的基础上进行数据的解析是根据协议号域中的值来判断的, 进行如下区分, 如表2所示。
根据数据报头长度将IP报头剥离后即为剩余的数据帧。
ICMP (网际控制报文协议) :报文格式, 如图6所示。
ICMP可能会有不同帧格式:地址掩码 (addressm ask) 请求和应答;时间戳 (time stamp) 请求和应答;端口不可达 (port unreachable) ;Ping例程。
IGMP (因特网组管理协议) 报文格式, 如图7所示。
UDP帧格式, 如图8所示。
TCP帧格式, 如图9所示。
TCP与UDP以端口号来为以后的数据解析提供依据。由于端口号可达一万多种, 下面仅对网络管理员感兴趣的FTP, HTTP以及Telnet的数据进行解析。TCP与UDP的端口分配基本上是相同的, 主要端口如表3所示。
根据报文的结构, 下面定义了相应的协议头结构懈。
1) ip地址结构:
2) 以太网协议头:
3) arp协议头;
4) ip协议头:
5) tcp协议头:
6) UDP协议头:
7) icmp协议头:
8) dns协议头:
下面对协议解析的过程简短的进行描述:
协议规范指出以太网数据包中第13字节处包含了两个字节的第三层协议标识。利用这个知识, 协议分析模块开始分析:
1) 跳过前面的第12个字节, 读取13字节处的2字节协议标识0800。根据协议规范可以判断这个网络数据包是lP包。
2) 协议规定IP包的第24个字节处有一个1字节的第四层协议标识因此系统跳过15到24字节直接读取第四层协议标识:06, 这个数据包是TCP协议。
3) TCP协议在第35字节处有一个2字节的应用层协议标识 (端口号) 。于是系统跳过第25到34字节直接读取到第35字节的端口号80。该数据包是一个HTTP协议的数据包。从网卡那里捕获原始数据包后返回链路层的首指针, 然后数据链路层协议分析函数就被调用, 每个协议分析程序工作方式都很相似, 填写Packet结构的相应值, 并提交给网络层协议分析函数, 网络层协议分析函数处理后再提交给相应的传输层协议分析函数。
参考文献
[1]邓涛.校园网网络性能分析[D].武汉:武汉理工大学, 2003, 4 (1) :6-7.
[2]饶锋, 张文杰, 高传善.校园网流量的分形特征[J].计算机应用与软件, 2002 (10) .
[3]Bruce A Mah.An empirical model of HTTP network traffic[C]//Proceedings of Infocom 97, Kobe, Japan, April, 1995.
[4]王瑜, 吴伟陵.基于两页对象的HTTP业务流量模型[J].无线电工程, 2004, 34 (8) .
[5]谭思亮.监听与隐藏[M].北京:人民邮电出版社, 2008.
[6]Richard Stevens W.TCP/IP详解 (第一卷) [M].范建华, 译.北京:机械工业出版社, 2000.
网络监听技术分析和研究 篇2
关键词:网络监听,以太网,TMN体系
0 引言
网络监听(Net wor k Moni t or i ng)是一种用于实时监测网络数据包传输情况的技术,多用于网络协议分析仪和网桥设备[1]。它通过配置软件和硬件,实现对网络数据包的捕获和分析,以及协议分析和流量统计。由于网络监听是一种被动的运行方式,所以对被监听网络的工作状态不产生任何影响。网络监听从物理层获取数据包,根据网络协议,分别对链路层、网络层、传输层和应用层进行分析。目前,网络监听技术被广泛用于网络流量统计和网络安全。
网管结构的不同,监听方式也不相同,而不同的监听方式,产生的效果也不尽相同。
1 以太网监听
将网络监听主机内的局域网卡设置成监听模式,运行驱动程序后,网卡会将网络中出现的正确数据包,不论目标地址是什么,都传输到上层。分析软件根据设置好的条件,对数据包进行分析和过滤,最终给出分析结果。如果是共享式网络,则将监控网卡接入网络即可。可交换式以太网,则通过交换机的共享端口获得数据。如果网络交换机不提供共享数据端口,则不能实现全网络监听。
2 X.25网监听
很多电信网管系统采用X.25交换网作为数据传输网,要实现X.25交换网的监听,必须配置两个数据接收器,分别监视网络的接收和发送信息。可以在网络监听主机的PCI总线插槽内安装一块监听卡,它支持HDLC规程,并提供两个接收端口,这两个端口分别接到DTE的收、发数据线上。这样,网络监听主机可以获得X.25交换网的收、发数据包,根据X.25协议得到数据内容,实现网络监听的功能[2]。
3 TMN的网络监听
3.1 基于TMN体系的网管系统结构
基于TMN体系结构的网络管理系统,有选择地配置TMN建议书中的功能模块,最终形成TMN的子集。以SDH传输网管为例,SDH传输网管多采用单台管理工作站及多个网元的结构,每一台SDH通信设备包含多个网元,所有网元利用嵌入式链路连接,管理工作站与一台作为协议网关的网元设备相连,以网络的形式(以太网或X.25网)构成网管系统。有些厂家的SDH网管采用多台管理工作站方式,其中一台作为管理服务器,用于实现主要的管理功能,其他作为实现GUI(Gr aphi cs Us er I nt er f ace)功能的工作站。服务器与工作站之间用网络连接,管理信息在网元和管理工作站之间交换,采用标准的TMN网络管理协议。而网元之间通过嵌入式链路交换信息,采用非标准协议[3]。
3.2 网管信息获取
在系统中选择管理工作站的网络接口作为信息访问点IAP(Information Access Point),通过该点监听网管中的各种管理信息。信息访问点的选择应重点考虑接入方便和信息集中两个方面,还应考虑监听系统在IAP的接入不会影响到原网管系统的工作状态,图一给出了监听系统框图。
在图一中,基于TMN的网管系统作为被监听系统,实现常规的网络管理功能。管理信息在管理工作站与网元之间实时交换,协议网关相对网元侧提供嵌入式链路接口,而其相对管理工作站侧提供以太网接口。选择协议网关的局域网口为信息访问点,对网管系统实施监听,对监听到的数据包进行处理。如果需要转发到别的系统,则重新组织数据包,经网络传输出去。监听网卡是一个标准的10M以太网卡,网卡一般有4种模式:广播模式(Broadcast Mode),组播模式(Multicas Mode),单播模式(Unicast Mode)和混杂模式(Promiscuous Mode)。在混杂模式下,网卡不判断目的地址,将接收到的完整的数据包全部传送到上层。将网卡设置成这种模式,用来监听网络上的数据包。为实现网络监听功能,必须重新开发网卡的驱动程序。获得网络的数据包后,通过多层解析,可以得到网管信息。
4 基于TCP/IP协议的网络监听方案
现以TCP/IP协议为例,加以说明。
4.1 MAC层数据包解析
将任何目标地址的帧接收下来,并进行校验,正确无误后,去掉帧头和校验序列,将数据字段提交到上层处理。
4.2 IP数据包解析
根据IP协议标准,确定IP数据包的包头内容,定义相应的数据结构,如:版本号、头标长度、服务类型、数据包长度、ID、偏移量、TTL、传输协议、头标校验、源IP和目的IP等。
4.3 TCP数据包解析
对TCP的数据包头进行解析,如:源端口、目的端口、发送序列号、确认序列号、数据长度、标志、窗口和紧急指针等内容。UDP数据包的包头较简单,仅包含源端口、目的端口、数据长度和校验和,解析方法与TCP的类似。ICMP和ARP数据包因为不包含网管内容,所以在此系统中仅作为网络状态判别,不进行详细解析[4]。
4.4 应用层解析
根据网管的通信协议和技术文本,对应用层解析,提取出重要的网管信息。为了减轻监听主机CPU的负荷,设置过滤条件,滤除一些数据包。消息过滤分4层进行:链路层,通过指定特定的MAC地址来进行信息过滤;网络层,通过指定源IP地址或目的IP地址来进行数据包过滤;传输层,通过指定的数据包的端口号来进行数据过滤;应用层,通过区局部网管信息格式来进行应用数据的过滤。
网络监听技术使用广泛,可以推断网络监听技术在适用于TCP/IP网络的同时,也适用于光网络。
5 结束语
本文通过分析和对比不同的网络监听技术,着重分析基于TMN体系的网管系统结构,在此基础上分析了TCP/IP协议的网络监听方案,并且表明这种网络监听方案具有广阔的前景。
参考文献
[1]高会生,邸剑.利用网络监听技术获取SDH网管信息[J].2002.
[2]虞红英,江南.通用网络协议自动监视分析系统的实现[J].计算机工程,1996.
[3]尹霞.基于网络监听的TMN信息转换系统[J].华北电力大学学报,2002.
网络监听技术及其防范措施研究 篇3
计算机网络为人类的生活带来了无限便捷, 让我们可以随时随地与他人进行信息交换, 打破了交流的空间界限。然而, 计算机网络在为人们带来便捷的同时, 其网络安全问题也越来越受到人们的重视。在网络世界中自由翱翔的同时如何保障自身安全已经成为我们必须面对的课题[1]。
网络安全中, 网络监听对网络信息的威胁最大, 它可以对计算机进行监控, 从计算机发送或接收的信息中获取情报[2]。网络管理者应了解网络监听的工作原理, 学会分析网络的安全状态, 保障网络、计算机的安全运行。
1 网络监听概念
最初网络监听技术是网络安全管理人员的管理工具, 用来监测局域网内的网络状态、数据流量、用户发送或接受的信息等, 以实现对局域网的监控, 从而合理调配网络资源, 防止用户违法违规行为的发生。如今网络监听技术已经比较成熟, 为网络管理人员的工作带来了便捷, 同时也为网络入侵者入侵网络、监控计算机、获取网络上传输的信息提供了可能性[3]。
网络监听可以在网络中的任意位置上实现, 如计算机、网关、路由器等。网络监听最理想的地方是网关、路由器等设备, 但这些地方的使用者是网络管理人员, 攻破的难度较大。局域网内计算机用户的网络安全知识相对薄弱, 使得计算机成为入侵者最容易攻破的地方。
2 网络监听基本原理
局域网内信息的传送是以广播的方式向局域网内的所有主机发送数据包, 数据包中携带目的主机的MAC地址, 只有MAC地址与数据包中携带的MAC地址相同的主机才会接收数据包并作出回应, 其它主机将忽略此数据包。当主机被入侵者操纵处于监听模式下时, 无论数据包中目的主机的MAC地址是否与自己的相匹配, 都将接收数据包, 即接收网络上传输的所有数据包, 以此获取网络中的数据, 为情报分析提供数据资源[4]。
3 网络监听检测
3.1 在本机上检测
可以利用一些工具软件检查本机网卡是否处于混杂模式, 以此来进行网络监听的检测。打开任务管理器, 查看本机正在运行的进程, 与其它计算机比较, 如有不熟悉或不常见的进程出现, 本机可能处于网络监听模式下。
3.2 在其它计算机上检测
(1) 观察法。计算机不在监听模式下时, 信息的传输及电脑对信息的反应等均处于正常速度。而当计算机处于监听模式下时, 电脑就会出现异常反应, 通过比较观察来判断是否处于监听模式。
当计算机处于监听模式下时, 计算机所发送的信息包会被拦截, 导致丢包率升高。同时, 计算机占用了更多的带宽但对网络的反应速度却降低了。计算机的发包量增加, 工作强度增大, 导致计算机性能降低。
(2) PING法。当计算机处于正常工作模式时, 接收网络上传输的数据包并解析查看数据包中目的地的MAC地址, 如果MAC地址与本机的MAC地址相同, 说明此数据包是发送给本机的, 接受数据包并给发送数据包的计算机回应, 如果MAC地址与本机的MAC地址不同, 说明此数据包不是发送给本机的, 则丢掉数据包。
当计算机处于网络监听模式时, 不论数据包中的MAC地址是否与本机的MAC地址相同都会接受数据包。
因此, 可以向可疑主机发送一个PING包, 里面包含了可疑主机的IP地址和错误的MAC地址。如果可疑主机处于正常工作模式, 因为MAC地址不正确, 所以不会对此PING包作出反应。如果可疑主机处于网络监听模式, 则会接受此PING包并作出回应, 以此来判断可疑主机是否处于网络监听模式。
(3) ARP法。此方法与PING法相似, 只是将PING包用ARP包代替。
(4) 响应时间测试法。这是最直观有效的方法, 当计算机处于正常工作模式时, 计算机的响应速度很快。而当计算机处于正常网络监听模式时, 由于计算机的性能降低, 计算机的响应速度变慢, 响应时间则会变长。
4 网络监听防范措施
4.1 预防措施
当局域网内的一台主机处于网络监听模式时, 该主机会收集局域网内传输的所有数据, 实施网络监听行为。因此必须保护主机不被攻破, 以预防网络监听行为的发生。日常使用电脑时形成良好的习惯, 安全上网, 不给病毒可乘之机。上网时不登陆来历不明的网站, 不随意下载或使用来历不明的应用软件, 安装杀毒软件及防火墙并定期杀毒、更新升级, 及时给计算机打补丁修复系统漏洞。安全级别要求高的计算机还应配备隔离技术。总之使用各种方法加强计算机的安全防护措施, 使其免受攻击。
4.2 加密手段
通过加密手段为网络上传输的数据包加密, 从而防止网络监听现象的发生。网络上的数据都是以明文的形式进行传输, 数据包一旦被截获, 监听者很容易就能读取数据包中的信息, 并入侵另一台主机。对数据包进行加密处理后, 虽然数据包还会被截获, 但没有解密的数据包是一堆乱码, 没有任何价值。使用加密技术可以有效防止非法用户的窃听, 对恶意软件也具有一定的作用, 但会降低计算机的网络速度, 造成网络数据传输的延迟, 加密技术越强这种现象越明显。因此, 只有非常重要的数据才会使用加密技术进行保护。
4.3 VLAN划分
使用安全的拓扑结构和利用交换机划分VLAN, 这是防范网络监听的有效方法, 这样, 监听行为只能发生在一个虚拟网中, 最大限度地降低了监听的危害, 但需要增加硬件设备的开支, 实现起来必然大量增加费用。
5 结语
网络监听技术是一把双刃剑, 掌握在不同人的手中, 它可以发挥正反两方面的作用。对于黑客等电脑入侵者来说, 通过网络监听可以获取用户信息, 并在海量信息中分析出自己需要的情报;而对于网络安全管理人员来说, 通过网络监听技术可以监控局域网的动态信息, 发现入侵痕迹并及时作出响应, 同时监控局域网内计算机, 防止违法行为的发生。目前, 网络安全技术滞后于入侵技术的发展, 因此要深入挖掘网络监听技术的实用性, 从技术上掌握先机, 有效保障网络的安全运行。
摘要:随着科学技术的不断发展, 计算机网络已经深入到人们生活的各个方面, 它在给人们的生活、工作带来便捷的同时, 也衍生出很多问题, 如网络安全、用户信息的隐私性等。其中对用户隐私危害最大的就是网络监听, 用户通过网络发送或接受的信息都会传送给监听者, 对用户的网络安全造成极大威胁。介绍了网络监听技术及基本原理, 重点研究了网络监听技术及其防范措施, 以保障网络的安全运行。
关键词:计算机网络,网络监听,网络安全
参考文献
[1]王杰.计算机网络安全的理论与实践[J].中国教育技术设备, 2008 (5) :331-335.
[2]杨永强, 辛淑霞.常用网络安全防范措施[J].科技资讯, 2008 (8) :267.
[3]王宇, 张宁.网络监听器原理分析与实现[J].计算机应用研究, 2003 (7) :142.
局域网监听软件的设计 篇4
网络的发展十分迅速, 在各个领域中都能看到网络带给我们的巨大方便, 成为我们生活中必不可少的一种工具。在网络带给我们方便的同时, 同样的也给我们造成了许多问题, 最常见的有黑客攻击、数据库安全泄密等。如果我们不能及时正确地去解决这些问题, 就会给我们带来不可估量的损失。为了能够有效地维护网络安全, 一种能够监听网络的工具对我们而言是十分重要的。
2 实现方法
谢希仁[1]的《计算机网络 (第四版) 》全面系统地介绍了计算机网络的发展和原理体系结构、物理层、数据链路层、网络层、运输层、应用层、网络安全、因特网上的音频/视频服务、无线网络和下一代因特网等内容。
现代电子技术中《计算机网络安全分析研究》详细地介绍了计算机网络的安全技术问题, 读后可以对Internet安全方面的知识有一个全面完整的了解, 文中详尽地阐述了防止“黑客”入侵、网络安全方面的基础知识, 介绍了各种网络安全工具, 防火墙的构成、类型、意义及有关计算机安全性的重要性等。
W.Richard Stevens[2]《TCP/IP详解》一书说明了属于每一层的各个协议以及它们在不同操作系统中如何运行, 包括不同操作系统和TCP/IP之间实现传输的不同分组。对tcpdump输出的研究可以帮助理解不同协议如何工作。阐述了RFCS的标准协议, 并且结合许多实例对TCP/IP协议包的定义、原因及在各种不同的操作系统中的应用与工作方式进行表述, 以动态方式讲述路由协议、寻址协议、组控制协议、简单邮件传输协议。
Douglas E.Comer[3]《TCP/IP网络互连技术》这本书对因特网的原理、TCP/IP协议及网络体系结构都有详细的表述。本书介绍了TCP/IP、因特网各个组成部分的设计及其工作内容, 对每个协议如ARP, RARP, IP, TCP, UDP, RIP, OSPF都有详细阐述。
BRUCE ECKEL[4]《Java编程思想》详细介绍了Java的基础语法, 从最基础的基本语法逐渐延伸到Java自己独有的高级特性, 可使读者对Java语言有非常清晰的认识。
从耿祥义[5]《Java 2实用教程 (第三版) 》中学习到了Java的基本数据类型、语句、类与对象、子类与继承、接口与实现、内部类与异常类、常用实用类、组件及事件处理、输入输出流、JDBC数据库操作、Java多线程机制、Java网络编程、图形、图像与音频、泛型与集合框架、Java Applet等内容。
通过张仕斌[6]等编写的《网络安全技术》可以更加深刻理解网络安全原理和实践技术, 其中涉及网络安全基础知识、密码技术、入侵检测与安全审计技术、操作系统安全技术等。
吕艳娟[7]在电子世界期刊中发表的《关于网络监听技术的研究》中详细讲述了数据包是如何进行网络传输的, 以及网络监听的组成部分。并且介绍了两种不同的网络监听方式, 提出了如何实现网络中监听技术的实现方法。
林华清[8]在保密科学技术期刊中发表的《基于Win Pcap的网络监听防控系统设计与应用》中系统地介绍了Internet的监听原理及关键技术、基于Win Pcap的网络监听防控系统设计以及应用领域, 还就VC++环境下借助Win Pcap提供的函数对系统实现进行了分析。该系统结构简单、扩展性好、算法较优, 实现了六大功能模块, 其运用对网络安全检查检测具有重要意义。
孙继银[9]《网络窃密监听及防泄密技术》讲述了网络攻击窃密、网络监听分析和网络安全防御体系设计三个领域的专业知识。
3 开发布局及软件内部运行流程
通过对网络传输过程的了解, 使用Winpcap和Jpcap截取数据包, 构架出网络监听的整体布局, 包括以下步骤:程序的开始;准备监听;截获数据包;分析数据包;分析结果显示;流量统计;数据更新;指定对象监听。
4 网络监听技术的应用前景
局域网中网络数据监听的发展和研究有利于网络管理、网络故障排除以及网络入侵检测系统的进一步发展, 是保证网络安全的必要技术, 因而将在未来局域网中的发展中发挥举足轻重的作用, 对于维护整个网络的性能和安全稳定有非常直接的影响。
参考文献
[1]谢希仁.计算机网络[M].北京:电子工业出版社, 2003, 56-78.
[2]W.Richard Stevens[美].TCP/IP详解协议[M].北京:机械工业出版社, 2000, 55-78.
[3]Douglas E.Comer[美].TCP/IP网络互连原理协议体系结构[M].北京:人民邮电出版社, 2006, 41-72.
[4]BRUCE ECKEL[美].Java编程思想[M].北京:清华大学出版社, 2002, 15-49.
[5]耿祥义.Java课程设计[M].北京:清华大学出版社, 2004, 39-54.
[6]张仕斌, 谭三, 易勇, 蒋毅.网络安全技术[M].北京:清华大学出版社, 2004, 28-53.
[7]吕艳娟.关于网络监听技术的研究[J].电子世界, 2011 (22) :67-72.
[8]林华清.基于WinPcap的网络监听防控系统设计与应用[J].保密科学技术, 2013 (1) :7-12.
监听协议论文 篇5
在局域网中信息通常以明文形式传输,同一网段的所有网络接口都能访问物理介质上传输的所有数据。每个网络接口都有一个唯一的硬件地址。通常情况下只接收目标地址为自己和广播地址发送的信息。网卡具有如下的几种工作模式:
(1)广播模式(Broad Cast Model):物理地址(MAC地址)是OXffffff的帧为广播帧,此时网卡接收广播帧。
(2)多播传送(MultiCast Model):多播传送地址作为目的物理地址的帧可以被组内的其它主机同时接收,而组外主机却接收不到。但是若将网卡设置为多播传送模式,则可以接收所有的多播传送帧,而不论是不是组内成员。
(3)直接模式(Direct Model):此时网卡只接收目的地址是自己Mac地址的帧。
(4)混杂模式(Promiscuous Model):此时网卡接收所有流过的帧,信包捕获程序就是在这种模式下运行的[1]。
要捕获流经网卡但不属于本机的数据,必须将网卡的工作模式设置为混杂模式,由于采用以太网广播信道争用的方式,监听系统与正常通信的网络能够并联连接,并可捕获任何在同一冲突域上传输的数据包。网卡对所有接收到的数据帧都产生中断,不进行地址匹配而直接将数据帧递交给系统处理,这样操作系统通过直接访问数据链路,捕获流经网卡的所有数据报文[2]。
2 WinPcap
WinPcap是Win32环境下捕获网络数据包的开放代码函数库。WinPcap包含了一个内核级的数据包过滤器NPF(Netgroup Packet Filter)、一个底层动态链接库(Packet.dl1)和一个高层的独立于系统的库(Wpcap.dl1)。NPF模块过滤数据包,将数据包不做任何改动的传递给用户[3];Packet.dl模块提供了Win32平台下捕获包的驱动接口,基于Packet dll编写的程序可以不经过重新编译在Win32平台下实现捕获数据包;Wpcap.dll库不依赖于操作系统,且包含其它的高层函数,如过滤器生成器,用户定义的缓冲区和高层特性。WinPcap的主要功能在于独立于主机协议(如TCP蛐P)而发送和接收原始数据包。其能实现以下四项功能:
(1)捕获原始数据包,网络上各主机发送/接收的以及相互交换的数据包。
(2)在数据包发往应用程序之前,按照自定义的规则将某些特殊的数据包过滤掉。
(3)在网络上发送原始的数据包。
(4)收集网络通信过程中的统计信息。
3 网络监听系统功能设计
网络监听系统主要目的就是对发送蛐接收的数据包进行管理,提高工作效率,降低管理成本。监听系统基本结构可分为两个组成部分:
(1)内核模块:负责从网络中捕获以及过滤数据包。
(2)用户分析模块:负责处理用户界面的显示、数据转化与处理、格式化、协议分析等。若内核模块没有对捕获的数据包进行过滤,则过滤工作交由用户模块完成。
监听系统的总体结构如图1所示。如果需要监听特定数据,由于混杂模式工作下的网卡不能主动过滤数据,因此必须在系统中设置过滤器。
监听系统使用WinPcap函数包和Visual C++6.0作为开发平台,实现对局域网内TCP、UDP和IPX协议通信的监听,将监听结果保存在本地存储并实时地在用户界面上显示分析结果。利用WinPcap对网络数据包进行捕获的步骤及相关函数:WinPcap提供了pcap_fmdalldevs()函数来获取当前机器网络接口的内容,接口的全部信息都保存在pcap_if结构的链表中;pcap_t觹pcap_open_live(char觹device int snaplen,int promisc,int to_ms,char觹ebuf)函数获得捕获网络数据包描述字,将第3个参数设置为1,则可将网卡设置为混杂模式,函数调用成功则返回指定网卡的操作句柄即实现捕获网络数据包功能。用户可以根据实际需要调用int pcap_compile(pcap_t觹p,struct bpf_program觹fp,char觹str,int optimize,bpf_u_int32 netmask)函数设置相应的过滤条件,例如只接收UDP或TCP数据包,则将过滤字符串设置成“ip and tcp”或“ip and udp”即可[4]。
在系统实现中将内核模块分为两个线程:一个是抓取线程,分析抓取的数据包,并将需要的内容放入缓存并保存在本地存储;另一个是发送线程,使用TCP或UDP协议从缓冲区中依次取出数据包,发向远程监控中心[5]。接收线程和发送线程如图2、3所示。
4 结束语
Windows平台上实现了基于WinPcap的网络监听基本功能。该网络监听系统结构简单、捕获数据快,能实时的反映监听结果。在此基础上,开发人员可根据各自的网络需求设计出针对性更强的应用系统。
摘要:分析了WinPcap的体系结构并以WinPcap函数库作为开发平台,针对网络管理中的实际需求,分析了网络监听系统的基本工作原理与工作流程,描述了使用WinPcap函数捕获网络数据包的程序流程,最后给出具体实现的关键函数。
关键词:网络监听,WinPcap,数据包捕获,混杂模式
参考文献
[1]付强,左仁辉.基于WinPcap实现网络监听技术[J].合肥:电脑知识与技术,2008(5):624-627,632.
[2]胡晓云,史浩山.WinPcap包截获系统的分析及其应用[J].上海:计算机工程,2005(2):96-98.
[3]谢小特,王勇军.基于WinPcap的捕包程序设计[J].武汉:软件导刊,2007(11):71-72.
[4]刘毅.网络监听技术研究[J].济南:科技信息,2008(4):58.
网络通讯监听的特征及类别分析 篇6
获取他人在互联网中的秘密通讯信息的行为被称为网络通讯监听, 其主要凭借最基本的人体感官或使用各种技术手段来获取他人信息。随着互联网的迅速发展, 除了传统的联络方式之外, 人们更倾向于使用低廉的网络通讯来作为主要通讯工具。在网络通讯带给我们诸多便利的同时, 一些不法分子也开始广泛使用网络通讯手段来进行犯罪, 从事危害社会的活动。因此, 侦查机关在符合法定条件的情况下, 对具备严重社会危害性的不法分子展开网络通讯监听也非常有必要。我国的刑事诉讼法也在2011年对该类技术的使用措施进行了一系列的规定。因此, 本文将从其特征及类别进行分析, 促进对网络通讯监听的合法运用。
1 网络通讯监听的特征
特征是区别于两个事物的标志和征象所在, 其以外化的形态体现了事物的本质属性。毋庸置疑, 网络通讯监听和传统通讯监听有着相似或一致性, 但由于网络通讯监听产生于网络, 其有着明显的自身特殊性。网络通讯监听一般具有以下几个特征:
1.1 监听范围的广泛性
以互联网为媒介来进行信息传递具有传播速度快、距离远、容量大的优点, 为人们提供了一个快捷的交流方式。只需要手机或是电脑等网络连接设备并开通该设备的网络, 就可以利用互联网和任意一个互联网用户进行信息的交流、共享。但是在交流、共享信息的过程中也很有可能会出现被监听的情况, 随着互联网交流范围的扩大, 互联网通讯监听的波及范围也随之扩大, 遍及全球的各个角落[1]。因此, 网络通讯监听的主要特征之一就是其监听范围的广泛性。
1.2 监听主体的普遍性
网络通讯监听在监听主体上同传统监听有较大的差异, 其技术的含量远远高于传统监听。传统监听必须凭借特殊的实体性技术装置, 比如在口袋中藏录音笔进行当场录音、在电话的发话筒内安装隐形麦、在墙壁夹层内放置增敏传声器等等。虽然网络通讯监听也需要依靠一些特殊的软件程序来进行, 但是在实现社会中, 使用传统监听器材来对信息进行监听并不简单, 而且由于国家对通讯自由权、公民隐私权的保护, 此类器材很难被普通人购买。而在互联网环境中, 只需要安置相关的软件即可获取对方的私密信息。并且凭借着网络软件程序的非实体性及匿名虚拟性, 这些软件可以随意下载使用, 因此网络通讯监听的主体具有普遍性。
1.3 监听对象的非确定性
在传统通讯监听的过程中, 监听的对象基本是确定的, 谈话的当事人即是具体的监听对象。但在网络监听的过程中, 监听的对象却存在着非确定性。除了实时语音可以确定监听对象的身份之外, 大多时候人们在交流的过程中, 通讯都是以数据信息流的形态出现。这样一来, 监听人不能确定监听的信息是否属于被监听人, 甚至可能会牵涉到其他人员, 使得监听的对象变得不确定。
2 网络通讯监听的类别
2.1 即时多人网络通讯监听
依靠各大门户网站聊天室进行实时信息交流的方式被称为即时多人网络通讯, 这种通讯方式被人们广泛使用。凭借网络监控软件对此类通讯方式的交流信息进行截获的过程就是即时多人网络通讯监听, 而当事人并不局限于特定的两个人, 往往有众多的参与者。以这种方式进行监听容易伤及无辜人员的基本人权, 除非情势危急, 这种监听方式一般不被允许使用[2]。
2.2 非即时网络通讯监听
凭借BBS、Blog、E-mail等方式进行非实时交流的情况被称为非即时网络通讯, 是一种极其普遍的通讯形式。用“铁马冰河”、“食肉者”等专门的监控软件对目标计算机进行监控的行为即是非即时网络监听, 这些软件的使用可以对此类通讯路径所传输的信息进行智能化的记录、搜索和复制, 该监听方式得到了广泛运用。
2.3 即时单独网络通讯监听
利用一对一的通讯软件进行实时信息交流的方式被称为即时单独网络通讯, 双方当事人也具有不特定性。随着互联网的普及、移动通讯4G时代的到来, 该通讯方式的应用也更加普遍, 很多人都凭借该种方式进行联络。其实, 在一定程度上, 即时单独网络通讯监听与传统的电话监听有着极大的相似之处, 都是秘密截获双方当事人的交流信息内容, 并且这种监听方式较为简单, 利于应用。然而, 侦查人员在进行监听前需事先获得任一方当事人的同意并得到法定机关的令状许可才能使用该方式对双方当事人的信息进行监听。
3总结
网络通讯监听方式已成为打击犯罪活动的重要手段之一。但是实行该方式很有可能会侵犯被监听人的通讯自由权和公民隐私权, 因此, 我们必须对网络通讯监听的特征及类别进行细致的探讨, 更加全面地认识网络通讯监听, 才能在情况发生之时真正的对症下药, 运用最合理、合适的监听手段, 确保其在法制框架的制约下发挥出积极作用。
摘要:网络通讯监听是技术侦查的手段之一, 在IT时代中极为重要, 其应用价值在规制犯罪方面得到了很好的体现。本文对网络通讯监听的特征和类别进行分析归纳, 发现其特征主要包括监听范围的广泛性、监听主体的普遍性和监听对象的非确定性;其主要类别可分为即时多人网络通讯监听、非即时网络通讯监听和即时单独网络通讯监听三大类。
关键词:网络通讯监听,特征,类别
参考文献
[1]欧阳爱辉.网络通讯监听的特征及类别分析[J].哈尔滨师范大学社会科学学报, 2012 (1) :47~49.
CAN总线监听系统的设计与研究 篇7
作为汽车电子实训设备, 学习人员不仅要了解关键部件的状态数据, 还需要对各部件工作状况进行实时监控, 必要时需将各子系统数据传输至PC机中进行进一步存储及分析。本设计采用CAN总线来实现模拟车内各个子系统的数据采集, 嵌入式微处理器单元通过无线、WIFI, 多种方式实现与PC机的数据交换, 从而实现对各子系统的监听功能。方案以内嵌CAN控制器STM32F103VET6作为微处理器, 完成上述功能。
1 系统设计
1.1 数据采集系统设计
一个完整的采集系统由传感器, CAN收发器, CAN总线, 接口, 微处理器等几大部分组成, 如图1所示。
图1中的被检测量是由汽车某一控制单元发出的, 这些控制单元包括灯光控制单元、电动座椅单元、门锁防盗单元等。传感器按一定规律将被检测量转换为数据采集系统能够测量的电信号。通过传感器得到的信号经调理电路对其进行缓冲、放大、隔离、滤波, 以及线性化等处理, 以获得模数转换所需的归一化信号。将经过调理的信号通过微控制器 (如单片机) 进行取样保持和模数转换, 然后通过CAN收发器发送到数据总线上。数据采集系统还包括驱动软件, 驱动软件直接对硬件的寄存器进行操作, 并管理中断、存储器等微机资源。
1.2 检测系统设计
检测系统的形式采用集散型数据处理模式, 指一路或几路信号对应一个数据采集模块, 每个数据采集模块都包括AD转换和单片机系统, 完成对一路或几路信号的采集和处理。模块间通过总线相连。
从图2中可以看出, 每一个数据采集模块只负责一路信号, 数据模块之间通过总线进行通讯。由于一个数据采集模块只负责一路信号, 所以数据采集的速度可以很高。由于现在主流的AD芯片的转换时间大多为几, 所以采用这种方式进行数据采集, 速度可以达到实时数据采集要求。同时这种方式体现了模块化的设计思想, 可以将几个相同类型的信号共用一个数据采集模块, 对于不同类型的信号只需要更改前置电路就可以了。这样设计便于系统扩展, 当有新的信号需要采集时只需要添加一个数据采集模块并连接到总线上就可以了。考虑到汽车上信号接线和汽车部件关系比较密切, 所以本方案采用集散型数据采集处理模块来完成对汽车上的信号的采样。
1.3 总体系统设计
系统核心器件为嵌入式微处理器, 它控制CAN收发器, 将各子系统传输至CAN总线的信息数据按一定优先级通过无线模块, WIFI模块或串口模块与上位机进行数据交换。
设计中采用ARM Cortex-M3内核的STM32F103VET6为核心控制器, 其中内嵌了CAN控制器, 节约了空间资源。CAN收发器采用PHILIPS公司生产的高速CAN收发器TJA1050, 可以为总线提供不同的发送性能, 为CAN控制器提供不同的接收性能。总体框图如图2所示。
STM32是意法半导体推出的基于Cortex-M3内核的32位ARM, 目前有5个系列, 其中STM32 F103VET6属于STM32F103系列的高容量芯片, QFP100封装, 64K片内SRAM, 512K片内FLASH, 具有SDIO 4位接口 (SD卡的专用接口, 速度更高, 该接口也可用于和SDIO接口类型的wifi模块连接) 。选用此芯片作为核心MCU, 主要由于其容量大, 性价比高且具有SPI方式的NRF24L01无线收发器2.4G无线模块接口。
2 硬件接口
2.1 CAN驱动模块
ISO 11898是一个使用CAN总线协议的汽车内高速通讯国际标准。TJA1050符合ISO 11989标准, 它可以和其他遵从ISO11898标准的收发器产品协同操作, 此外TJA1050还具有良好的电磁兼容性, 连接节点数可达110个。如图3所示, 微处理器内部协议控制器通过一条串行数据输出线 (CAN-TX) 和一条串行数据输入线 (CAN-RX) 连接到TJA1050收发器。而收发器则通过它的两个有差动接收和发送能力的总线终端CANH和CANL连接到CAN总线线路。典型的CAN总线采用一对双绞线。考虑到ISO 11898中定义的线性拓扑结构, 总线两端都端接一个120Ω的额定电阻。这就要求总线额定负载是60Ω。终端电阻和电缆阻抗的紧密匹配确保了数据信号不会在总线的两端反射。
2.2 WIFI模块
88W8686是一款最新高整合WLAN Soc。它面向移动电话、数字摄像机、移动媒体播放器、PDA、游戏机等移动设备。它具有封装尺寸小, 低功耗的特点, 且提供SDIO和SPI主机接口适用于各种不同的处理器。
88W8686So C具有非常高的集成水平, 芯片集成了一个可在2.4 GHz和5 GHz运行的双频射频无线收发器、一个物理层、一个媒介接入控制器和一个ARM处理器。
STM32可通过SDIO接口与88W8686连接。88W8686支持SDIO设备接口, 允许使用SDIO总线协议访问WLAN设备。SDIO接口包含于外部SDIO总线和内部共享总线间的接口电路。88W8686充当SDIO总线上的设备。Host单元可以直接访问SDIO接口的寄存器, 也可以通过使用BAR和DMA引擎访问设备的共享存储空间。
2.3 基于NRF24L01的无线通信模块
NRF24L01是NORDIC公司生产的一款新型单片射频收发器件, 采用FSK调制, 内部集成NORDIC自己的Enhanced Short Burst协议。可以实现点对点或一点对六点的无线通信。无线通信速度可以达到2M (bps) 。器件工作于全球开放的2.4~2.5 GHz ISM频段。内置频率合成器、功率放大器、晶体振荡器、调制器等功能模块, 其中输出功率和通信频道可通过程序进行配置。NRF24L01的SPI接口可以利用STM32的硬件SPI接口直接连接。
综上所述, 本文完成了基于CAN总线监听系统的总体设计, 叙述了集散型数据采集系统的各部分组成, 以及芯片的选择及其优势分析, 给出了wifi模块以及无线模块与核心芯片STM32 F103VET6的连接设计, 以及各模块的详细介绍和功能实现。
参考文献
[1]乌宽明.CAN总线原理和应用系统设计[M].北京:北京航空航天大学出版社, 1996:127-156.
[2]杨军, 冯振声, 黄考利.装备智能故障诊断技术[M].北京:国防工业出版社, 2004.
[3]饶运涛, 邹继军, 郑勇芸.现场总线CAN原理与应用技术[M].北京:北京航空航天大学出版社, 2003.
[4]蔺金元, 秦亚超.基于CAN总线的数据采集系统[J].宁夏工程技术, 2002, 1 (2) :176-178.
[5]许海燕.基于CAN总线的作战车辆综合电子信息系统的研究[D].南京:河海大学, 2004.