网络仿真平台及应用工具简介

　　一、eNSP网络仿真平台

　　eNSP是一款可以对网络交换机、路由器、PC等设备进行仿真模拟的图形化网络仿真平台。通过它可以搭建虚拟的网络,并在这些网络中利用第三方网络数据报文分析工具Wireshark和虚拟机,实现数据报文的获取与分析,直观感受到数据包的流动和网络协议的原理。

　　二、Wireshark 的协议解析原理分析

　　Wireshark是一款开源免费的网络数据报文分析工具,它主要包含两个方面的功能:网络数据包捕获和协议解析。

　　1.网络数据包捕获

　　Wireshark对网络数据包的捕获主要依赖于微软的WinPcap函数库,通过WinPcap直接与网络接口底层驱动交互,获取网络底层的原始数据流。 Wireshark只抓取所有流经被监听网卡的数据包,而不会阴塞数据包的正常传输。

　　2.协议解析原理

　　应用层的数据在传输之前,自上而下经过层层的数据封装到达物理层,由于捕获的数据是二进制值,所以Wireshark必须对数据包进行解析,解析过程自下而上,正好与封装过程相反,Wireshark使用协议解析器Dissector对二进制数据流进行协议解析,通过协议解析器,可以呈现协议各个组成字段的详细信息。Wireshark通过协议树的形式呈现对数据包的解析结果,每层都有具体的解析协议来解析当前层的数据包,每个协议解析器都只负责解析它自己的那部分协议,每层解析后的数据逐级传给下一级解析器去解析下一层的封装数据。

　　解析可以通过两种方式来实现:一种是内置方式,将解析器模块编译到主程序中,这意味着只要启动Wireshark,该解析器始终能用;另一种方法是基于插件,调用共享的库或DLL动态链接库的方式,它需注册自身用于解析。两者有一定区别,在Windows平台,插件方式只能访问有限的函数,有一定局限性但一般也够用,好处是插件解析器的开发相对简单,无需了解整个系统的框架结构细节,只要根据接口说明做相关调用即可,构建周期要远小于内置方式。因此,本文通过开发插件方式实现解析。

　　三、Lua脚本语言

　　Lua是一种功能强大、快速、轻量和可嵌入的脚本语言。Lua由标准C语言编写而成,几乎在所有操作系统和平台上都可以编译运行。Wireshark 内嵌了Lua 脚本语言引擎,并提供一系列Lua 函数接口,支持以Lua脚本扩展Wireshark 功能。因此,可以用Lua编写各种协议解析器、Taps和读写捕获文件等,本文主要使用Lua实现入侵检测及预警功能。

　　作者：郑清安

　　编辑：广汉