协议分析监视软件的设计与实现__墨水学术,论文发表,发表论文,职

分类：推荐论文 时间：关注：(1)

摘要：随着计算机和网络技术的发展，网络化、信息化的普及，网络安全已经成为各单位必须要解决的问题。如何探明网络状况、分析网络中存在的问题、寻找解决问题方案成为很多单位网络管理工作中的核心任务。本文在分析研究当前数据包捕获与分析的主要技术基础之上，设计并实现了一个网络分析软件。该软件可以捕获局域网呢正在传输的数据单元，并提供实时分析，为网络管理人员提供了有效的技术支撑。
　　
　　
　　
　　1.    引言
　　随着计算机网络的飞速发展，无论是个人娱乐还是单位办公对网络的依赖越来越大，单位局域网中传输着单位内部包括人、财、物等重要信息，因此，网络安全问题直接关系到公司的核心利益。许多单位在建立了自己的局域网后，其日常管理和维护变得至关重要。排查网络故障，提高网络性能，增强网络安全性，需要企业网络随时能够进行网络状况分析。网络分析可以让单位网络管理人员实时地掌握网络状况，并根据现状和发展趋势，确定应对方案，也只有这样才能使网络管理人员预先发现问题、防范网络安全问题[1]。
　　网络协议分析是指通过程序分析网络数据包的协议头，从而了解信息和相关的数据包在产生和传输过程中的行为。包含该程序的软件和设备就是协议分析器。由于设备价格贵、使用不够方便和隐秘，因此，很多单位采用协议分析器软件作为网络安全管理的手段。
　　2.    相关理论
　　一个分组嗅探器俘获（嗅探）计算机发送和接收的报文。一般情况下，分组嗅探器将存储和显示出被俘获报文的各协议头部字段的内容。图1为一个分组嗅探器的结构。图1右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如：web浏览器和ftp客户端）。分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。分组俘获库（packetcapturelibrary）接收计算机发送和接收的每一个链路层帧的拷贝。高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。图1假设所使用的物理媒体是以太网，上层协议的报文最终封装在以太网帧中[2]。
　　图1.分组嗅探器结构
　　分组嗅探器的第二个组成部分是分析器。分析器用来显示协议报文所有字段的内容。为此，分析器必须能够理解协议所交换的所有报文的结构。例如：我们要显示图1中HTTP协议所交换的报文的各个字段。分组分析器理解以太网帧格式，能够识别包含在帧中的IP数据报。分组分析器也要理解IP数据报的格式，并能从IP数据报中提取出TCP报文段。然后，它需要理解TCP报文段，并能够从中提取出HTTP消息。最后，它需要理解HTTP消息。
　　在局域网中，由于以太网的共享式特性决定了嗅探能够成功。因为以太网是基于广播方式传送数据的,所有的物理信号都会被传送到每一个主机节点，此外网卡可以被设置成混杂接收模式(Promiscuous)，这种模式下，无论监听到的数据帧目的地址如何，网卡都能予以接收.而TCP/IP协议栈中的应用协议大多数明文在网络上传输，这些明文数据中，往往包含一些敏感信息(如密码，账号等)，因此使用Sniffer可以悄无声息地监听到所有局域网内的数据通信，得到这些敏感信息。同时Sniffer的隐蔽性好，它只是“被动”接收数据,而不向外发送数据，所以在传输数据的过程中，根本无法觉察到有人监听。当然，Sniffer的局限性是只能在局域网的冲突域中进行，或者是在点到点连接的中间节点上进行监听。
　　3.系统设计与实现
　　3.1系统总体设计
　　当前绝大多数单位网络均为以太网，以太网采用的是持续CSMA/CD工作方式，逻辑上呈总线结构。其网卡工作模式分为四种：广播模式、多播模式、直接模式、混杂模式。为实现监督网络中所传输的

• 共3页:
• 上一页
• 1
• 2
• 3
• 下一页