FTP數(shù)據(jù)包的捕獲與分析策略

許朝暉

湛江港(集團(tuán))股份有限公司，廣東 湛江 524000

FTP數(shù)據(jù)包的捕獲與分析策略

許朝暉*

湛江港(集團(tuán))股份有限公司，廣東 湛江 524000

在基于FTP的IP協(xié)議理論的初步上，研究網(wǎng)絡(luò)包捕獲、面向?qū)ο蠓椒ǚ治鲂枨?，以及功能設(shè)計(jì)。通過(guò)測(cè)試，最終實(shí)現(xiàn)數(shù)據(jù)包的捕獲，流檢測(cè)和統(tǒng)計(jì)功能，達(dá)到了預(yù)定的要求，是在Visualc++ 6環(huán)境開(kāi)發(fā)的，使用Socket-Raw注冊(cè)表、編程和IP助理APIVC編程方法，網(wǎng)絡(luò)的運(yùn)行狀態(tài)提供了網(wǎng)絡(luò)管理員理解數(shù)據(jù)。

網(wǎng)絡(luò)管理；數(shù)據(jù)捕獲；VC++

網(wǎng)絡(luò)技術(shù)的急速發(fā)展和網(wǎng)絡(luò)建造對(duì)應(yīng)用程序和用戶的基礎(chǔ)上提高網(wǎng)絡(luò)性能的需求，讓網(wǎng)絡(luò)管理成了需緊急解決的事情，采用有效的管理網(wǎng)絡(luò)，保證網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性和可繼續(xù)持續(xù)發(fā)展。而且，更重要的是，隨著網(wǎng)絡(luò)規(guī)模的發(fā)展，黑客攻擊的案例越來(lái)越多的侵襲，造成了厲害的挑戰(zhàn)，網(wǎng)絡(luò)服務(wù)的穩(wěn)定性、信息安全和網(wǎng)絡(luò)秩序，在整個(gè)網(wǎng)絡(luò)管理系統(tǒng)的網(wǎng)絡(luò)安全管理中發(fā)揮著越來(lái)越重要的作用。

一、FTP研究的背景與意義

在網(wǎng)絡(luò)研究的同時(shí)，我們也進(jìn)行了初步研究FTP(File Transfer Protocol，文件傳輸協(xié)議)協(xié)議。通過(guò)數(shù)據(jù)分析報(bào)告，理解FTP的包格式的數(shù)據(jù)包在不同的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)中的傳輸路徑。目前，在同一子網(wǎng)范圍內(nèi)通過(guò)鄰居的電腦鏈接發(fā)現(xiàn)當(dāng)?shù)氐腇TP地址自動(dòng)配置協(xié)議的主機(jī)，并獲得子網(wǎng)內(nèi)其他主機(jī)的地址，地址可以實(shí)現(xiàn)在一個(gè)子網(wǎng)主機(jī)之間純FTP環(huán)境下的通信。

二、FTP協(xié)議的目標(biāo)與作用

FTP協(xié)議的內(nèi)容和目標(biāo)。文件傳輸是針對(duì)整個(gè)互聯(lián)網(wǎng)信息和文件的一個(gè)傳輸協(xié)議。針對(duì)文件傳輸?shù)沫h(huán)境和系統(tǒng)要求，分類清楚和帳戶與用戶的區(qū)別。

(一)協(xié)議的目標(biāo)

促進(jìn)程序和數(shù)據(jù)文件的共享；鼓勵(lì)使用遠(yuǎn)程計(jì)算機(jī)；用戶不需要面對(duì)不同的文件系統(tǒng)在不同的主機(jī)上；高效、可靠的數(shù)據(jù)傳輸。

(二)協(xié)議的作用

讓客戶連上遠(yuǎn)程電腦上的遠(yuǎn)程電腦，并將文件從遠(yuǎn)程電腦復(fù)制到本地電腦，或者本地電腦文件復(fù)制到遠(yuǎn)程電腦。

(三)傳輸層的編程接口—Windows套接字編程技術(shù)(四)系統(tǒng)需求分析

文件傳輸協(xié)議(File Transfer Protocol，F(xiàn)TP)是用于在網(wǎng)絡(luò)上進(jìn)行文件傳輸?shù)囊惶讟?biāo)準(zhǔn)協(xié)議。它屬于網(wǎng)絡(luò)傳輸協(xié)議的應(yīng)用層。FTP是一個(gè)8位的客戶端-服務(wù)器協(xié)議，能操作任何類型的文件而不需要進(jìn)一步處理，就像MIME或Unicode一樣。

三、FTP術(shù)語(yǔ)

控制連接：用戶PI和服務(wù)器PI有難交換的命令和響應(yīng)信息交換路徑。

數(shù)據(jù)連接：一個(gè)全雙向連接數(shù)據(jù)傳輸與規(guī)定的模式和類型?？梢詡魉偷臄?shù)據(jù)是文件的某個(gè)章節(jié)或者一半或者完整的。

DTP(Dynamic Trunk Protocol)：動(dòng)態(tài)中繼協(xié)議，是思科擁有的協(xié)議。數(shù)據(jù)傳送過(guò)程作用于建造和管理數(shù)據(jù)。可以是被動(dòng)的也可以是主動(dòng)的。

PI(Protocol Interpreter)：協(xié)議解析器?？蛻舳撕头?wù)器用于解析協(xié)議，它們的完成分別被稱為用戶PI和服務(wù)器PI。

服務(wù)器DTP：數(shù)據(jù)傳送過(guò)程中，在平時(shí)的“主動(dòng)”狀態(tài)，是使用“監(jiān)聽(tīng)”數(shù)據(jù)端口建造數(shù)據(jù)連接。它完成了傳輸和存儲(chǔ)數(shù)據(jù)的作用。合并在服務(wù)器端PI的運(yùn)行下傳送數(shù)據(jù)。也可以在“被動(dòng)”模式中使用服務(wù)器端DTP。

服務(wù)器PI：服務(wù)器PI在L端口監(jiān)聽(tīng)，連接請(qǐng)求的用戶協(xié)議解析器和建立控制連接。它從用戶PI接收達(dá)標(biāo)的FTP命令，發(fā)送命令和回應(yīng)，并監(jiān)管服務(wù)器DTP；

用戶DTP：數(shù)據(jù)傳輸流程和聽(tīng)力上的FTP服務(wù)器進(jìn)程數(shù)據(jù)端口。如果兩個(gè)服務(wù)器在上面?zhèn)鬟f數(shù)據(jù)。

用戶PI：用戶協(xié)議解析器使用的U端口建立控制連接FTP服務(wù)器進(jìn)程和管理用戶DTP文件時(shí)轉(zhuǎn)移。

四、系統(tǒng)總體框架

整個(gè)系統(tǒng)可以分為四個(gè)模塊，分別為套接字模塊、捕獲IP數(shù)據(jù)包模塊、解析IP數(shù)據(jù)包模塊和輸出模塊。

(一)套接字模塊

套接字模塊主要包括原始套接字的創(chuàng)建和原始套接字的設(shè)置。這個(gè)模塊創(chuàng)建一個(gè)原始的套接字，然后將套接字綁定到一個(gè)本地網(wǎng)絡(luò)接口，然后設(shè)置套接字，這樣它就可以捕獲通過(guò)網(wǎng)絡(luò)接口的所有IP數(shù)據(jù)包。

(二)FTP數(shù)據(jù)包的捕獲模塊

這個(gè)模塊主要負(fù)責(zé)捕獲FTP數(shù)據(jù)包，然后將捕獲的數(shù)據(jù)包提交給FTP數(shù)據(jù)包解析模塊。這個(gè)模塊用原始套接字的集合捕獲FTP數(shù)據(jù)包，然后將數(shù)據(jù)包提交到解析模塊，直到鍵盤輸入ctrl+c。

(三)FTP數(shù)據(jù)包分析模塊

該模塊負(fù)責(zé)FTP數(shù)據(jù)包的分析，也就是說(shuō)，根據(jù)FTP數(shù)據(jù)包的格式，從捕獲的FTP數(shù)據(jù)包中提取信息，然后提交到輸出模塊。

(四)輸出模塊

這個(gè)模塊負(fù)責(zé)輸出FTP數(shù)據(jù)包信息的輸出，包括輸出到標(biāo)準(zhǔn)輸出和日志文件。

五、網(wǎng)絡(luò)數(shù)據(jù)包捕獲的系統(tǒng)功能實(shí)現(xiàn)

系統(tǒng)開(kāi)發(fā)環(huán)境為VC++ 6，利用Socket實(shí)現(xiàn)數(shù)據(jù)包捕獲功能。在數(shù)據(jù)包捕獲具體實(shí)現(xiàn)之前，設(shè)置網(wǎng)卡模式。主要包括：創(chuàng)建和生成原始套接字：設(shè)置FTP頭選項(xiàng)，將標(biāo)志設(shè)置為true，處理FTP頭，將原有套接字綁定到本地網(wǎng)絡(luò)大廳，建立套接字模型，啟動(dòng)線程接收數(shù)據(jù)。根據(jù)不同的選擇執(zhí)行不同的程序，并在對(duì)話框中顯示最終的結(jié)果。網(wǎng)絡(luò)包系統(tǒng)的捕獲與分析主要實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包捕獲和分析的功能。系統(tǒng)功能基本達(dá)到了原始目標(biāo)，實(shí)現(xiàn)了數(shù)據(jù)采集和初步協(xié)議分析。

詳細(xì)設(shè)計(jì)與實(shí)現(xiàn)。一般情況下，網(wǎng)絡(luò)接口響應(yīng)僅為兩個(gè)數(shù)據(jù)幀，一個(gè)是硬件匹配的數(shù)據(jù)幀與自己，另一個(gè)是廣播到所有的計(jì)算機(jī)數(shù)據(jù)。系統(tǒng)，數(shù)據(jù)幀收發(fā)卡完成，從網(wǎng)卡程序接收數(shù)據(jù)包，根據(jù)硬件地址來(lái)確定是否與機(jī)器硬件地址匹配，如果匹配將調(diào)用CPU的中斷響應(yīng)，然后調(diào)用驅(qū)動(dòng)程序設(shè)置網(wǎng)卡地址中斷程序調(diào)用驅(qū)動(dòng)系統(tǒng)接收數(shù)據(jù)棧處理，如果不相關(guān)，直接丟棄數(shù)據(jù)包。

伴隨著計(jì)算機(jī)以及互聯(lián)網(wǎng)快速發(fā)展的同時(shí)，人們也開(kāi)始日益關(guān)注于網(wǎng)絡(luò)安全的問(wèn)題。影響網(wǎng)絡(luò)正常運(yùn)行的問(wèn)題例如：病毒、惡意攻擊、非法訪問(wèn)等等，有許多種網(wǎng)絡(luò)防御的技術(shù)都被應(yīng)用到網(wǎng)絡(luò)安全的管理體系中。而數(shù)據(jù)包的捕獲與解析從數(shù)據(jù)包流量的分析角度，通過(guò)實(shí)時(shí)地監(jiān)控和采集FTP網(wǎng)絡(luò)數(shù)據(jù)包信息，來(lái)檢驗(yàn)有沒(méi)有哪些行為違反了安全策略以及是否有網(wǎng)絡(luò)工作的異常，其中一種分析網(wǎng)絡(luò)狀況的有效方法就是網(wǎng)絡(luò)數(shù)據(jù)包的捕獲與分析，這也是本文研究的目的所在。

[1]韓春靜，唐海娜，李俊.IP協(xié)議分析儀的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用，2005，41(21)：128-132.

[2]曹錚.互聯(lián)網(wǎng)異常流量的Netflow分析[J].中國(guó)數(shù)據(jù)通信，2004，6(8)：77-82.

TP

A

1006-0049-(2017)21-0187-01

許朝暉(1987-)，男，廣東湛江人，本科，湛江港(集團(tuán))股份有限公司，寬帶線務(wù)員，研究方向：通信工程。