ISSN1009-3044E-mail:info@cccc.net.cn第卷第期年月第卷第期年月ComputerKnowledgeandTechnology电脑知识与技术729http://www.dnzs.net.cn(201110)729(201110)Vol.7,No.29,October2011.Tel:+86-551-56909635690964基于TCP/IP协议的网络数据包截获分析系统的研究李娜（陕西理工学院计算机科学与技术系，陕西汉中723001）摘要：该文讨论了以太网环境下基于TCP/IP协议的（其中IP协议的版本是IPv4）数据包截获与分析技术。通过使用该技术，可以让一台主机能够接收流经该主机的所有数据包。改系统采用套接字Socket）对网卡的编程来实现对数据包的截获及分析。这种技术在网络安全及网络管理领域有着举足轻重的地位。关键词：以太网；数据包；TCP/IP；套接字中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)29-7122-03InvestigationofDataPacketInterceptionSystemBasedonTCP/IPProtocolLINa(DepartmentofComputerScience&Technology,ShaanxiUniversityofTechnology,Hanzhong723001,China)Abstract:ThisarticlediscussestheTCP/IPprotocol(whichistheIPprotocolversionIPv4)packetcaptureandanalysistechnology.Byusingthetechnologythatallowsahosttoreceiveallthedataflowingthroughthehostpackage.ThesystemusestheSocket(Socket)onthecardprogramtoachievetheinterceptionandanalysisofthedatapacket.Thetechnologyinthefieldofnetworksecurityandnetworkmanagementhasapivotalposition.Keywords:ethernet;packet;TCP/IP;socket网络数据监听是网络入侵和网络安全协议技术研究的核心技术。监听技术主要是对网络的状态、信息流动和信息内容等进行监视，相应的工具被称为网络分析仪。在几乎所有的IDS(入侵检测系统)中，最基本的要求就是要能够实现网络监听与过滤，所有的安全策略、防护、检测、响应都建立在此基础上，它是帮助网络管理员查找和解决网络故障，为防火墙和入侵检测系统构建基础。因此，局域网数据监听系统的研究，对于更好的维护计算机网络及解决网络安全问题有着重要的意义。1数据包截获及分析工具设计1.1设计目标通过原始套接字（SOCK_RAW）和网卡的混杂工作模式截获和扫描经过网络通信端口的IP数据包，实现网络流量统计、网络协议分析等功能。1.2数据报截获原理信息在网络中是以广播形式发送的，以太网卡收到报文后，通过对目的地址进行检查，来判断是否是传递给自己的，如果是，则把报文传递给操作系统；否则，将报文丢弃，不进行处理。数据包捕获程序工作在网络底层，将网卡设置为混杂模式以后，从网络底层捕获到的数据包会直接上发给应用程序进行处理，而不象普通的数据包那样经过操作系统的层层过滤。这样一来，应用程序接收到的数据包是最原始的数据包，是经过封装的。也就是说监听主机接收到的数据包中，除了数据包本身的内容之外，还带有从对方主机中的传输层、网络层以及数据链路层等各层打上的数据包头信息，所以要想获得数据包里的应用数据，是需要我们自己来按照每一层的协议剥离数据包头中的每一层首部内容的，这就是协议分析需要完成的工作。1)首先是需要去掉数据链层的包头，此时可以获得IP数据报，在这一层中可以对IP数据报做一定的统计和分析，如流量统计、网络扫描等等；2)对于IP数据报去除网络层的包头以后，可以获得传输层数据报，在该文的模型中就特指的TCP报文和UDP报文，对这一层数据报进行协议分析的主要工作就是根据TCP数据包和UDP数据包的包头标志，将一个连接的所有IP数据报重整还原出一个完整的TCP流和UDP流，在这一层中还可以获得数据报的端口号信息，根据端口号进一步判断数据报属于何种应用层协议。1.3总体设计该软件是运用MicrosoftVisualC++开发的，该软件主要由两大主要部分（功能）构成：1)数据包截获：用程序