摘 要

随着计算机技术发展和互联网技术的成熟，网络安全正受到普遍重视。网络数据包的捕获与分析成为了一个备受关注的问题。对数据包的分析主要就是通过对它的源和目的地址、源和目的端口号和协议类型等进行分析，对数据流进行检测与分析，以这样的方式为相关部门提供监管服务。在Linux环境下，数据包的捕获与分析是一种防御性的技术，它主动的为网络数据提供安全的防御。将数据包转换为可读格式，它就可以对所捕获的数据流进行统计分析并且及时找出网络中出现的问题，识别非法入侵行为等。是网络安全监控的基础，有着至关重要的作用。

在本软件的设计中，主要对数据包的捕获与分析做一个详细的实现。在检测访方面，本软件只对数据的异常做一个告知，比如说当存在异常的数据时，本软件给异常数据打上类似标签的东西提醒用户，而并不对异常的数据进行深度的检测与解析。

关键词：网络安全; 捕获; 分析; 检测

Design and implementation of network packet capture and analysis software

ABSTRACT

With the development of computer technology and the maturity of Internet technology, network security is widely valued. Network packet capture and analysis has become a concern. The analysis of data packet is mainly to detect and analyze data flow by analyzing its source and destination address, source and destination port number and protocol type, so as to provide regulatory services for relevant departments in this way. In the Linux environment, packet capture and analysis is a defensive technology, which actively provides a secure defense for network data. It converts the captured data packets into readable format, can carry out statistical analysis on the data flow and find out the problems in the network in time, and identify the illegal intrusion. Is the foundation of network security monitoring, has a vital role.

In the design of the software, the main data packet capture and analysis to do a detailed implementation. In terms of detection visit, the software only informs the abnormal data. For example, when abnormal data exists, the software reminds the user with something similar to a label on the abnormal data, but does not carry out in-depth detection and analysis of the abnormal data.

Keywords：Network security, Capture, Analysis, detection

目 录

1.1 研究背景及意义 - 1 -

1.2 国内外研究现状及成果 - 2 -

1.3 本文工作 - 3 -

1.4 论文架构 - 4 -

2.1 TCP/IP网络体系 - 5 -

2.2 数据包的捕获 - 7 -

2.3 数据包的过滤 - 8 -

2.4 PCAP函数库 - 8 -

2.4.1 简介 - 8 -

2.4.2 工作流程及主要代码 - 8 -

2.5 数据包的分析 - 10 -

3.1 软件可行性分析 - 12 -

3.2 软件功能需求分析 - 12 -

3.2.1 捕获功能需求分析 - 13 -

3.2.2 筛选功能需求分析 - 13 -

3.2.3 分析功能需求分析 - 13 -

3.2.4 查找功能需求分析 - 14 -

3.2.5 保存功能需求分析 - 14 -

4.1 软件的具体设计 - 16 -

4.1.1 数据包捕获的设计 - 16 -

4.1.2 数据包分析的设计 - 16 -

4.1.3 软件的整体设计 - 17 -

4.2软件具体的实现 - 18 -

4.2.1 寻找网络数据包 - 18 -

4.2.2 协议分析和协议处理 - 19 -

4.2.3 保存数据信息 - 21 -

4.2.4 主体实现程序 - 22 -

4.3 运行结果截图 - 22 -

4.3.1 软件主界面截图 - 22 -

4.3.2 软件主要功能截图 - 22 -

5.1总结 - 28 -

5.2 展望 - 28 -

1. 绪论

1.1 研究背景及意义

随着科技水平的不断提高，网络的迅猛发展使得每天网络上充斥着大量的数据，这些数据有好有坏，这也就为对数据的安全方面提供了物理基础，网络安全正受到IT行业的普遍重视。

我们所处的互联网在一般人看来是相对安全的，但是大型企业甚至政府机构等为了保证网络数据的安全投入大量的人力物力，互联网的安全与稳定一直以来是个备受关注的问题。互联网的安全离不开监管部门的控制，而监管最基本的就是对互联网数据的分析。在分析之前的一步那就是数据的捕获。因此，对数据包的捕获与分析是至关重要的，具有很大的意义。同时，进入互联网的人中包含着不怀好意的网络黑客，所以在预防黑客入侵和网络安全防御中，数据的捕获与分析也具有现实意义。

Linux系统作为互联网中一大操作系统，在Linux下设计一个数据包捕获与分析的软件使得更具有普遍性的意义。现如今的网络中，存在很多的网络设备，而这些网络设备所支持的系统大部分都是Linux的，并且现在人们所用的手机系统，很多也是基于Linux的。所以基于Linux的网络数据包的捕获与分析软件的设计与实现使得这项研究具有很大的可行性与通用性。

现如今，大量的数据中往往隐藏着一些威胁网络安全的危险数据，而且网络方面的问题时有发生。对这些数据进行捕获并加以分析有着特别大的意义，为了营造良好的互联网环境，我们需要对互联网有着更密切的监管，而正是因为这样，对网络数据的捕获和分析是必不可少的部分。

因此，我们需要将数据以可视化的形式展现在面前才可以更加方便的对其进行分析检测。所以在对数据包进行解析的时候，我们首先对它的简单数据信息进行捕获，捕获完之后进而进行解析，解析它的源和目的地址等信息，将这些数据可视化；就其中具体协议再进行分析，对数据流进行检测与分析，为相关部门提供监管服务。在Linux环境下，数据包捕获与分析是一种重要的防御技术,主动的为网络安全提供防御技能。它将捕获的数据包转换为可读格式，可数据流进行统计分析，并且可以及时发现网络中存在的问题,识别非法入侵行为等。是网络安全监控的基础，有着至关重要的作用。

Linux是在GPL（GNU General Public License）版权协议下发行的遵循POSIX标准的操作系统内核，其版权属于Linus Torvalds。通常说的Linux是指GNU/Linux操作系统，它包含Kernel（内核）、Utilities（系统工具程序）以及Application（应用软件）,而不是仅仅代表Linux系统内核。

另外，在数据传输方面，即使数据是安全的，但是当数据的大小过大的时候，在传输的过程中，大流量的数据就会导致网络的拥塞，而对数据的捕获与分析，就可以了解数据的基本信息，进一步掌握网络的拥塞情况和利用率，然后试着对网络进行优化，使得我们的网络处于一种高利用率的状态。这就是该软件实现所谓的实用意义。

1.2 国内外研究现状及成果

网络安全一直是个备受关注的问题，所以对数据包的捕获与分析尤为重要。当下，国内外已经存在了很多网络数据包捕获与分析的软件，它们的功能和应用都很广泛。比较著名的有：Wireshark、Snort、Tcpdump等。以下对它们做个简单介绍：

Wireshark：Wireshark是一个网络数据包捕获与分析的软件。它早已经成为了网络分析领域的标配工具。随着Internet和TCP/IP网络的极速发展，该工具受到网络分析专家和排障师的热捧，同时也受到大部分研发工程师的青睐。Wireshark为他们了解协议在网络中的实际运作方式以及运行时碰到的问题提供了很大的帮助。

Wireshark不为用户提供非法入侵等恶意行为的检测，只提供用户抓取和解析的数据信息。所以在面对网络上发生的异常行为，它不会产生警告。但是，在分析Wireshark所捕获的数据包的时候，可以从中发现网络中存在的问题，让用户对网络有个深层次的了解。

Snort：Snort不同于Wireshark，它是一个免费的为用户提供入侵检测的系统。Snort现在由Cisco开发,该公司于2013年收购了Sourcefire. Roesch是Sourcefire的首席安全架构师。2009年,Snort作为"有史以来最伟大的开源软件"之一进入InfoWorld的开源名人堂。它提供给用户网络实时流量的分析和数据包的记录，同时也包括对协议的解析、相关内容的寻找，可以通过它来侦测所处网络出现的各种入侵和恶意探测。现如今Snort已经逐渐成为入侵检测的一个重要的选择。

Snort作为一个功能强大的系统，它的网络模式匹配功能也有着很直接的实际作用。它可以根据不同的网络行为来检测主机是否受到病毒感染或者受到蠕虫感染。病毒感染一般针对一定范围内的主机，所以当大范围的主机受到感染时，这个检测功能就显得尤为重要。同时，它在检测完之后，在后续对这种行为有着持续的监视，来确定该病毒的清理是否完成。