虞凌霄

【摘要】 首先對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的特點(diǎn)以及其中所用的技術(shù)進(jìn)行分析和研究，之后對(duì)珠寶軟件的識(shí)別機(jī)制進(jìn)行了了探討，介紹了數(shù)據(jù)包被網(wǎng)卡接收后是如何經(jīng)過(guò)過(guò)濾到達(dá)協(xié)議分析應(yīng)用軟件。

【關(guān)鍵字】 網(wǎng)絡(luò)數(shù)據(jù)包 抓取 識(shí)別

可以將網(wǎng)卡設(shè)置為混雜模式而捕獲網(wǎng)段上的全部數(shù)據(jù)包的技術(shù)我們稱之為數(shù)據(jù)包的捕獲技術(shù)，我們將能夠?qū)崿F(xiàn)數(shù)據(jù)包捕獲功能的工具成為嗅包器。網(wǎng)絡(luò)底層的數(shù)據(jù)包捕獲能夠通過(guò)下面的方法實(shí)現(xiàn)：一是使用以太網(wǎng)的廣播特性實(shí)現(xiàn)；另外可以通過(guò)設(shè)置路由器監(jiān)聽(tīng)端實(shí)現(xiàn)。

一、網(wǎng)絡(luò)數(shù)據(jù)包的抓取

抓取模塊主要包括對(duì)圖片、視頻以及文本的抓取，抓取的子模塊在本質(zhì)上是屬于數(shù)據(jù)抓取模塊，數(shù)據(jù)抓取模塊一般分為下面幾個(gè)部分：（1）數(shù)據(jù)識(shí)別部分，主要對(duì)數(shù)據(jù)進(jìn)行檢查，判斷是否為要抓取的數(shù)據(jù)。（2）數(shù)據(jù)抓取部分，該部分為最重要的部分。（3）數(shù)據(jù)分析部分，這樣是對(duì)數(shù)據(jù)包頭的分析，通過(guò)簡(jiǎn)單的數(shù)據(jù)分析后可以進(jìn)入下一部分。（4）數(shù)據(jù)入庫(kù)操作部分，將抓取的數(shù)據(jù)以及分析得到的數(shù)據(jù)都放在數(shù)據(jù)庫(kù)中，對(duì)數(shù)據(jù)進(jìn)行分類存放，將這些數(shù)據(jù)進(jìn)行分類存放，通過(guò)分類存儲(chǔ)對(duì)數(shù)據(jù)分析以及融合。

數(shù)據(jù)間數(shù)據(jù)通信時(shí)使用不同的數(shù)據(jù)通信包來(lái)進(jìn)行通信的，在數(shù)據(jù)包的抓取以及分析的基礎(chǔ)上能夠?qū)崿F(xiàn)多個(gè)數(shù)據(jù)之間的數(shù)據(jù)通信以及數(shù)據(jù)共享。使用數(shù)據(jù)通信以及數(shù)據(jù)共享進(jìn)行數(shù)據(jù)分析，能夠到到多種數(shù)據(jù)融合之后的數(shù)據(jù)，通過(guò)各個(gè)數(shù)據(jù)集合進(jìn)行數(shù)據(jù)的合成和轉(zhuǎn)換。數(shù)據(jù)之間的不同要求進(jìn)行數(shù)據(jù)存儲(chǔ)，在此過(guò)程中對(duì)數(shù)據(jù)進(jìn)行分類操作，將非結(jié)構(gòu)以及結(jié)構(gòu)化的數(shù)據(jù)進(jìn)行分類存儲(chǔ)，通過(guò)數(shù)據(jù)觀察和識(shí)別對(duì)數(shù)據(jù)模塊進(jìn)行處理。

項(xiàng)目中數(shù)據(jù)庫(kù)的設(shè)計(jì)是按照確定表和確定實(shí)體的細(xì)化行為、關(guān)系以及制定規(guī)則、約定的技術(shù)流程的實(shí)施。數(shù)據(jù)庫(kù)中使用SQL Server2008，確定表的設(shè)計(jì)要遵循以文件類型作為分類的原則進(jìn)行分類，相同文件的要素放到一張表例，例如TCP數(shù)據(jù)、數(shù)據(jù)要素表、視頻數(shù)據(jù)表和圖片要素表等等。

二、數(shù)據(jù)包的識(shí)別

現(xiàn)在比較流行的網(wǎng)絡(luò)數(shù)據(jù)包一般是基于服務(wù)器/客戶端模式，依據(jù)網(wǎng)絡(luò)的按原因是因?yàn)楝F(xiàn)在大家都經(jīng)常使用Internet，在網(wǎng)絡(luò)層使用IP協(xié)議，在傳輸層利用TCP作為為上一層提供面向連接的可靠服務(wù)，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包以及抓包軟件的抓包機(jī)制、網(wǎng)絡(luò)數(shù)據(jù)包端口的特性以及數(shù)據(jù)包的包長(zhǎng)的試驗(yàn)以及研究，可以識(shí)別網(wǎng)絡(luò)的數(shù)據(jù)包，并且能夠確定其是何種數(shù)據(jù)包是一種非?？尚械姆椒ā?/p>

當(dāng)我們需要判別某個(gè)網(wǎng)絡(luò)的接口是否有該種數(shù)據(jù)包時(shí)，一般需要通過(guò)一下幾步：（1）按照該網(wǎng)絡(luò)數(shù)據(jù)包的端口號(hào)來(lái)過(guò)濾數(shù)據(jù)。（2）將過(guò)濾到的數(shù)據(jù)按數(shù)據(jù)流分開(kāi)，這里所指的數(shù)據(jù)流是指IP五元組相同的一組數(shù)據(jù)，也就是目的IP、源IP、目的端口號(hào)、源端口號(hào)以及傳輸層協(xié)議類型相同的一系列的數(shù)據(jù)包。（3）分析各個(gè)數(shù)據(jù)流的包場(chǎng)分布，如果流的99%以上的包長(zhǎng)都是40-159字節(jié)，再將此流的各個(gè)數(shù)據(jù)包按照時(shí)間來(lái)排序，測(cè)試每個(gè)包的時(shí)間間隔，如果時(shí)間間隔小于1s，在在第二步許多流中找與該流對(duì)應(yīng)的反向流。（4）如果找到反向流按照時(shí)間進(jìn)行排序然后觀察各個(gè)數(shù)據(jù)包之間的時(shí)間間隔是否大于等于1s。（5）將反向流與正向流合并，可判別正反向流對(duì)應(yīng)的數(shù)據(jù)報(bào)是否是交替出現(xiàn)的。如果上面的條件都判斷符合標(biāo)準(zhǔn)，我們能夠確定這兩個(gè)正反向流是網(wǎng)絡(luò)數(shù)據(jù)包的。

三、總結(jié)

通過(guò)研究發(fā)現(xiàn)，網(wǎng)絡(luò)數(shù)據(jù)包可以通過(guò)利用抓包軟件的編輯接口，從而能夠開(kāi)發(fā)出相對(duì)應(yīng)的軟件識(shí)別來(lái)通過(guò)各個(gè)網(wǎng)絡(luò)的接口數(shù)據(jù)流有哪幾種數(shù)據(jù)包，我們能夠?qū)?shù)據(jù)包的端口存儲(chǔ)于一個(gè)鏈表中。依據(jù)以上方法依次驗(yàn)證所有的端口號(hào)。由于大型數(shù)據(jù)包開(kāi)發(fā)成本較大，現(xiàn)有數(shù)據(jù)包的數(shù)量有限，搜集到所有的數(shù)據(jù)包的端口號(hào)是能夠?qū)崿F(xiàn)的，這也解決了抓包軟件中的數(shù)據(jù)包是別的空白。數(shù)據(jù)包已經(jīng)被越來(lái)越多的人接受，所以數(shù)據(jù)包市場(chǎng)規(guī)模也會(huì)繼續(xù)擴(kuò)大，這需要有更多的人投入到數(shù)據(jù)包中，而且能夠解決數(shù)據(jù)包普遍存在的外掛問(wèn)題、掉線問(wèn)題、私服問(wèn)題和提高數(shù)據(jù)包信息的交互性。

參 考 文 獻(xiàn)

[1]李培.網(wǎng)絡(luò)數(shù)據(jù)包的監(jiān)聽(tīng)與分析技術(shù)研究.煤炭技術(shù)，2012，31（2）：456-457

[2]周維，劉芳好，羅宇，談子龍，趙留濤，劉東映.P2P應(yīng)用特征檢測(cè)與識(shí)別.計(jì)算機(jī)應(yīng)用，2009，29（5）：103-105

[3]魯鵬俊，鐘亦平，張世永.多模匹配問(wèn)題在IDS中的解決.計(jì)算機(jī)工程，2005，31（4）： 74-78

[4]陳亮，龔儉，徐選.基于特征串的應(yīng)用層協(xié)議識(shí)別.計(jì)算機(jī)工程與應(yīng)用，2006，24（7）：64-69

[5]宋田秋，張國(guó)權(quán)，鄧貴仕.入侵檢測(cè)多模式匹配算法.計(jì)算機(jī)工程，2006，32（5）：4547