基于Netfilter的网络数据包捕获与分析(2)
结 论 28
致 谢 28
参考文献 29
1 绪论
1.1 研究背景及意义
随着网络文护规模的加大,网络上的数据流量与日俱增,同时也给网络管理员们带来了越来越多的挑战和烦恼,网络技术的变化,研究网络数据的捕获和网络协议的分析不但能够有利于管理网络和文护网络的健康运转,更重要的还可以得知黑客对网络攻击的机理,有针对地进行入侵检测,进而有效避免黑客的攻击破坏和对资料的窃取。因此,针对具体问题开发相应的网络管理工具已成为许多网络专家及有识之士的共识。
网络技术的飞速发展表现在两方面:一方面,网络应用越来越多样化,像电子商务、FTP、web应用、VPN、等等,复杂的应用使得其被黑客攻击的可能性更大;另一方面,像百度、腾讯、新浪等大型网络公司,电力、水力、银行、交通等行业的数据中心,它们的数据流量越来越多,网络带宽需求越来越大,因此,网络流量、速度等方面的处理能力也越来越高。
目前,很多企业级、园区级小型网络的防火墙系统大多基于Linux运行,由于Netfilter不仅高效灵活,而且便于扩展,因此Netfilter迅速成为Linux下网络捕获的主要平台。Linux 内核中,Netfilter将对网络代码的直接干涉降到最低,并允许用规定的接口将其他包处理代码以模块的形式添加到内核中,具有极强的灵活性。默认地,它在这个框架上实现了包过滤、状态检测、网络地址转换和包标记等多种功能,因为它设计的开放性,任何有内核开发经验的开发人员,也可以很容易地利用它提供接口,在内核的数据链路层、网络层,实现自己的功能模块。
本文对数据包的网络捕获与分析过程进行研究,设计并实现了Linux下基于Netfilter的捕获与分析系统原型,能够实现内核模式下数据包的捕获,并将其传送至用户模式进行分析,而且在用户态下能够呈现分析的结果。主要研究内容包括:网络数据包捕获、收发与分析的有关基本原理、方法和手段。并且在对Linux内核Netfilter框架进行研究的基础上,利用Netfilter框架提供的Hook函数,实现Linux内核模式的数据包捕获与处理,并根据协议类型实现流量分类。最后利用Netlink实现Linux内核态与用户态的数据通信,从而实现对捕获数据包的分析与呈现。
1.2 国内外研究现状
1.3 本文的主要工作
本文对数据包的网络捕获与分析过程进行研究,设计并实现了Linux下基于Netfilter的捕获与分析系统原型,能够实现内核模式下数据包的捕获,并将其传送至用户模式进行分析,而且在用户态下能够呈现分析的结果。主要研究内容包括:
(1)着重介绍了网络数据包捕获、收发与分析的有关基本原理、方法和手段。
(2)重点介绍了在对Linux内核Netfilter框架进行研究的基础上,利用Netfilter框架提供的Hook函数,实现Linux内核模式的数据包捕获与处理,并根据协议类型实现流量分类,其中包括Netfilter的工作原理及特点、Netfilter的网络捕获机制及数据包捕获设计。
(3)利用netlink实现Linux内核态与用户态的数据通信,从而实现对捕获数据包的分析与呈现。
1.4 本文的组织
本文共分为四章,各章节组织如下:
第一章介绍了本文的研究背景知识及意义,有关本课题的相关知识,分析了网络安全的研究现状及所面临的挑战;简述了本课题研究的问题以及所取得的进展。