网络数据包捕获技术研究论文

网络数据包捕获技术研究论文

ID:27761364

大小:51.00 KB

页数:5页

时间:2018-12-06

网络数据包捕获技术研究论文_第1页
网络数据包捕获技术研究论文_第2页
网络数据包捕获技术研究论文_第3页
网络数据包捕获技术研究论文_第4页
网络数据包捕获技术研究论文_第5页
资源描述:

《网络数据包捕获技术研究论文》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、网络数据包捕获技术研究论文.freeliscuous)模式,当网卡工作在这种“混杂”模式时,该网卡就具备了“广播地址”,它对所接收到的每一个帧都产生一个硬件中断以提醒操作系统处理流经该网卡上的每一个报文包。操作系统通过直接访问链路层,截获相关数据,由应用程序而非上层协议(如IP层、TCP层)对数据过滤处理,这样就可以捕获到流经网卡的所有数据。3共享和交换以太网下的捕包首先从TCP/IP模型的角度来看数据包在局域网内发送的过程:当数据由应用层自上而下地传递时,在网络层形成IP数据报,再向下到达数据链路层,由数据链路层将IP数据报分割为数据帧,增加以太网

2、包头,再向下一层发送。需要说明的是,以太网的包头中包含着本机和目标设备的MAC地址,也就是说,数据链路层的数据帧发送时,是依靠48bits的以太网地址而非IP地址来确认的,以太网的网卡设备驱动程序不会关心IP数据报中的目的IP地址,它所需要的仅仅是MAC地址。3.1在共享以太网中捕包共享式以太网的典型代表是使用10Base5的总线型网络和以集线器(HUB)为核心的星型网络。集线器工作在物理层。在使用集线器的以太网中,集线器将很多以太网设备集中到一台中心设备上,这些设备都连接到集线器中的同一物理总线结构中。从本质上讲,以集线器为核心的以太网同原先的总

3、线型以太网无根本区别,集线器并不处理或检查其上的通信量,仅通过将一个端口接收的信号重复分发给其他端口来扩展物理介质。所有连接到集线器的设备共享同一介质,其结果是它们也共享同一冲突域、广播和带宽。因此集线器和它所连接的设备组成了一个单一的冲突域。如果一个节点发出一个广播信息,集线器会将这个广播传播给所有同它相连的所有节点,因此它也是一个单一的广播域。当局域网内的主机通过HUB连接时,HUB的作用就是局域网上面的一个共享的广播媒体,所有通过局域网发送的数据首先被送到HUB,然后HUB将接收到的所有数据向它的每个端口转发。因此我们只要将某台主机的网卡设置为

4、混杂模式,就可以接收到局域网内所有主机间的数据流量。3.2在交换以太网中捕包在交换式以太网中,交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射,并将其写入MAC地址表中。当有数据包发送到交换机时,交换机会将数据包中的目的MAC地址与自己维护的MAC地址端口映射表中的数据进行对照,然后将数据包发送到对应的端口上。对交换机而言,仅有两种情况会发送广播,一是数据包的目的MAC地址不在交换机维护的数据库中,此时数据包向所有端口转发,这一过程称之为泛洪(flood);二是数据包本身就是广播包。不同于工作在物理层的集线器,交换机是工作在数据链路

5、层的。由于端口间的传递的数据帧彼此屏蔽,因此节点就不担心自己发送的帧在通过交换机时是否会与其他节点发送的帧产生冲突。交换机将冲突隔绝在每一个端口(每个端口都是一个冲突域),避免了冲突的扩散。因此,基于交换机以太网建立的局域网并不是真正的广播媒体,交换机限制了被动监听工具所能截获的数据。因此,要捕获数据包就必须将捕包系统运行在网关或路由器上,如果想在网段的任意一台主机上实现捕包功能,就需要采取其它的方法:(1)端口镜像。当路由器或交换机具备端口镜像功能时,我们可以通过镜像端口完成抓包工作。路由器或交换机的端口镜像功能,是指可以将一个端口的流量自动复制到

6、另一端口,供网络管理员在判断网络问题时对端口流量和内容进行实时分析。通过交换机的镜像端口,这些流量就可以被一个特殊的设备监控,对发现和排除故障有很大的帮助。(2)MAC洪泛法。通过在局域网上发送大量随机的MAC地址,以造成交换机的内存耗尽,当内存耗尽时,一些交换机便开始向所有连在它上面的链路发送数据。不过这种方法对网络会造成很大的堵塞,造成网络性能下降。(3)ARP欺骗。ARP协议的作用是将IP地址映射到MAC地址,攻击者通过向目标主机发送伪造的ARP应答包,骗取目标系统更新自身的ARP缓存表,将目标系统的网关的MAC地址修改为监听者的主机MAC地址

7、,使数据包都经由监听者的主机,同时监听者向网关发送伪造的ARP应答包,欺骗网关更新自己的ARP缓存表,是网关发给目标主机的数据也都流经监听者的主机,这样就实现了交换环境下的网络监听。值得一提的是,黑客经常会以此方法进行攻击和窃取数据。4总结不同的操作系统实现的底层包捕获机制可能是不一样的,但从形式上看大同小异。数据包常规的传输路径依次为网卡、设备驱动层、数据链路层、网络层、传输层、最后到达应用程序。而包捕获机制是在数据链路层增加一个旁路处理,对发送和接收到的数据包做过滤、缓冲等相关处理,最后直接传递到应用程序。值得注意的是,包捕获机制并不影响操作系统

8、对数据包的网络栈处理。对用户程序而言,包捕获机制提供了一个统一的接口,使用户程序只需要简单的调用若干函数就能

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。