抓取网络数据包系统的设计思路.docVIP

抓取网络数据包系统的设计思路?? 2009-01-08 09:41:36|??分类：?网络技术|字号?订阅 ? ? ? ? 要实现抓取网络数据包其实现方式在一定程度上是通用的，是有共性的，都是基于通过将网卡设置成为混杂模式然后来监听流经的数据包，我们知道现在用于组网的设备一般都是要么采用集线器，要么就是采用交换机来实现，这两种设备实现的效果是一样，但由于它们工作原理有差别，因此就需要我们来分别根据这些设备特点来采用不同方式实现。 ? ? ? ?下面我分别来讲解不同网络环境如何来成功抓取网络数据包。 ? ? ? ?第一种，共享式网络 ? ? ? ?共享式网络采用集线器（Hub）作为网络的中心交换设备，因为集线器工作以共享模式工作在OSI层次的物理层，因此对于此种共享式网络我们可以采用如下方式配置： ? ? ? ?第二种，具备镜像功能的交换式网络 ? ? ? ?具备镜像功能的交互式网络采用交换机（Switch）作为网络的中心交换设备，而且此交换机还具备端口镜像功能。交换机是工作在OSI模型的数据链路层，它的各个端口之间能有效分隔冲突，它可以将整个网络分隔成很小的网域，因此对于此种共享式网络我们可以采用如下方式配置： ? ? ? ? 第三种，不具备镜像功能的交互式网络 ? ? ? ? 不具备镜像功能的交互式网络采用交换机（Switch）作为网络的中心交换设备，但此交换机不具备端口镜像功能（主要一些低端交换机）。因为交换机工作的特性，因此我们需要在路由器和中心交换机之间加入一个分路器（Tap）或集线器（Hub），然后将网络监管服务器连接在分路器或者集线器上，相应配置如下所示： ? ? ? ? 第四种，通过代理共享上网 ? ? ? ? 还有一种情况就是当通过代理服务器代理上网的方式，这时我们只要将网络监管软件安装在代理服务器上就可以了。网络构架如下图所示： ? ? ? ?第五种，监管某一子网域 ? ? ? ?有些时候我们要抓取的网络数据包不是整个网络，而是针对其中某个子网域，则其网络构架方式可以如下图所示： ? ? ? 第六种，通过软件方式实现网络监听 ? ? ? 通过软件方式来解决旁路侦听由交换机构成的网络，其方式如下图所示： ? ? ? 在软件设计部分我思考的软件模型如下： ? ? ? ? ?因为我考虑的是采用JAVA实现，因此采用了JPCAP包，如果采用C来开发，可以完全去除JPCAP这层。 ? ? ? ??整个网络监管系统是基于JPCAP来开发的，这主要考虑系统将采用JAVA开发，以便更好的适应未来不同的操作系统运行的需要。JPCAP是一个开源的项目，它实现了对WinPCAP/LibPCAP的Java封装，使使用JAVA开发网络抓包程序更加简单方便。?整个网络监管系统在实现的构架上由Collector、Filter、Analyzer、Writer、Cheater、Transponder几个部分相互协作构成。? ? ? ? Collector完成对网络上流经的数据包进行快速抓取。 Filter对抓取到的数据包按照设定要求进行过滤，对不符合条件规则的数据包直接抛弃，对于符合条件的数据将其送入下一个步骤处理。 Analyzer对过滤后系统关系的数据包进行分析和解析，从中提取有价值的信息送入下一步骤进行进一步处理，由于网络上流经的数据包由各种不同用途，也经过不同的加密处理，因此对应的Analyzer可能会有多种，但不管如何其行为属性是相近或一致的。 Writer完成对分析后有用的数据信息进行存储。 Cheater主要针对软件模式实现网络数据监听时，或者对应数量很小的几台计算机进行监听时，或者需要对网络中的一些行为经行干预时就需要首先向目标计算机和相应网关发生欺骗性ARP包，使之后的网络数据报首先要流转到网络监管计算机上进行处理后才决定下一步动作。Transponder是协助Cheater完成欺骗动作后，进行何种方式进一步动作的具体实现部分，例如如果需要继续完成数据包向网关或者目标计算机的传递，则其实现数据包转发功能。? ? ? ? Collector、Filter、Analyzer、Writer、Cheater、Transponder之间协作关系如下图所示：