FTP数据包的捕获与分析策略

许朝晖

湛江港(集团)股份有限公司，广东 湛江 524000

FTP数据包的捕获与分析策略

许朝晖*

湛江港(集团)股份有限公司，广东 湛江 524000

在基于FTP的IP协议理论的初步上，研究网络包捕获、面向对象方法分析需求，以及功能设计。通过测试，最终实现数据包的捕获，流检测和统计功能，达到了预定的要求，是在Visualc++ 6环境开发的，使用Socket-Raw注册表、编程和IP助理APIVC编程方法，网络的运行状态提供了网络管理员理解数据。

网络管理；数据捕获；VC++

网络技术的急速发展和网络建造对应用程序和用户的基础上提高网络性能的需求，让网络管理成了需紧急解决的事情，采用有效的管理网络，保证网络运行的稳定性和可继续持续发展。而且，更重要的是，随着网络规模的发展，黑客攻击的案例越来越多的侵袭，造成了厉害的挑战，网络服务的稳定性、信息安全和网络秩序，在整个网络管理系统的网络安全管理中发挥着越来越重要的作用。

一、FTP研究的背景与意义

在网络研究的同时，我们也进行了初步研究FTP(File Transfer Protocol，文件传输协议)协议。通过数据分析报告，理解FTP的包格式的数据包在不同的网络环境和网络中的传输路径。目前，在同一子网范围内通过邻居的电脑链接发现当地的FTP地址自动配置协议的主机，并获得子网内其他主机的地址，地址可以实现在一个子网主机之间纯FTP环境下的通信。

二、FTP协议的目标与作用

FTP协议的内容和目标。文件传输是针对整个互联网信息和文件的一个传输协议。针对文件传输的环境和系统要求，分类清楚和帐户与用户的区别。

(一)协议的目标

促进程序和数据文件的共享；鼓励使用远程计算机；用户不需要面对不同的文件系统在不同的主机上；高效、可靠的数据传输。

(二)协议的作用

让客户连上远程电脑上的远程电脑，并将文件从远程电脑复制到本地电脑，或者本地电脑文件复制到远程电脑。

(三)传输层的编程接口—Windows套接字编程技术(四)系统需求分析

文件传输协议(File Transfer Protocol，FTP)是用于在网络上进行文件传输的一套标准协议。它属于网络传输协议的应用层。FTP是一个8位的客户端-服务器协议，能操作任何类型的文件而不需要进一步处理，就像MIME或Unicode一样。

三、FTP术语

控制连接：用户PI和服务器PI有难交换的命令和响应信息交换路径。

数据连接：一个全双向连接数据传输与规定的模式和类型。可以传送的数据是文件的某个章节或者一半或者完整的。

DTP(Dynamic Trunk Protocol)：动态中继协议，是思科拥有的协议。数据传送过程作用于建造和管理数据。可以是被动的也可以是主动的。

PI(Protocol Interpreter)：协议解析器。客户端和服务器用于解析协议，它们的完成分别被称为用户PI和服务器PI。

服务器DTP：数据传送过程中，在平时的“主动”状态，是使用“监听”数据端口建造数据连接。它完成了传输和存储数据的作用。合并在服务器端PI的运行下传送数据。也可以在“被动”模式中使用服务器端DTP。

服务器PI：服务器PI在L端口监听，连接请求的用户协议解析器和建立控制连接。它从用户PI接收达标的FTP命令，发送命令和回应，并监管服务器DTP；

用户DTP：数据传输流程和听力上的FTP服务器进程数据端口。如果两个服务器在上面传递数据。

用户PI：用户协议解析器使用的U端口建立控制连接FTP服务器进程和管理用户DTP文件时转移。

四、系统总体框架

整个系统可以分为四个模块，分别为套接字模块、捕获IP数据包模块、解析IP数据包模块和输出模块。

(一)套接字模块

套接字模块主要包括原始套接字的创建和原始套接字的设置。这个模块创建一个原始的套接字，然后将套接字绑定到一个本地网络接口，然后设置套接字，这样它就可以捕获通过网络接口的所有IP数据包。

(二)FTP数据包的捕获模块

这个模块主要负责捕获FTP数据包，然后将捕获的数据包提交给FTP数据包解析模块。这个模块用原始套接字的集合捕获FTP数据包，然后将数据包提交到解析模块，直到键盘输入ctrl+c。

(三)FTP数据包分析模块

该模块负责FTP数据包的分析，也就是说，根据FTP数据包的格式，从捕获的FTP数据包中提取信息，然后提交到输出模块。

(四)输出模块

这个模块负责输出FTP数据包信息的输出，包括输出到标准输出和日志文件。

五、网络数据包捕获的系统功能实现

系统开发环境为VC++ 6，利用Socket实现数据包捕获功能。在数据包捕获具体实现之前，设置网卡模式。主要包括：创建和生成原始套接字：设置FTP头选项，将标志设置为true，处理FTP头，将原有套接字绑定到本地网络大厅，建立套接字模型，启动线程接收数据。根据不同的选择执行不同的程序，并在对话框中显示最终的结果。网络包系统的捕获与分析主要实现网络数据包捕获和分析的功能。系统功能基本达到了原始目标，实现了数据采集和初步协议分析。

详细设计与实现。一般情况下，网络接口响应仅为两个数据帧，一个是硬件匹配的数据帧与自己，另一个是广播到所有的计算机数据。系统，数据帧收发卡完成，从网卡程序接收数据包，根据硬件地址来确定是否与机器硬件地址匹配，如果匹配将调用CPU的中断响应，然后调用驱动程序设置网卡地址中断程序调用驱动系统接收数据栈处理，如果不相关，直接丢弃数据包。

伴随着计算机以及互联网快速发展的同时，人们也开始日益关注于网络安全的问题。影响网络正常运行的问题例如：病毒、恶意攻击、非法访问等等，有许多种网络防御的技术都被应用到网络安全的管理体系中。而数据包的捕获与解析从数据包流量的分析角度，通过实时地监控和采集FTP网络数据包信息，来检验有没有哪些行为违反了安全策略以及是否有网络工作的异常，其中一种分析网络状况的有效方法就是网络数据包的捕获与分析，这也是本文研究的目的所在。

[1]韩春静，唐海娜，李俊.IP协议分析仪的设计与实现[J].计算机工程与应用，2005，41(21)：128-132.

[2]曹铮.互联网异常流量的Netflow分析[J].中国数据通信，2004，6(8)：77-82.

TP

A

1006-0049-(2017)21-0187-01

许朝晖(1987-)，男，广东湛江人，本科，湛江港(集团)股份有限公司，宽带线务员，研究方向：通信工程。