网络数据包分析工具的设计与开发
摘  要
    当前，随着信息化发展，网络安全问题日渐突出，网络攻击日益泛滥，所以网络信息安全就变的非常重要。网络主机必须有足够的安全措施，否则网络的价值就会贬值。本系统的开发就是为了给网络使用者提供一个有用的网络数据包分析工具。本系统有四个主要功能：数据包的捕获、数据包解析、数据包信息分析和数据包信息的显示。为了实现系统功能，本系统选择在ubuntu(Linux)、libpcap、apache、mysql和php的平台上开发，操作系统和软件开发包全部为开源免费的软件，这也是本系统的一个重要特点。本系统首先用libpcap捕获数据包，然后用C语言，并以TCP/IP协议为理论基础解析数据包，解析得到的信息存储到mysql数据库中。数据包信息分析模块从mysql数据库中读取数据，对信息进行统计分析，并对网络信息状况进行安全描述。最后通过apache和php技术来显示数据库信息。通过测试本系统实现了数据包捕获、解析、信息分析、信息显示，为使用者了解当前的网络数据包状况提供了很好的参考。http://www.16sheji8.cn/

关键词：网络数据包；TCP/IP；数据包解析；数据包信息分析；攻击特征
 
The Design and Development of Tool about Network Packets Analysis
Abstract
    Nowadays, with the development of information, the issue of network security is becoming prominent and the network attack is proliferation. Therefore, the security of network information is becoming very important. Network hosts must have adequate safety, or the value of the network would be devalued. The development of the system was to provide the users with a useful tool that analysis the network packets. The system has four main functions: capture the network packets, analysis the packet, analysis the information of packet and display packet information. To achieve the goal, I choose the system of ubuntu (Linux), libpcap. apache, mysql and php platform to develop the system. The operating systems and software development kits are free, this is one of the system's features. The system used libpcap to capture data packets firstly, and then use the C language, and TCP / IP protocol as the basis theoretical to analytic packets, the database of mysql stored the result of Analysising information. Module of packet analysis reads the information from the database of mysql, statistic and analysis the information, and then describes security conditions. Finally, use the apache and php technology to display database information. Through the test of the system to achieve the goal that capture and analysis data packet, information analysis, display information, it is a good reference for users to keep up on the current state of network.

Key words: Network packets; TCP/IP; Packet analysis; Packet information analysis; Attack characteristic

目  录
论文总页数：26页

1 引言 1
1.1 课题背景 1
1.2 国内外研究现状 1
1.3 本课题研究的意义 1
1.4 本课题的理论基础 1
2 网络数据包分析系统概述 2
2.1 网络数据包分析的意义 2
2.2 网络数据包分析的核心技术基础 2http://www.16sheji8.cn/
2.3 网络数据包分析系统的主要功能 2
3 网络数据包分析系统的设计 3
3.1 系统模块划分 3
3.2 数据包捕获模块设计 4
3.3 数据包解析存储模块设计 4
3.4 数据包信息分析模块设计 5
3.5 数据包信息显示模块设计 6
4 网络数据包分析系统的解决方案 6
4.1 数据包捕获模块的解决方案 7
4.2 数据包解析及存储模块解决方案 7
4.3 数据包信息分析模块解决方案 8
4.4 数据显示模块解决方案 8
5 网络数据包分析系统的实现 8
5.1 系统控制模块实现 9
5.2 数据包捕获模块实现 10
5.3 数据包解析及存储模块实现 12
5.4 数据包信息分析模块实现 14
5.5 数据包信息显示模块实现 15
6 网络数据包分析系统的测试分析 17
6.1 测试方案与测试环境 17
6.2 测试结果 17
6.2.1 数据包捕获 17
6.2.2 数据包解析及存储 17
6.2.3 数据包信息简单分析 18
6.2.4 数据包信息显示 19
结    论 20
参考文献 21
致    谢 22
声    明 23
附    录 24
 
1 引言
  1.1 课题背景
    如今，网络的飞速发展是有目共睹的，但是在这个飞速发展的过程中，也出现不安全的因素。网络攻击、病毒传播等迅速增长，利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升，严重影响了网络的正常秩序，严重损害了网络使用者的利益；面对网络安全的严峻形势，如何判断连入网络的主机是否安全就变的十分重要。选题的目的是积极认识当前网络安全的形式，对常见网络协议数据包进行解析，设计一个可以对网络数据包进行捕获、解析，并可查看数据包信息和进行数据统计分析的工具，深入理解网络协议及安全知识！http://www.16sheji8.cn/
  1.2 国内外研究现状
    典型的网络数据包分析器能捕获数据包，解码各种不同协议，并提供人们易读的结果格式。大多数比较完善的分析器还包括一些统计报告功能。通过查看网络信息分布，了解网络利用以及接收连接动态等一系列行为，管理员可以很容易地判断引起故障的工作站点及其产生原因。
  1.3 本课题研究的意义
    网络安全问题已经不再是一个新鲜的课题了，也已不再是一个高深的课题了，对于网络数据包的分析，也已经有了比较成熟的结构设计，例如数据包的捕获，解析，提供易于查看的格式和简单的统计报告。但是网络的发展日新月异，安全要求也不断发展，论文主要进行个模块的紧密联系，并使用MySQL数据库加强了统计报告模块的功能。
  1.4 本课题的理论基础
    数据包的分析工具是在ubuntu+libpcap+apach+mysql+php的平台上进行设计。运用libpcap开发包进行网络设备的设置并进行数据包的抓捕，在解析模块中把获得的数据包按协议包头格式进行解析，并进行简单的解释，最后放到mysql数据库中等待后面统计分析模块的使用。统计分析模块中对数据库中的信息进行分类统计，获取所需要的数据信息，并与设定好的各种攻击特征进行比对，来对当前的主机安全状况进行简单的统计分析，另外，如果用户要进行手工分析，工具提供了可方便查询捕获数据包的包头信息页面。用户可通过这些数据进行手工分析来判断主机的状况。
    整个系统的基础是建立在TCP/IP协议的基础上的。TCP/IP协议并不完全符合OSI的七层参考模型。OSI一种通信协议的7层抽象的参考模型,其中每一层执行某一特定任务。TCP/IP通讯协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的网络来完成自己的需求。[3]网际协议IP是TCP/IP的心脏，也是网络层中最重要的协议。另外还有TCP有连接协议,UDP,ICMP等协议。
2 网络数据包分析系统概述
  2.1 网络数据包分析的意义
    凡是看过经典电影《黑客帝国》并且使用过网络数据包分析工具的人，应该都会有像电影中那个坐在一大堆的控制面板前解码像水流一样从屏幕上连续滑落的信号的“操作者”一样的感觉。
    电影中的操作者处理的是生死的问题，而在现实中，数据包分析工具的使用者们处理的也是同样重要的问题。其对数据包进行检修及侦测的能力，对网络及依托于网络的行业都是至关重要。
    数据包分析工具的生存期还很长，这主要是因为对于那些需要有目的地进行7×24小时网络管理的行业来说，数据包分析工具可以提供令企业更容易接受和消化的网络分析数据。
  2.2 网络数据包分析的核心技术基础
    数据包分析是一TCP/IP协议为基础的。说到TCP/IP就不能不提OSI，TCP/IP协议并不完全符合OSI的七层参考模型。OSI是一种通信协议的7层抽象的参考模型,其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。这7层是:物理层、数据链路层、网路层、传输层、话路层、表示层和应用层。而TCP/IP通讯协议采用了 4层的层级结构，每一层都呼叫它的下一层所提供的网络来完成自己的需求。[3]这4层分别为：http://www.16sheji8.cn/
    应用层：应用程序间沟通的层，如简单电子邮件传输（SMTP）、文件传输协议（FTP）、网络远程访问协议（Telnet）等。
传输层：在此层中，它提供了节点间的数据传送服务，如传输控制协议（TCP）、用户数据报协议（UDP）等，TCP和UDP给数据包加入传输数据并把它传输到下一层中，这一层负责传送数据，并且确定数据已被送达并接收。
    互连网络层：负责提供基本的数据封包传送功能，让每一块数据包都能够到达目的主机（但不检查是否被正确接收），如网际协议（IP）。
网络接口层：对实际的网络媒体的管理，定义如何使用实际网络（如Ethernet、Serial Line等）来传送数据。
  2.3 网络数据包分析系统的主要功能
    软件都是为应用才设计的，所以软件能提供什么样的功能就很重要了。网络数据包分析工具要实现四个功能，数据包的捕获，数据包的解析，数据包信息分析，数据包的信息显示。数据包的捕获和解析是系统的基础部分，数据包信息的分析和显示是对数据的处理部分。四个模块相互协调共同对当前主机的网络数据包进行分析。http://www.16sheji8.cn/