摘 要:TCP/IP协议是互联网的基石,TCP/IP对今天互联网的形成有着至关重要的作用,没有TCP/IP就没有互联网的今天。本文就将对网络协议的定义以及原理进行基本的介绍,进而对网络协议分析的实现过程进行探讨,最后分析网络协议分析的入侵检测系统。
关键词:网络协议;分析技术
一、 TCP/IP原理
(一) IP
网际协议IP是TCP/IP中最重要的部分之一,是网络层中最重要的协议。IP层接收由网络接口层发送的数据包,并且把这部分数据发送至TCP层或者是UDP层,相反的,也可以从TCP层以及UDP层接收的数据传送到更低一层。但是,由于IP没有任何的标志去确认数据包是否按照顺序发送,也没有任何的标准去分辨是否被破坏。
另外,IP地址形成了许多服务的认证基础,IP确认包含着一个选项,可以用这个选项来指定一条源地址以及目的地之间的直接路径。对于一些TCP以及UDP服务来说,使用了这个选项的IP就好比从路径的最后一个系统传递过来的,却不是来自它真实地点,这就说明了可以利用它的测试性来欺骗系统,可以进行平常来说被禁止的连接,如果服务器依靠IP源地址,那么就有可能被非法入侵。
(二)TCP
TCP将IP传送来的数据包进行错误检查,与此同时进行虚电路之间的连接。在TCP数据包中,所有未按照顺序收到的包能够被排序,并且,如果这些数据包被损坏的话,可以被重新传输。
TCP能够将信息传到Telnet服务程序以及客户程序等更高层的应用程序。在此之后,应用程序会将数据包送回到TCP层,TCP接着就会将这些信息向下传到IP层,再由IP层传到设备驱动程序以及物理介质,最后到达接收方。
(三)TCP/IP协议的特点
首先,也是最明显的特点就是TCP/IP协议是开放的协议标准,能够免费使用,并且不限定于特定的计算机硬件以及操作系统;另外,TCP/IP协议独立于特定的网络硬件,能够在局域网、广域网以及互联网中广泛的使用;除此之外,TCP/IP设备在网中都具有唯一的地址,也就是说有着统一的网络地址分配方案;最后,TCP/IP协议作为一种标准化的高层协议,基于这种标准化,能够为用户提供多种可靠的用户服务。
二、 网络协议的形成过程
(一) 网络协议分析系统的总体结构
传统的网络拓扑结构包括五种:总线型、星型、环型、树型以及网型。从传输技术角度来说,主要有两种:点到点方式以及广播方式。这两种方式会直接影响网络协议监听器的设置。网络监视器设置在网络的关键点位置,所有的报文传输通过这一点以便接收所有的报文,这是点到点传输方式的特点。而广播方式的优点在于,其他主机能收到任何主机发出的报文。
另外,网卡有四种工作模式:广播模式、直接模式、混杂模式以及多播模式。在广播模式以及直接模式中,只接收广播帧以及发给自己的帧。只有将网卡设置为混杂模式,才能在协议分析的底层模块中截获网络数据,因为只有工作在混杂模式下,网卡能够接收所有流过网卡的帧。在以上条件都具备的时候,才能做到网络监听以及采集数据。
(二) 协议分析中层处理模块
根据网络分层体系结构,可以将中层模块划分为数据链路层、网络层、传输层以及应用层。在中层处理模块中,会将以太网络数据包根据以太网协议格式分层分解,在这个过程中,会频繁的用到数据库以及文件的操作。而数据库中数据表的设计与中层结构相互对应。因为功能模块以及数据库的这种设计,能够使数据库有记忆功能,每个数据包在每一层只会比较一次,在经过层层的比较以后,然后用数据库来存储这些协议。
(三)协议分析上层数据统计处理模块
发现网络上的主机,这种方式叫做网络网元发现。通过网络监听获得网络上传输的数据包这种被动的方式来发现网络网元。截获网络上的数据包以后,从数据包中提取物理地址与数据库中的物理地址相比较,如果发现不相匹配,就说明网段上有新的主元加入了,至此,新的网络网元就被发现了。
三、 网络协议分析的入侵检测系统
(一) 模式匹配技术
当入侵检测系统采用模块匹配技术时,首先从网络中读取数据包,然后从数据包中提取字节,再从特征库中提取一个攻击特征串等长的一组字节,两个字节进行对比;当两个字节相同时,那么就是一次攻击被检测到了;当两组字节不同时,就会接着从数据包第二个字节开始提取字节,同样的,这些字节应当是与攻击特征串等长的一组字节;接着这种比较依次进行,直到每个字节都已经对比完毕;接着数据包转向下一个的特征库中的攻击特征串。在整个对比过程中,我们可以看到,模式匹配技术有着一定的缺陷:首先,计算量比较大,其次探测真确性比较低,影响了入侵检测的速度以及准确性。
(二) 基于协议分析的检测技术
在上文可以看到,模式匹配有一定的缺陷。但是在网络通信中,网络协议定义了标准以及层次的网络数据包。因为具有了这种层次性,那么就可以对于网络协议进行逐层的分析,进行逐层的分析以后,就能够使所需要而计算量大大的降低,通过提高分析效率来获得更加准确的检测结果。
总之,网络协议分析系统是监测网络状态的及其有效的工具,有着很好的使用前景。当网络陷入困境以后,网络协议分析系统能够获取当前的网络运行状态,通过这种信息,网络管理员就能够发现造成网络拥塞的协议或者是用户,通过限制它们的使用来改善整个网络的运行状况。并且,网络协议分析系统广泛的运用在网络管理以及网络安全等各个方面,实现网络监错误监测、性能优化以及安全分析等等众多的功能,具有极其重要的研究以及市场价值。
参考文献:
[1]姚远.协议分析仪在网络安全上的应用初探[J].电信科学,2004(9).
[2]张永涛,刘鑫,李鸥.以太网数据包嗅探技术[J].信息安全,2005(10).
[3]陈艳峰.Visual Basic 6.0数据库项目案例导航[M].北京:清华大学出版社,2004.
中国论文网(www.lunwen.net.cn)免费学术期刊论文发表,目录,论文查重入口,本科毕业论文怎么写,职称论文范文,论文摘要,论文文献资料,毕业论文格式,论文检测降重服务。