技术捕获数据包
一、 选题意义
随着网络入侵的不断发展,网络安全变得越来越重要,于是网络入侵取
证系统的研究也变得日益重要。在网络入侵取证系统中,对网络上传送的数据
包进行有效的监听即捕获包是目前取证的关键技术,只有进行高效的数据包捕
获,网络管理员才能对所捕获的数据进行一系列的分析,从而进行可靠的网络
安全管理。
二、 系统功能分析、设计以及功能介绍
1 winpcap 简介
是 由 伯 克 利 分 组 捕 获 库 派 生 而 来 的 分 组 捕 获 库 , 它 是 在
操作平台上来实现对底层包的截取过滤。为用户级的数据
包提供了 下的一个平台。是 模型和 函数库
在 平台下网络数据包捕获和网络状态分析的一种体系结构,这个体
系结构是由一个核心的包过滤驱动程序,一个底层的动态连接库 和
一个高层的独立于系统的函数库 组成。底层的包捕获驱动程序实际为
一 个 协 议 网 络 驱 动 程 序 , 通 过 对 中 函 数 的 调 用 为
、、、和 提供一类似于 !"系统下 #$
#的捕获和发送原始数据包的能力。是对这个 驱动
程序进行访问的 %接口,同时它有一套符合 接口(!"下的捕获
函数库)的函数库。 的结构图如图 &。
包括三个部分:第一个模块 '(#)#*,是
一个虚拟设备驱动程序文件。它的功能是过滤数据包,并把这些数据包原封不
动地传给用户态模块,这个过程中包括了一些操作系统特有的代码。第二个模
块 为 + 平台提供了一个公共的接口。不同版本的 系
统都有自己的内核模块和用户层模块。 用于解决这些不同。调用
的程序可以运行在不同版本的 平台上,而无需重新编译。
第三个模块 是不依赖于操作系统的。它提供了更加高层、抽象的
函数。
和 : 直接映射了内核的调用。
提供了更加友好、功能更加强大的函数调用。 的优势提供了一套
标准的抓包接口,与 兼容,可使得原来许多 !" 平台下的网络分析
工具快速移植过来便于开发各种网络分析工具,充分考虑了各种性能和效率的
优化,包括对于 内核层次上的过滤器支持,支持内核态的统计模式,提供
了发送数据包的能力。
评论2