ip数据包的捕获与分析(共3篇)
ip数据包的捕获与分析 篇1
本套设计论文描述及运行界面展示
摘 要
数据包过滤是一个用软件或硬件设备对向网络上传或从网络下载的数据流进行有选择的控制过程。数据包过滤的功能通常是在将数据包从一个网站向另一个网络传送的过程中允许或阻止它们的通过(更为常见的是在从英特网向内部网络传输数据时,或从内部网络向英特网传输)。若要完成数据包过滤,你就要设置好规则来指定哪些类型的数据包被允许通过和哪些类型的数据包将会被阻止。
基于数据包过滤的防火墙,能够很好地保护用户在与网络连接时的安全性。
我们的目标,就是通过截获数据包,并且对其进行分析,来放行或阻止网络访问,从而达到保护计算机安全的目的。
本论文主要讲述了下面几点:
一、数据包捕获及网络安全技术
二、系统的设计与实现
三、测试及其他
关键字:数据包捕获;防火墙;网络安全
Abstract Packet Filtering is the process a piece of software or device takes to selectively control the flow of data to and from a network.Packet Filters allow or block packets, usually while routing them from one network to another(most often from the Internet to an internal network, and vice-versa).To accomplish packet filtering, you set up rules that specify what types of packets are to be allowed and what types are to be blocked.The packet filtering based firewall can protect the security of computers very well.Our goal is to capture and analysis data packets ,so we can examines all packets that pass in and out of it to prevent packets from passing through ,and the computer is protected.The thesis presents these aspects:
1、Technology of Packet Filtering and Network Security
2、How to implement the system
3、Testing document and others Key Words: Packet Filtering、Firewall、network security
目 录 第一章 绪论 1 第一节 课题意义1 第二节 课题综述1
一、国内外发展情况 1
二、网络安全技术介绍 4
三、防火墙介绍 6
四、防火墙技术发展趋势8
五、防火墙产品发展趋势10 第二章 需求分析 11 第一节 需求分析11
一、功能调查11
二、初步设计12 第二节 可行性分析 12
一、技术可行性及方案选择 12 第三节 开发环境及工具 13
一、开发环境13
二、开发工具14 第三章 基础实现技术介绍 15 第一节 MFC介绍15 第二节 数据包过滤技术 15
一、数据包 15
二、数据包过滤是怎样工作的16
三、包过滤的优点 16 第四章 系统总体设计18 第一节 功能分析18 第二节 系统工作流程 19
一、系统工作流程图 18
二、原理分析20
三、系统工作过程描述 21 第五章 子模块设计 22 第一节 模块分析21
一、模块划分原则 22
二、模块划分23
三、模块接口定义 25 第二节 子模块详细设计 26
一、注册模块26
二、查询模块28
ip数据包的捕获与分析 篇2
随着计算机网络的迅速发展, 人们迫切希望网络上的信息不被泄露、更改和破坏, 网络服务不被中断。网络数据包捕获和分析技术是网络安全维护的基础技术和核心手段, 因此, 深入研究网络数据包的捕获和分析技术尤为必要。本文提出了一种可行的捕获网络数据包的设计流程, 并实现了对捕获的数据包的实时分析和存储功能。
1基于Winpcap数据包的捕获技术
1.1网络通信模型及常规通信编程方法
计算机网络通信采用OSI七层模型标准, 只要遵循这个标准就可以和位于世界任何地方、同样也遵循OSI标准的其它任何系统进行连接。但实际上完全符合各层协议的商用产品很少, 随着Internet在全世界的飞速发展, TCP/IP已经成为事实上的国际标准, 它们的对比参考模型如图1所示。
对Windows系统, 数据包捕获用到的主要方法有原始套接字、调用NDIS库函数、使用他人编写的中间层驱动、使用第三方组织提供的捕获组件或者库 (如Winpcap) 共4种。本文采用第4种, 具体介绍如下:
1.2 Winpcap技术简介
Winpcap是UNIX下的libpcap移植到Windows下的产物, 它是一个开源项目。Winpcap工作于驱动 (Driver) 层, 所以能以很高的效率进行网络操作。Winpcap提供了以下强大功能[1]:1获取网卡列表及信息;2捕获原始的数据包;3设置filter, 只捕获自己感兴趣的数据包;4方便地把捕获的数据包输出到文件和从文件输入;5发送原始的数据包;6统计网络流量。
本文使用MFC应用程序的界面设计编写程序, 核心开发主要使用Winpcap完成。Winpcap的组成部分如图2所示, 使用其提供的函数主要完成网络数据包的捕获等功能。
Winpcap为Win32应用程序提供访问网络底层的能力, 底层是基于WINPCAP包进行开发。主要用到的函数包括[2]:
(1) int pcap_findalldevs () ;用于返回所找到的适配器列表。
(2) pcap_t* pcap_open () ;用于打开一个网络接口进行数据包捕获。
(3) void pcap_dump () ;用于将包内容输出到由pcap_ dump_open () 打开的文件中。
(4) int pcap_compile () ;用于将过滤规则字符串编译成一个BPF内核过滤程序。
(5) int pcap_setfilter () ;功能是设置BPF过滤规则。
(6) int pcap_datalink () ;功能是获取数据链路层类型, 如10M以太网、SLIP、IEEE802.3等。
1.3数据捕获原理
以太网 (Ethernet) 是一种总线型网络, 具有共享介质的特征, 当网络适配器设置为监听模式 (混杂模式, Pro- miscuous) 时, 由于采用以太网广播信道争用的方式, 使得监听系统与正常通道的网络能够并联连接, 并可以捕获任何一个在同一冲突域上传输的数据包, 运用这一原理就能监听所需要的信息。
1.4原始数据包捕获的实现
捕获流程按先后顺序如下:1捕获设备可用的接口列表;2选择接口并将其设为混杂模式捕捉;3将捕捉的数据包保存进数据库以便读取和分析;4读取数据库保存的数据包并进行分析;5释放接口。
本软件建立在Winpcap结构的第三层模块Winpcap. dll之上, 并用VC++6.0多线程技术实现。主线程用于查找和显示网络设备、设置过滤器、分析数据包。子线程用于打开选择网络接口、捕获数据包并实时存入数据库中。
1.5体系结构设计总框架
Winpcap提供了数据包的捕获功能, 在不同的应用中需要设计不同的协议分析模块。针对不同的协议, 设计相应的协议分析功能, 是基于Winpcap应用的关键所在。本文使用Winpcap捕获和分析网络数据包的框架如图3所示。
2具体设计与实现过程
2.1 Winpcap安装与配置
由于本程序采用Winpcap抓取数据包, 所以需要Winpcap软件包以及相应开发包的支持。主要配置包括头文件目录和库文件目录, 增加与Winpcap有关的预处理定义、pcap.h头文件以及添加静态链接库, 然后编译并测试代码。本程序采用的开发环境是Winpcap4.1.3以及对应的开发包[3]。
2.2初始化
这部分主要做的工作就是VC、MFC框架以及相关控件的初始化, 包括列名称、列宽度等相关属性, 网络设备信息包括设备的唯一识别名称及其可读的描述内容, 然后将其显示在一个下拉列表中供用户选择。
2.3 ADO技术及连接数据库
2.3.1 ADO技术简介
ADO是一组由微软提供的COM组件, 基于面向对象思想的编程接口。它建立在COM体系结构之上, 其所有接口都是自动化接口, 因此在C++、VisualBasic、Del- phi等支持COM的开发语言中通过接口都可以访问到ADO。ADO对象模型非常精炼, 由3个主要对象Connec- tion、Command、Recordset和几个辅助对象组成。
2.3.2连接数据库代码设计
首先, 使用ADO前必须在工程的StdAfx.h头文件里直接引用符号#import, 以此引入ADO库文件, 使编译器能正确编译;其次, 定义ADO连接、命令、记录集指针, 这些指针为整个应用程序所共享。如在对话框头文件中定义:_ConnectionPtr m_pConnection;_CommandPtr m_ pCommand;_RecordsetPtr m_pRecordset;再次, 需要初始化OLE/COM库环境。在MFC应用程序里, 一个比较好的方法是在应用程序主类的InitInstance成员函数里初始化OLE/COM库环境。通常在ADO操作中语句要常用try....catch () 来捕获错误信息, 此时通过链接字符串与相应的数据库连接[4]。代码如下:
最后, 通过引用类中的theApp获取库连接指针, 同样采用try...catch () 来捕获错误信息。程序代码如下:
至此, 与ADO相关的代码都已经添加完成。
2.4功能相关的代码设计及程序编写
2.4.1程序开发流程
本程序具体流程:主程序 → 数据包捕获子线程函数ThreadProc→数据包实时显示以及实时存入SQL数据库。在多线程应用中, 子线程函数ThreadProc主要用来抓取数据包, 代码设计如下:
具体流程如图4和图5所示。
2.4.2软件运行结果
本软件需确保安装在本机上的Winpcap安装包, 运行结果如图6所示。
3结语
本文利用VC++6.0开发工具和Winpcap开发包, 实现了监听局域网内所有主机的数据包, 并分析了每个包的协议、源/目的IP地址、数据包长度等, 可检测网络入侵亦可学习网络协议知识, 但分析还不够完善, 有待进一步提高。
摘要:利用Winpcap网络开发包使应用程序绕过协议栈捕获并传送网络数据包, 实现了数据包的循环捕获。基于Windows平台, 用VC++6.0实现界面设计, 并运用ADO技术与数据库连接, 实现了数据包实时分析和数据的存储功能。
关键词:Winpcap,数据包,协议分析,数据库
参考文献
[1]吕雪峰.网络分析技术揭秘[M].北京:机械工业出版社, 2012.
[2]王月辉.基于Winpcap的网络数据包捕获和分析系统的研究与实现[D].沈阳:沈阳工业大学, 2007.
[3]黄培花.基于Winpcap的网络数据包捕获系统设计与实现[J].滨州学院学报, 2012, 28 (6) .
ip数据包的捕获与分析 篇3
9月22日,由世界领先的知识产权信息服务供应商QUESTEL精心打造的Orbit IAM 创意、专利和资产价值管理平台在上海隆重发布。与此同时,QUESTEL邀请天马微电子集团资深总监兼首席总工程师黄忠守,为业内人士携手打造了一场精彩纷呈的“天马IP总监经验分享暨Orbit新工具推介会”。会议吸引了来自多个高新技术领域的业内人士参与,不同领域的行业精英碰撞思维火花,掀起一场游走于数据分析、案例解读和企业管理之间的“头脑风暴”。
数据分析助力企业知识产权管理
“在我所从事的电子行业中,市场竞争几乎呈现白热化的态势,由于信息的高度网络化,抢在对手之前申请和获得专利权变得越来越重要。同时,专利流程会受到很多难以预测的因素影响,仅在单个案件中,随机事件往往让你很难明白它的根源,难以管控,但是在一定时间和空间里频繁出现的很多事件常会呈现一种态势或者规律,通过挖掘规律内在的机制和原因,我们就可以作出比较有针对性的情报分析和管控。”会议伊始,黄忠守开门见山地指出了数据分析对于新技术企业的知识产权管理的重要性。
通过精细的图表对数据的剖析,黄忠守为与会人士以数据诠释规律,揭示了发明人数量与其贡献专利数量的关系、发明人贡献专利数的占比以及发明人的年龄与技术生命周期的关系,得出了“通常10%的工程师贡献了80%的专利,所以大部分资产和人力资源应该向这10%的人倾斜”等精辟论断。与此同时,黄忠守也并未回避数据分析中可能遇到的问题。“我们从说明书的撰写质量来评价代理人是非常自然的事,评价次数越多,分数越可靠……但是每个人的评价标准不一样,如何判断好坏?”黄忠守在会上展示了在此问题上可用于帮助判断的箱形图工具时说,“但这个工具也有些问题,需要在平稳的状态下进行。比如对代理人而言,做的案子越多是否就意味着质量越高?其实一些个人因素也会导致代理人的交互周期、办事质量的变化。所以这不是完全稳定数据。即便如此,我们还是要做一些统计数据,首先它在一定时期内是有根据和说服力的;其次体现在管理上,我们必须向财务拿出分析数据,这样才有足够理由决定选择哪家供应商,淘汰哪个代理人。”
“知识产权管理实际上是一种投资回报的管理,但如果没有基于数据化的管理作出的一些结论,我认为这个管理就仍然还处在一个粗放的水平。”黄忠守介绍专利流程的精细化管理对于企业的整体知识产权管理的重要性时说,“流程的精细化管理,就是把专利流程做得精致有效益,其精髓是去掉或缩短那些无创造价值的流程。”演讲过程中,黄忠守用柱形图表的形式将专利流程中的等待派案、查新检索、等待评审、撰写与核稿、提交发明提案到提交专利申请等环节的时间分布状况可视化,从而暴露了每个环节中不具有创造价值的时间段。黄忠守说,“这些不创造价值的时间段的存在,说明我们的流程还有很多改善的余地。首先,实际发生的流程和我们规划的理想流程永远是不一样的,我们要把流程画出来再讨论,会发现一些细节,正所谓‘魔鬼藏在细节之中,所以精益化管理的第一步就是注重细节。很多企业的专利管理只设定一个目标,但是并不去看结果,这样是没有办法还原其真相,没有办法做精益化管理的。另外,对于等待环节浪费的大量的工作日,有个改善方法叫小批量多名次,例如多开评审会,不要几个月才开一次,可以用这个方法减少等待时间。”
当目光从专利申请流程内部的局部环节转向专利年申请量整体,数据分析同样可以为公司专利的年度申请布局提供指引。“从数据和图表上不难发现,关于每年申请量的波动,在企业和个人的年终绩效考核指标(KPI)的驱动下,专利申请量无一例外地在每年的12月末呈现最高峰值,之后的元旦和春节出现空档。”黄忠守尖锐的指出。这种现象不仅导致研发工程师、专利工程师和事务所代理人遭受巨大的负荷冲击,更会在最终层面造成低水准的中国专利和巨量的资源浪费。“解决办法之一就是把单峰值变为双峰值,年底一个年中一个。另外,最重要的是引入以专项技术的头脑风暴和拓展为主要的驱动方式,比如一项技术,找一群人举办一次头脑风暴,集中时间出来一批高质量的具有布局概念的专利。这是有效的,可以把每年申请量的波动平衡化,这样公司专利工程师的资源、事务所的资源可以得到最大限度的管理。”黄忠守说。
放眼国际,专利公开时间的选择同样是中外企业专利布局中的重要一环,通过对中外多家企业的公开数据的研究,黄忠守在分析数据图表的基础上向与会听众传达了“个别公司会选择做出将目前还在国知局尚未公开的专利一起公开,其中包括大量的提前公开的情形”这一讯息。对于专利提前公开的利弊损益,黄忠守认为其“两面性”并存是毋庸置疑的,企业要结合自身情况,合理布局专利,选择最有利于自身发展的专利公开时间。“首先,提前公开可以影响竞争对手专利的创造性,限制其专利实施效果,甚至迫使其改变基础设计路线,推迟产品的发布。但是,抢先发布很有可能暴露自己的研发水准和关注热点,在专利布局完成之前会提示竞争对手,使得对方规避相关专业。很多海外企业很犹豫或不愿意采用提前公开,就是觉得提前公开导致竞争对手可能会‘偷,或研究出很多对抗措施。另外一点,从申请日期到获得授权期间,虽然可以获得法律临时保护,但这个临时保护缺乏执法力度,缺乏强制的实施权利的作用。”黄忠守强调,“知识产权行业更新换代特别快,提前公开可以降低重复,加快技术更新的速度;但也容易导致技术抄袭的泛滥,有了好的东西大家都去抄,可能你的产品还没上市,抄你的先上市了,这个是必须要警惕的。”
Orbit IAM:创意、发明和资产的IP全线智能管理
黄忠守一直强调在企业知识产权管理中发挥数据统计分析的价值,而多年来,QUESTEL正是在这条道路上坚持不懈地努力着。自上世纪七十年代初成立以来,QUESTEL一直专注于知识产权方面的核心业务,公司服务内容涵盖企业知识产权生命周期所有相关解决方案,包括专利数据深度挖掘、专利地图分析、IP侵权分析、专利自由使用分析、知识产权诉讼、评估和专利许可等。QUESTEL咨询团队通过全球化的数据分析,帮助企业了解自身和竞争对手在当前和新兴的研发产品中的定位,运用技术价值链对相关专利定位和发展进行评估,通过关键参照指标选择同行和竞争对手来进行绩效评估,为进行重点改善确定战略优势和机会,设立衡量基准以衡量一段时间内的进展。依据技术、专利类型、市场等要素对文档进行指数化处理,从而适应客户的需求和目标的个性化细分已成为QUESTEL咨询的重要特点。QUESTEL的客户大多来自世界500强的企业,如宝洁、达能、辉瑞、佛吉亚、IBM、福特等。中国的许多知名企业亦是QUESTEL所开发数据库的忠实用户,比如ZTE(中兴通讯)等。
由QUESTEL推出的Orbit系统是世界最早的专利数据库之一,其用户包括世界各地的专利审查员、专利代理人及知识产权工作者。Orbit系统包含了世界上最全面、最新的专利及外观设计专利情报,可以帮助用户对99个国家及组织的专利数据、14国及组织外观设计专利数据进行检索、浏览、分析、下载和共享,以及分析和管理知识产权组合等。会上,QUESTEL亚太区总经理侯瑞玲向与会听众介绍了Orbit系统的新发展,“Orbit数据库新添加入了‘标准信息,收录范围包含了ETSI(欧洲电信标准协会)发布的2600多项标准或报告,可以快速地呈现标准对应专利信息,并且针对Orbit用户免费。”更值得欣喜的是,QUESTEL在会上发布了全新的Orbit IAM 创意、专利和资产价值管理平台,吸引了与会和界人士的广泛关注。“最新发布的Orbit IAM是一个极为先进的IP资产管理系统,它将提案管理、发明者管理和资产管理引入到商业决策流程中,通过在线平台实现从技术提案、专利策划评价、专利提案及专利管理,到IP资产价值实现的全过程智能管理。”侯瑞玲介绍道,“专利等知识产权资产,诞生于企业日常经营之中,也为企业经营战略服务。”
这些是侯瑞玲在会上多次强调的观点,更是QUESTEL始终坚持的理念。“Orbit IAM所做的,就是从企业创意管理、发明管理和资产管理三个维度为客户量身定制知识产权解决方案。”侯瑞玲说。
Orbit IAM的创意管理流程主要包含设置挑战、收集创意和管理关键创意三个环节。侯瑞玲在会上向各界人士详细解读了Orbit IAM创意管理的运作流程:“首先,‘设置挑战是一个设计并分享技术项目的环节,系统同时会设置流程并进行期限管理;而挑战被设置后,公司内部或者外部相关人可以通过网络提交创意,设定的专家委员会可以对创意进行补充或者提出质疑,也可以对创意进行评定及修改;在后期的管理关键创意环节中,系统能够帮助管理人员做出决策,比如是否应继续投资人力物力,使其成为一个发明方案(知识产权),或一个技术改进方案,或直接放弃。”
根据侯瑞玲的介绍,Orbit智能检索能够搜索到世界范围内所有公开的相近似的提案或近似专利,这不仅有利于关键创意的筛选,从而保留最有价值的创意,这种智能检索功能对于企业的发明管理同样具有重大的实用意义。“发明者将发明提案提交系统以后,智能检索能够迅速找到本公司所有近似提案乃至世界范围内的所有公开的近似专利,这十分有利于企业避免多余的发明提案并专注新的、独特的提案,使得发明能够顺应公司的决策。”侯瑞玲强调智能检索功能的优势时如是说,“其实Orbit IAM发明管理流程的优势不仅限于此,在线专利评审的过程中,技术专家以及相关人员可以寻求他人的建议,以创造高价值专利;而在评审后的决策环节,系统的快速决定、流程化的在线审核、添加评分及评论等功能可以帮助决策委员会迅速做出决策;与此同时,分析平台提供了所有发明提案的历史与现实状态,可以帮助管理者识别最有价值的发明人和其他重要信息,通过便利的外部交流途径,可以与律师分享发明提案或跟踪专利撰写,确认发明提交及专利申请进程监控等。”