虞凌霄

【摘要】 首先對網(wǎng)絡數(shù)據(jù)包的特點以及其中所用的技術進行分析和研究，之后對珠寶軟件的識別機制進行了了探討，介紹了數(shù)據(jù)包被網(wǎng)卡接收后是如何經(jīng)過過濾到達協(xié)議分析應用軟件。

【關鍵字】 網(wǎng)絡數(shù)據(jù)包 抓取 識別

可以將網(wǎng)卡設置為混雜模式而捕獲網(wǎng)段上的全部數(shù)據(jù)包的技術我們稱之為數(shù)據(jù)包的捕獲技術，我們將能夠?qū)崿F(xiàn)數(shù)據(jù)包捕獲功能的工具成為嗅包器。網(wǎng)絡底層的數(shù)據(jù)包捕獲能夠通過下面的方法實現(xiàn)：一是使用以太網(wǎng)的廣播特性實現(xiàn)；另外可以通過設置路由器監(jiān)聽端實現(xiàn)。

一、網(wǎng)絡數(shù)據(jù)包的抓取

抓取模塊主要包括對圖片、視頻以及文本的抓取，抓取的子模塊在本質(zhì)上是屬于數(shù)據(jù)抓取模塊，數(shù)據(jù)抓取模塊一般分為下面幾個部分：（1）數(shù)據(jù)識別部分，主要對數(shù)據(jù)進行檢查，判斷是否為要抓取的數(shù)據(jù)。（2）數(shù)據(jù)抓取部分，該部分為最重要的部分。（3）數(shù)據(jù)分析部分，這樣是對數(shù)據(jù)包頭的分析，通過簡單的數(shù)據(jù)分析后可以進入下一部分。（4）數(shù)據(jù)入庫操作部分，將抓取的數(shù)據(jù)以及分析得到的數(shù)據(jù)都放在數(shù)據(jù)庫中，對數(shù)據(jù)進行分類存放，將這些數(shù)據(jù)進行分類存放，通過分類存儲對數(shù)據(jù)分析以及融合。

數(shù)據(jù)間數(shù)據(jù)通信時使用不同的數(shù)據(jù)通信包來進行通信的，在數(shù)據(jù)包的抓取以及分析的基礎上能夠?qū)崿F(xiàn)多個數(shù)據(jù)之間的數(shù)據(jù)通信以及數(shù)據(jù)共享。使用數(shù)據(jù)通信以及數(shù)據(jù)共享進行數(shù)據(jù)分析，能夠到到多種數(shù)據(jù)融合之后的數(shù)據(jù)，通過各個數(shù)據(jù)集合進行數(shù)據(jù)的合成和轉(zhuǎn)換。數(shù)據(jù)之間的不同要求進行數(shù)據(jù)存儲，在此過程中對數(shù)據(jù)進行分類操作，將非結(jié)構以及結(jié)構化的數(shù)據(jù)進行分類存儲，通過數(shù)據(jù)觀察和識別對數(shù)據(jù)模塊進行處理。

項目中數(shù)據(jù)庫的設計是按照確定表和確定實體的細化行為、關系以及制定規(guī)則、約定的技術流程的實施。數(shù)據(jù)庫中使用SQL Server2008，確定表的設計要遵循以文件類型作為分類的原則進行分類，相同文件的要素放到一張表例，例如TCP數(shù)據(jù)、數(shù)據(jù)要素表、視頻數(shù)據(jù)表和圖片要素表等等。

二、數(shù)據(jù)包的識別

現(xiàn)在比較流行的網(wǎng)絡數(shù)據(jù)包一般是基于服務器/客戶端模式，依據(jù)網(wǎng)絡的按原因是因為現(xiàn)在大家都經(jīng)常使用Internet，在網(wǎng)絡層使用IP協(xié)議，在傳輸層利用TCP作為為上一層提供面向連接的可靠服務，通過對網(wǎng)絡數(shù)據(jù)包以及抓包軟件的抓包機制、網(wǎng)絡數(shù)據(jù)包端口的特性以及數(shù)據(jù)包的包長的試驗以及研究，可以識別網(wǎng)絡的數(shù)據(jù)包，并且能夠確定其是何種數(shù)據(jù)包是一種非?？尚械姆椒?。

當我們需要判別某個網(wǎng)絡的接口是否有該種數(shù)據(jù)包時，一般需要通過一下幾步：（1）按照該網(wǎng)絡數(shù)據(jù)包的端口號來過濾數(shù)據(jù)。（2）將過濾到的數(shù)據(jù)按數(shù)據(jù)流分開，這里所指的數(shù)據(jù)流是指IP五元組相同的一組數(shù)據(jù)，也就是目的IP、源IP、目的端口號、源端口號以及傳輸層協(xié)議類型相同的一系列的數(shù)據(jù)包。（3）分析各個數(shù)據(jù)流的包場分布，如果流的99%以上的包長都是40-159字節(jié)，再將此流的各個數(shù)據(jù)包按照時間來排序，測試每個包的時間間隔，如果時間間隔小于1s，在在第二步許多流中找與該流對應的反向流。（4）如果找到反向流按照時間進行排序然后觀察各個數(shù)據(jù)包之間的時間間隔是否大于等于1s。（5）將反向流與正向流合并，可判別正反向流對應的數(shù)據(jù)報是否是交替出現(xiàn)的。如果上面的條件都判斷符合標準，我們能夠確定這兩個正反向流是網(wǎng)絡數(shù)據(jù)包的。

三、總結(jié)

通過研究發(fā)現(xiàn)，網(wǎng)絡數(shù)據(jù)包可以通過利用抓包軟件的編輯接口，從而能夠開發(fā)出相對應的軟件識別來通過各個網(wǎng)絡的接口數(shù)據(jù)流有哪幾種數(shù)據(jù)包，我們能夠?qū)?shù)據(jù)包的端口存儲于一個鏈表中。依據(jù)以上方法依次驗證所有的端口號。由于大型數(shù)據(jù)包開發(fā)成本較大，現(xiàn)有數(shù)據(jù)包的數(shù)量有限，搜集到所有的數(shù)據(jù)包的端口號是能夠?qū)崿F(xiàn)的，這也解決了抓包軟件中的數(shù)據(jù)包是別的空白。數(shù)據(jù)包已經(jīng)被越來越多的人接受，所以數(shù)據(jù)包市場規(guī)模也會繼續(xù)擴大，這需要有更多的人投入到數(shù)據(jù)包中，而且能夠解決數(shù)據(jù)包普遍存在的外掛問題、掉線問題、私服問題和提高數(shù)據(jù)包信息的交互性。

參 考 文 獻

[1]李培.網(wǎng)絡數(shù)據(jù)包的監(jiān)聽與分析技術研究.煤炭技術，2012，31（2）：456-457

[2]周維，劉芳好，羅宇，談子龍，趙留濤，劉東映.P2P應用特征檢測與識別.計算機應用，2009，29（5）：103-105

[3]魯鵬俊，鐘亦平，張世永.多模匹配問題在IDS中的解決.計算機工程，2005，31（4）： 74-78

[4]陳亮，龔儉，徐選.基于特征串的應用層協(xié)議識別.計算機工程與應用，2006，24（7）：64-69

[5]宋田秋，張國權，鄧貴仕.入侵檢測多模式匹配算法.計算機工程，2006，32（5）：4547