入侵实验二网络数据包的捕获及协议的简单分析..docVIP

实验二 网络数据包的捕获及协议的简单分析 实验目的 网络数据包的捕获及协议的简单分析。网络数据包是基于网络的入侵检测系统的重要数据源，网络数据包的捕获是基于网络的入侵检测系统实现的第一步。通过该实验，熟悉并掌握Linux环境下基于Lipbcap的网络数据包的捕获方法，理解和掌握基于网络入侵检测系统的源数据的捕获、协议分析的基本原理和实现方法。能够熟练应用Libcap开发包中的函数完成网络环境下功能较为简单的网络捕获包和分析程序。 实验内容 1、学习libpcap开发包的功能，并在linux下配置好libpcap环境。 2、在linux系统下基于Libpcap编写C程序，实现对数据包的捕获、过滤和简单分析。 了解libpcap编程 Libpcap的抓包流程 查找网络设备：目的是发现可用的网卡，实现的函数为pcap_lookupdev()，如果当前有多个网卡，函数就会返回一个网络设备名的指针列表。 打开网络设备：利用上一步中的返回值，可以决定使用哪个网卡，通过函数pcap_open_live()打开网卡，返回用于捕捉网络数据包的秒数字。 获得网络参数：这里是利用函数pcap_lookupnet()，可以获得指定网络设备的IP地址和子网掩码。 编译过滤策略：Lipcap的主要功能就是提供数据包的过滤，函数pcap_compile()来实现。 设置过滤器：在上一步的基础上利用pcap_setfilter()函数来设置。 利用回调函数，捕获数据包：函数pcap_loop()和pcap_dispatch()来抓去数据包，也可以利用函数pcap_next()和pcap_next_ex()来完成同样的工作。 关闭网络设备：pcap_close()函数关系设备，释放资源。 libpcap利用BPF来过滤数据包 过滤数据包需要完成3件事： 构造一个过滤表达式 编译这个表达式 应用这个过滤器 基于Libpcap实现一个网络数据包嗅探器 捕获所有流经本网卡的数据包实现流程： 查找网络设备 打开网络设备 查找设备信息 输入过滤规则 编译输入规则设置输入规则 开始捕获数据包 调用数据包分析模块 输出MAC，IP，协议以及数据帧 结束? libpcap安装 需要以下四个安装包： 先安装bison、flex、m4，最后安装libpcap 第一步：解压：tar -xvf bison-2.4.1.tar.gz.gz //因为都是.tar.gz的压缩包，使用tar解压命令 第二步：检查：./configure //检查计算机建立包所必须的完整性；根据需要改变默认的路径；激活/禁用编译程序中的各种选项；改变程序将要被安装的路径； 第三步：编译： （sudo）make //（有时候需要root权限） 第四步：安装：（sudo) make install //（有时候需要root权限） bison-2.4.1.tar.gz.gz、flex-2.5.35.tar.gz.gz、m4-1.4.13.tar.gz.gz都用上述方法安装，最后同样方法安装libpcap-1.5.3.tar.gz.gz 最后将解压到的libpcap-1.5.3目录下的pcap目录复制到根目录下的/usr/include里，再将/usr/lib目录下的libpcap.so.1.5.3复制一份改名为libpcap.so.1放到/usr/lib。 实验代码 标准的与上比对的简单实现代码： #include pcap.h #include stdio.h int main(int argc, char *argv[]){ pcap_t *handle; /* 会议手柄*/ char *dev; /*嗅探装置*/ char errbuf[PCAP_ERRBUF_SIZE]; /* 错误字符串*/ struct bpf_program fp; /* 编译过滤器*/ char filter_exp[] = port 80; /* 过滤器表达式*/ bpf_u_int32 mask; /* 网络掩码*/ bpf_u_int32 net; /* IP */ struct pcap_pkthdr header; /* PCAP返回的头部*/ const u_char *packet; /* 实际的数据包*/ /* 查找网络设备 */ dev = pcap_lookupdev(errbuf);//如果当前有多个网卡，函数就会返回一个网络设备名的指针列表。 if (dev == NULL) { fprintf(stderr, 找不到默认的设备： %s\n, errbuf); return(2);} /* 获得网络参数 */ if (pcap_lookupnet(de