网络数据包的抓取与识别
2016-03-11虞凌霄
虞凌霄
【摘要】 首先对网络数据包的特点以及其中所用的技术进行分析和研究,之后对珠宝软件的识别机制进行了了探讨,介绍了数据包被网卡接收后是如何经过过滤到达协议分析应用软件。
【关键字】 网络数据包 抓取 识别
可以将网卡设置为混杂模式而捕获网段上的全部数据包的技术我们称之为数据包的捕获技术,我们将能够实现数据包捕获功能的工具成为嗅包器。网络底层的数据包捕获能够通过下面的方法实现:一是使用以太网的广播特性实现;另外可以通过设置路由器监听端实现。
一、网络数据包的抓取
抓取模块主要包括对图片、视频以及文本的抓取,抓取的子模块在本质上是属于数据抓取模块,数据抓取模块一般分为下面几个部分:(1)数据识别部分,主要对数据进行检查,判断是否为要抓取的数据。(2)数据抓取部分,该部分为最重要的部分。(3)数据分析部分,这样是对数据包头的分析,通过简单的数据分析后可以进入下一部分。(4)数据入库操作部分,将抓取的数据以及分析得到的数据都放在数据库中,对数据进行分类存放,将这些数据进行分类存放,通过分类存储对数据分析以及融合。
数据间数据通信时使用不同的数据通信包来进行通信的,在数据包的抓取以及分析的基础上能够实现多个数据之间的数据通信以及数据共享。使用数据通信以及数据共享进行数据分析,能够到到多种数据融合之后的数据,通过各个数据集合进行数据的合成和转换。数据之间的不同要求进行数据存储,在此过程中对数据进行分类操作,将非结构以及结构化的数据进行分类存储,通过数据观察和识别对数据模块进行处理。
项目中数据库的设计是按照确定表和确定实体的细化行为、关系以及制定规则、约定的技术流程的实施。数据库中使用SQL Server2008,确定表的设计要遵循以文件类型作为分类的原则进行分类,相同文件的要素放到一张表例,例如TCP数据、数据要素表、视频数据表和图片要素表等等。
二、数据包的识别
现在比较流行的网络数据包一般是基于服务器/客户端模式,依据网络的按原因是因为现在大家都经常使用Internet,在网络层使用IP协议,在传输层利用TCP作为为上一层提供面向连接的可靠服务,通过对网络数据包以及抓包软件的抓包机制、网络数据包端口的特性以及数据包的包长的试验以及研究,可以识别网络的数据包,并且能够确定其是何种数据包是一种非常可行的方法。
当我们需要判别某个网络的接口是否有该种数据包时,一般需要通过一下几步:(1)按照该网络数据包的端口号来过滤数据。(2)将过滤到的数据按数据流分开,这里所指的数据流是指IP五元组相同的一组数据,也就是目的IP、源IP、目的端口号、源端口号以及传输层协议类型相同的一系列的数据包。(3)分析各个数据流的包场分布,如果流的99%以上的包长都是40-159字节,再将此流的各个数据包按照时间来排序,测试每个包的时间间隔,如果时间间隔小于1s,在在第二步许多流中找与该流对应的反向流。(4)如果找到反向流按照时间进行排序然后观察各个数据包之间的时间间隔是否大于等于1s。(5)将反向流与正向流合并,可判别正反向流对应的数据报是否是交替出现的。如果上面的条件都判断符合标准,我们能够确定这两个正反向流是网络数据包的。
三、总结
通过研究发现,网络数据包可以通过利用抓包软件的编辑接口,从而能够开发出相对应的软件识别来通过各个网络的接口数据流有哪几种数据包,我们能够将数据包的端口存储于一个链表中。依据以上方法依次验证所有的端口号。由于大型数据包开发成本较大,现有数据包的数量有限,搜集到所有的数据包的端口号是能够实现的,这也解决了抓包软件中的数据包是别的空白。数据包已经被越来越多的人接受,所以数据包市场规模也会继续扩大,这需要有更多的人投入到数据包中,而且能够解决数据包普遍存在的外挂问题、掉线问题、私服问题和提高数据包信息的交互性。
参 考 文 献
[1]李培.网络数据包的监听与分析技术研究.煤炭技术,2012,31(2):456-457
[2]周维,刘芳好,罗宇,谈子龙,赵留涛,刘东映.P2P应用特征检测与识别.计算机应用,2009,29(5):103-105
[3]鲁鹏俊,钟亦平,张世永.多模匹配问题在IDS中的解决.计算机工程,2005,31(4): 74-78
[4]陈亮,龚俭,徐选.基于特征串的应用层协议识别.计算机工程与应用,2006,24(7):64-69
[5]宋田秋,张国权,邓贵仕.入侵检测多模式匹配算法.计算机工程,2006,32(5):4547