許朝暉

湛江港(集團)股份有限公司，廣東 湛江 524000

FTP數(shù)據(jù)包的捕獲與分析策略

許朝暉*

湛江港(集團)股份有限公司，廣東 湛江 524000

在基于FTP的IP協(xié)議理論的初步上，研究網(wǎng)絡(luò)包捕獲、面向?qū)ο蠓椒ǚ治鲂枨?，以及功能設(shè)計。通過測試，最終實現(xiàn)數(shù)據(jù)包的捕獲，流檢測和統(tǒng)計功能，達到了預定的要求，是在Visualc++ 6環(huán)境開發(fā)的，使用Socket-Raw注冊表、編程和IP助理APIVC編程方法，網(wǎng)絡(luò)的運行狀態(tài)提供了網(wǎng)絡(luò)管理員理解數(shù)據(jù)。

網(wǎng)絡(luò)管理；數(shù)據(jù)捕獲；VC++

網(wǎng)絡(luò)技術(shù)的急速發(fā)展和網(wǎng)絡(luò)建造對應用程序和用戶的基礎(chǔ)上提高網(wǎng)絡(luò)性能的需求，讓網(wǎng)絡(luò)管理成了需緊急解決的事情，采用有效的管理網(wǎng)絡(luò)，保證網(wǎng)絡(luò)運行的穩(wěn)定性和可繼續(xù)持續(xù)發(fā)展。而且，更重要的是，隨著網(wǎng)絡(luò)規(guī)模的發(fā)展，黑客攻擊的案例越來越多的侵襲，造成了厲害的挑戰(zhàn)，網(wǎng)絡(luò)服務(wù)的穩(wěn)定性、信息安全和網(wǎng)絡(luò)秩序，在整個網(wǎng)絡(luò)管理系統(tǒng)的網(wǎng)絡(luò)安全管理中發(fā)揮著越來越重要的作用。

一、FTP研究的背景與意義

在網(wǎng)絡(luò)研究的同時，我們也進行了初步研究FTP(File Transfer Protocol，文件傳輸協(xié)議)協(xié)議。通過數(shù)據(jù)分析報告，理解FTP的包格式的數(shù)據(jù)包在不同的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)中的傳輸路徑。目前，在同一子網(wǎng)范圍內(nèi)通過鄰居的電腦鏈接發(fā)現(xiàn)當?shù)氐腇TP地址自動配置協(xié)議的主機，并獲得子網(wǎng)內(nèi)其他主機的地址，地址可以實現(xiàn)在一個子網(wǎng)主機之間純FTP環(huán)境下的通信。

二、FTP協(xié)議的目標與作用

FTP協(xié)議的內(nèi)容和目標。文件傳輸是針對整個互聯(lián)網(wǎng)信息和文件的一個傳輸協(xié)議。針對文件傳輸?shù)沫h(huán)境和系統(tǒng)要求，分類清楚和帳戶與用戶的區(qū)別。

(一)協(xié)議的目標

促進程序和數(shù)據(jù)文件的共享；鼓勵使用遠程計算機；用戶不需要面對不同的文件系統(tǒng)在不同的主機上；高效、可靠的數(shù)據(jù)傳輸。

(二)協(xié)議的作用

讓客戶連上遠程電腦上的遠程電腦，并將文件從遠程電腦復制到本地電腦，或者本地電腦文件復制到遠程電腦。

(三)傳輸層的編程接口—Windows套接字編程技術(shù)(四)系統(tǒng)需求分析

文件傳輸協(xié)議(File Transfer Protocol，F(xiàn)TP)是用于在網(wǎng)絡(luò)上進行文件傳輸?shù)囊惶讟藴蕝f(xié)議。它屬于網(wǎng)絡(luò)傳輸協(xié)議的應用層。FTP是一個8位的客戶端-服務(wù)器協(xié)議，能操作任何類型的文件而不需要進一步處理，就像MIME或Unicode一樣。

三、FTP術(shù)語

控制連接：用戶PI和服務(wù)器PI有難交換的命令和響應信息交換路徑。

數(shù)據(jù)連接：一個全雙向連接數(shù)據(jù)傳輸與規(guī)定的模式和類型。可以傳送的數(shù)據(jù)是文件的某個章節(jié)或者一半或者完整的。

DTP(Dynamic Trunk Protocol)：動態(tài)中繼協(xié)議，是思科擁有的協(xié)議。數(shù)據(jù)傳送過程作用于建造和管理數(shù)據(jù)?？梢允潜粍拥囊部梢允侵鲃拥?。

PI(Protocol Interpreter)：協(xié)議解析器?？蛻舳撕头?wù)器用于解析協(xié)議，它們的完成分別被稱為用戶PI和服務(wù)器PI。

服務(wù)器DTP：數(shù)據(jù)傳送過程中，在平時的“主動”狀態(tài)，是使用“監(jiān)聽”數(shù)據(jù)端口建造數(shù)據(jù)連接。它完成了傳輸和存儲數(shù)據(jù)的作用。合并在服務(wù)器端PI的運行下傳送數(shù)據(jù)。也可以在“被動”模式中使用服務(wù)器端DTP。

服務(wù)器PI：服務(wù)器PI在L端口監(jiān)聽，連接請求的用戶協(xié)議解析器和建立控制連接。它從用戶PI接收達標的FTP命令，發(fā)送命令和回應，并監(jiān)管服務(wù)器DTP；

用戶DTP：數(shù)據(jù)傳輸流程和聽力上的FTP服務(wù)器進程數(shù)據(jù)端口。如果兩個服務(wù)器在上面?zhèn)鬟f數(shù)據(jù)。

用戶PI：用戶協(xié)議解析器使用的U端口建立控制連接FTP服務(wù)器進程和管理用戶DTP文件時轉(zhuǎn)移。

四、系統(tǒng)總體框架

整個系統(tǒng)可以分為四個模塊，分別為套接字模塊、捕獲IP數(shù)據(jù)包模塊、解析IP數(shù)據(jù)包模塊和輸出模塊。

(一)套接字模塊

套接字模塊主要包括原始套接字的創(chuàng)建和原始套接字的設(shè)置。這個模塊創(chuàng)建一個原始的套接字，然后將套接字綁定到一個本地網(wǎng)絡(luò)接口，然后設(shè)置套接字，這樣它就可以捕獲通過網(wǎng)絡(luò)接口的所有IP數(shù)據(jù)包。

(二)FTP數(shù)據(jù)包的捕獲模塊

這個模塊主要負責捕獲FTP數(shù)據(jù)包，然后將捕獲的數(shù)據(jù)包提交給FTP數(shù)據(jù)包解析模塊。這個模塊用原始套接字的集合捕獲FTP數(shù)據(jù)包，然后將數(shù)據(jù)包提交到解析模塊，直到鍵盤輸入ctrl+c。

(三)FTP數(shù)據(jù)包分析模塊

該模塊負責FTP數(shù)據(jù)包的分析，也就是說，根據(jù)FTP數(shù)據(jù)包的格式，從捕獲的FTP數(shù)據(jù)包中提取信息，然后提交到輸出模塊。

(四)輸出模塊

這個模塊負責輸出FTP數(shù)據(jù)包信息的輸出，包括輸出到標準輸出和日志文件。

五、網(wǎng)絡(luò)數(shù)據(jù)包捕獲的系統(tǒng)功能實現(xiàn)

系統(tǒng)開發(fā)環(huán)境為VC++ 6，利用Socket實現(xiàn)數(shù)據(jù)包捕獲功能。在數(shù)據(jù)包捕獲具體實現(xiàn)之前，設(shè)置網(wǎng)卡模式。主要包括：創(chuàng)建和生成原始套接字：設(shè)置FTP頭選項，將標志設(shè)置為true，處理FTP頭，將原有套接字綁定到本地網(wǎng)絡(luò)大廳，建立套接字模型，啟動線程接收數(shù)據(jù)。根據(jù)不同的選擇執(zhí)行不同的程序，并在對話框中顯示最終的結(jié)果。網(wǎng)絡(luò)包系統(tǒng)的捕獲與分析主要實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包捕獲和分析的功能。系統(tǒng)功能基本達到了原始目標，實現(xiàn)了數(shù)據(jù)采集和初步協(xié)議分析。

詳細設(shè)計與實現(xiàn)。一般情況下，網(wǎng)絡(luò)接口響應僅為兩個數(shù)據(jù)幀，一個是硬件匹配的數(shù)據(jù)幀與自己，另一個是廣播到所有的計算機數(shù)據(jù)。系統(tǒng)，數(shù)據(jù)幀收發(fā)卡完成，從網(wǎng)卡程序接收數(shù)據(jù)包，根據(jù)硬件地址來確定是否與機器硬件地址匹配，如果匹配將調(diào)用CPU的中斷響應，然后調(diào)用驅(qū)動程序設(shè)置網(wǎng)卡地址中斷程序調(diào)用驅(qū)動系統(tǒng)接收數(shù)據(jù)棧處理，如果不相關(guān)，直接丟棄數(shù)據(jù)包。

伴隨著計算機以及互聯(lián)網(wǎng)快速發(fā)展的同時，人們也開始日益關(guān)注于網(wǎng)絡(luò)安全的問題。影響網(wǎng)絡(luò)正常運行的問題例如：病毒、惡意攻擊、非法訪問等等，有許多種網(wǎng)絡(luò)防御的技術(shù)都被應用到網(wǎng)絡(luò)安全的管理體系中。而數(shù)據(jù)包的捕獲與解析從數(shù)據(jù)包流量的分析角度，通過實時地監(jiān)控和采集FTP網(wǎng)絡(luò)數(shù)據(jù)包信息，來檢驗有沒有哪些行為違反了安全策略以及是否有網(wǎng)絡(luò)工作的異常，其中一種分析網(wǎng)絡(luò)狀況的有效方法就是網(wǎng)絡(luò)數(shù)據(jù)包的捕獲與分析，這也是本文研究的目的所在。

[1]韓春靜，唐海娜，李俊.IP協(xié)議分析儀的設(shè)計與實現(xiàn)[J].計算機工程與應用，2005，41(21)：128-132.

[2]曹錚.互聯(lián)網(wǎng)異常流量的Netflow分析[J].中國數(shù)據(jù)通信，2004，6(8)：77-82.

TP

A

1006-0049-(2017)21-0187-01

許朝暉(1987-)，男，廣東湛江人，本科，湛江港(集團)股份有限公司，寬帶線務(wù)員，研究方向：通信工程。