数据包捕获

摘要： 在使用基于网络的应用或服务的过程中会遇到各种问题,需要使用流量分析工具找出原因才能解决问题。文章阐述了一套流量采集及分析系统的实现过程,重点讲解了数据包的捕获技术及分析方法、后台进程的结构,以及线程之间的交互过程、采用双缓冲区方案实现线程同步以避免出现资源竞争、使用内存预分配技术来提高内存缓冲区数据结构的性能等方面的内容。该系统已实际运行一年多,可以解决网络应用中的常见问题,具有较强的实用性。

摘要： 本文为了能进一步了解校园网内部的IPv6和IPv4信息信息资产的分布情况,以及校园网内可能存在的入侵威胁,文章研究了校园网内网数据包的捕获技术和数据捕获与存储模型,设计并实现了校园网络数据包捕获、解析和存储功能。

摘要： 针对传统协同网络入侵检测系统存在入侵检测性能较差的问题,文中设计一种基于双边转移概率矩阵的协同网络入侵检测系统.系统的硬件配置为数据采集模块,该模块由采集引擎、打包器与数据处理器构成.系统的软件构成包括协同模块、入侵检测模块、捕包模块和数据解析模块,其中,协同模块包括三个组成单元,分别是协同数据采集单元、协同数据分析单元以及协同系统响应单元;入侵检测模块负责对数据特征模式进行挖掘与评估,并以其阈值为依据比较知识库里的特征模式模板与挖掘的数据特征模式,当比较结果相似率较高,即进行告警,从而进行入侵检测;捕包模块能够通过半轮询捕包技术对数据包进行捕获;数据解析模块负责进行数据的解析.通过硬件与软件相结合实现协同网络入侵检测.为了证明该系统的入侵检测性能较好,将传统协同网络入侵检测系统与该系统进行对比实验,实验结果证明该系统的入侵检测性能优于传统系统.

摘要： 为解决开放性源码造成的暴露缺陷问题,实现对网络安全环境的有效维护,设计基于Snort的网络安全入侵检测预防系统.以数据包捕获模块作为开放性源码的初始输入端,联合信息解码模块与检测预处理模块,实现对源码信息的编译处置,搭建完成检测预防系统的硬件执行环境.在此基础上,设置Snort页面模式,在展示规则应用文件的同时,计算具体的入侵行为过滤系数,搭建系统的软件执行环境,结合相关硬件设备元件,完成基于Snort的网络安全入侵检测预防系统设计.对比实验结果显示,与IDS型入侵检测系统相比,应用Snort型检测预防系统后,单位时间内的暴露信息总量仅能达到4.1×1015 T,开放性源码的平均暴露周期也缩短至3.56 s,可有效解决由开放性源码造成的网络安全暴露缺陷问题.

摘要： 随着互联网技术的普及以及网络规模的不断扩大,各种信息和数据都得到了快速的传输交换.这些数据和信息在互联网中是以数据包作为传输介质进行传输的.因此,数据包的捕获与分析对网络环境的管理和改善具有十分重要的意义.通过利用网络分析开源库WinPcap和Java类库——Jpcap,设计并实现了一个数据包捕获分析平台,并通过仿真实验验证了平台的有效性.

摘要： 互联网上存在很多恶意传播病毒的网站和假冒的欺骗网站,不知情的用户访问这些网站后有可能被感染上病毒,或者被欺骗。基于对网络嗅探技术的简要分析,研究了网络数据包的捕获机制,根据网页推送的需求基于WinPcap在Windows平台下设计实现了一个访问恶意网站告警系统,通过捕获用户使用浏览器发出的HTTP通信报文,分析其请求字段,当主机字段内容与恶意网站匹配时,通过推送程序发送给用户预先指定的告警页面,以达到提醒和保护用户安全的作用。

摘要： 本文先是研究了数据平面开发套件(DPDK[1],Data Plane Development Kit)的技术特点和价值,以及恩智浦LX2160A芯片DPAA2(Data Path Acceleration Architecture,Second Generation)的结构和应用方法;接着重点介绍基于DPDK和LX2160A的高性能数据包捕获应用方案以及测试方案;然后分析数据包捕获测试结果,表明基于DPDK和LX2160A的网络设备整体系统性能提高显著。

摘要： 针对四川某±800 kV换流站由于网络故障而频繁告警甚至导致双极闭锁这一问题,开展换流站网络架构调研和通信协议分析,介绍了换流站典型的三层网络系统架构,在网络压力测试的基础上,进一步提出了换流站内网络系统故障定位方法,通过在被测交换机设置镜像端口,利用网络数据包获取软件(wireshark、FIDDLER、Hping等)对数据包进行捕获,再过滤掉符合换流站通信协议的数据包进行分析,采用从两头(顶层和底层)到中间层的反推故障分析方法,层层分析并排除掉正常设备,最终定位故障点.

摘要： According to security and stability requirements of real-time E-mail transmission,an intercept and release method based on feature analysis at the router are proposed.Through the analysis of e-mail transmission protocol and kernel mechanism,and then analysis of the feature file,the multi-pattern matching method is used to identify the data packets in the kernel state,the multi-pattern matching method is used to identify the data packets in the kernel state.Experimental results show that,under the premise of satisfying the feasibility,the security filtering of the mail is realized,and the method has good timeliness.%针对实时电子邮件传输过程中安全性和可靠性的需求,提出一种在路由器端基于特征分析的拦截与放行方法;通过对电子邮件传输协议和内核机制的分析,以及对特征文件的解析,在内核态下采用多模式匹配方法对数据包进行识别并及时做出判断;实验结果表明,在满足可行性的前提下,对邮件实现安全性过滤,该方法具有很好的时效性.

摘要： Based on the research and analysis of network packet capture,a method of packet capture based on Linux system is proposed.This method uses the Gee router based on OpenWrt system and crosses compilation.WinSCP is implanted into the router environment,and a packet capture system is developed on the wireless router to realize four main functions of capture,de-encapsulation,storage and reassembly recovery.After the reassembly recovery,the system detects the sensitive data information flowing through the router,and if the suspected illegal access is found,the routing table will be modified and controlled.The development of the system has positive significance for the detection and protection of personal and small and medium-sized enterprise network security.%在对网络数据包捕获与分析研究的基础上,提出了基于Linux系统的数据包捕获方法.使用基于OpenWrt系统的极路由器并进行交叉编译,通过WinSCP植入到路由器的环境开发出在无线路由器上的数据包捕获的系统,并实现捕获、解析、存储与重组还原四大主要功能.重组还原后,系统对流过路由器的敏感数据信息的检测会更容易,若发现可疑的非法访问,则对路由表进行修改控制.系统的开发对个人及中小型企业网络安全检测与防护有积极的意义.

摘要： 通用软件方法实现数据包捕获机制主要有基于Linux 系统的Libpcap和基于Windows 系统的Winpcap。本文首先分析两种捕获机制的优缺点，引入了一种结合两者优点的包捕获改进机制Libpcap-nmap，在此基础上进一步改进，提出了一种新的数据包捕获机制 Libpcap-nmap-DMA。改进的方案改变了原有的数据包存取模式，使用一个循环缓冲器直接完成捕获数据到用户层的传递，减少了数据传递环节和网卡中断次数，增加了每次数据传送量。实验结果显示，改进后的方案捕获数据包的性能比传统的方法有显著提高。

摘要： 在IDS中,传统数据分组的捕获是从网卡复制到内核,再由内核复制到用户空间,这导致了CPU频繁地中断响应、冗余数据复制和上下文切换,没有充足时间来进行数据分组的进一步处理.为了提升捕获包效率,采用多线程思想,通过PF_RING ZC技术实现零拷贝,把PF_RING ZC捕获数据分组的方法做成动态链接库,并集成到Snort中;对捕获技术进行IPv6协议扩充,使IDS实现了支持IPv6检测的功能.实验表明,相比libpcap技术,PF_RING ZC技术在高速和低速网络环境中有着更低的丢包率和CPU占用率.

摘要： 本文提出一种TNAPI和PF_RING技术相结合的高性能数据包捕获方式,PF_RING着重解决因为内核开销导致的丢包问题,并利用轮询机制来提高数据包捕获速度,结合TNAPI可以提高多核CPU利用率的这一优势进一步提高了数据包捕获效率.最后通过实验验证了与PF_RING和NAPI相结合的方式相比,在配有Gbits高速网卡的单向光闸环境中传输大批量64bytes网络小包时,捕获效率提高了32％.

摘要： 本文分析了IPv4和IPv6协议数据包的格式,针对Widows系统平台,提出了一种IPv4/IPv6双栈网络协议分析模型,该模型由Windows底层模块、网络数据包捕获模块、探测模块、协议分析模块和统计输出模块构成.最后使用Winpcap网络开发平台实现了一套基于该模型的协议捕获和分析系统.

摘要： 在深入研究、探讨WinPcap三层架构的基础上,利用WinPcap提供的库函数,设计并实现网络数据包捕获和协议分析软件,最后展示分析结果。经在以太局域网中测试,该软件运行良好,分析结果准确。

摘要： 近年来,网络攻击手段愈加丰富、隐蔽性更强,入侵检测、态势感知等安全防护技术虽能发挥重要作用,但针对有些攻击方式则难以监测其攻击行为,在排查诊断攻击时也收效有限.本文研究提出通过捕获数据包并对其进行分析,将网络从原来封闭的黑盒子,变为可直观展现的详细数据,进而诊断定位网络攻击的方法,并列举了相应的实例.该方法能够快速诊断定位网络攻击源及攻击手段,并且解决常规分析手段难以分析的疑难攻击问题.

摘要： 近年来,网络攻击手段愈加丰富、隐蔽性更强,入侵检测、态势感知等安全防护技术虽能发挥重要作用,但针对有些攻击方式则难以监测其攻击行为,在排查诊断攻击时也收效有限.本文研究提出通过捕获数据包并对其进行分析,将网络从原来封闭的黑盒子,变为可直观展现的详细数据,进而诊断定位网络攻击的方法,并列举了相应的实例.该方法能够快速诊断定位网络攻击源及攻击手段,并且解决常规分析手段难以分析的疑难攻击问题.

摘要： 近年来,网络攻击手段愈加丰富、隐蔽性更强,入侵检测、态势感知等安全防护技术虽能发挥重要作用,但针对有些攻击方式则难以监测其攻击行为,在排查诊断攻击时也收效有限.本文研究提出通过捕获数据包并对其进行分析,将网络从原来封闭的黑盒子,变为可直观展现的详细数据,进而诊断定位网络攻击的方法,并列举了相应的实例.该方法能够快速诊断定位网络攻击源及攻击手段,并且解决常规分析手段难以分析的疑难攻击问题.

摘要： 近年来,网络攻击手段愈加丰富、隐蔽性更强,入侵检测、态势感知等安全防护技术虽能发挥重要作用,但针对有些攻击方式则难以监测其攻击行为,在排查诊断攻击时也收效有限.本文研究提出通过捕获数据包并对其进行分析,将网络从原来封闭的黑盒子,变为可直观展现的详细数据,进而诊断定位网络攻击的方法,并列举了相应的实例.该方法能够快速诊断定位网络攻击源及攻击手段,并且解决常规分析手段难以分析的疑难攻击问题.

摘要： 在网络飞速发展的大环境中,越来越多的关键业务、关键应用承载在网络中,对这些业务系统进行网络攻击将造成严重的影响,并可获取相当可观的利益.并且随着黑客技术的成熟,进行网络攻击的成本变得越来越低,所以当前的网络环境中充斥着大量的、各种各样的网络攻击.针对网络攻击的检测也存在非常多的方法.本文介绍了通过数据包分析的方法,快速诊断并定位网络攻击,并列举了诊断并定位网络攻击的实例.此种方法尤其对一些隐藏深、危害大、常规分析手段难以确认的网络攻击作用明显，能够快速进行攻击流量甄别及准确攻击定位，能够取得很好的实际效果。

摘要： 本文公开了用于捕获并且使得能够分析来自射频(RF)数据包信号发射器受测装置(DUT)的一个或多个测试数据包的系统和方法。从所接收的RF数据包信号最近捕获的数据包被保留，以用于在确认所捕获的数据包括潜在有效的测试数据包之后进行分析。此类确认是通过以下而实现的：确认由目前捕获的数据包所限定的数据模式不同于由后续接收的数据包所限定的数据模式。在此类确认之后，触发信号发起所捕获的数据包的存取和/或分析。

摘要： 本发明涉及一种数据包、数据包生成方法及数据包生成系统。所述数据包包括：由左向右依次排列的前导字节域、Time域、ID域、Position域和State域；前导字节域用于表示当前时刻待传输的数据包是否与上一时刻待传输的数据包相同，Time域用于表示数据包的传输时间，ID域用于表示数据包的目的地址，Position域用于表示数据包的位置，State域用于表示数据包的传输数据格式。本发明可以大大减少数据包的长度，提高灵活性的同时还能提高通信效率。

摘要： 在具有发送缓冲器和接收缓冲器，发送接收数据包的数据包发送接收系统中，为了在接收缓冲器的容量中尽量不产生未使用区域，有效利用接收缓冲器的资源，根据发送接收的数据包的容量动态变化接收缓冲器可接收的数据包数量。由此，可防止因接收缓冲器的溢出造成的数据包的废弃，并且能够使用比以往的控制时更少的资源提供与以往同样的性能。

摘要： 本发明提供了一种通过捕获数据包获取盗版游戏服务器信息的方法，包括如下步骤：步骤S1、通过抓包程序捕获网络数据包，对网络数据包进行第一次过滤得到与盗版游戏服务器交互的原始数据包；步骤S2、通过消息队列的方式将所述原始数据包发往重构造程序，对原始数据包进行第二次过滤提取需要的GET、POST信息；步骤S3、模拟盗版登录器将第二次过滤的原始数据包进行数据包重构，得到重构的数据包；步骤S4、将重构的数据包与盗版游戏服务器进行交互获得盗版游戏服务器的信息；本发明能不间断跟踪收集盗版游戏服务器信息，获得盗版的证据。

摘要： 本文公开了用于捕获并且使得能够分析来自射频(RF)数据包信号发射器受测装置(DUT)的一个或多个测试数据包的系统和方法。从所接收的RF数据包信号最近捕获的数据包被保留，以用于在确认所捕获的数据包括潜在有效的测试数据包之后进行分析。此类确认是通过以下而实现的：确认由目前捕获的数据包所限定的数据模式不同于由后续接收的数据包所限定的数据模式。在此类确认之后，触发信号发起所捕获的数据包的存取和/或分析。

摘要： 本发明涉及一种在第一和第二通信设备(3,4)之间进行数据传输(2)时用于数据包(1)的双向传输(2)的数据包(1)，以及一种用于传输这种数据包(1)的方法(100)。根据本发明，从第一(3)向第二通信设备(4)传输的数据包(1)包含对于所有之前由第一通信设备(3)在该数据传输(2)中接收的数据包(1)的确收信息(5,45)。

摘要： 本发明涉及一种数据包、数据包生成方法及数据包生成系统。所述数据包包括：由左向右依次排列的前导字节域、Time域、ID域、Position域和State域；前导字节域用于表示当前时刻待传输的数据包是否与上一时刻待传输的数据包相同，Time域用于表示数据包的传输时间，ID域用于表示数据包的目的地址，Position域用于表示数据包的位置，State域用于表示数据包的传输数据格式。本发明可以大大减少数据包的长度，提高灵活性的同时还能提高通信效率。

摘要： 在具有发送缓冲器和接收缓冲器，发送接收数据包的数据包发送接收系统中，为了在接收缓冲器的容量中尽量不产生未使用区域，有效利用接收缓冲器的资源，根据发送接收的数据包的容量动态变化接收缓冲器可接收的数据包数量。由此，可防止因接收缓冲器的溢出造成的数据包的废弃，并且能够使用比以往的控制时更少的资源提供与以往同样的性能。

摘要： 本发明公开一种基于DPDK的高速网络数据包捕获分流及缓存方法，首先采用Intel DPDK接口捕获原始网络数据报文，然后将所捕获报文封装成自定义格式CDetectionElement存入concurrent_queue无锁缓存队列中，然后使用轮询的方式从队列中读取数据包，提取其中的五元组信息并使用特定的哈希算法计算哈希值，最后根据所得哈希值，查找并存入特定的哈希链表中。本发明最终实现在万兆网络环境中，对数据包的实时捕获分流和缓存，较现有方法具有更高的数据处理能力，本发明能用于大流量环境下的网络数据包实时捕获分流与缓存处理。

摘要： 本发明涉及K8S集群的节点对多接口进行数据包捕获领域，公开了一种降低CPU消耗的数据包捕获的方法、系统、设备及介质。所述方法包括：设置第一线程以从节点的多个接口进行数据包捕获；在所述第一线程中设置多个优先级接口对象组；根据从所述优先级接口对象组中的接口捕获数据包的频率得到所述优先级接口对象组对应的优先级等级；按照优先级等级由高到低的顺序依次对所述第一线程中的优先级接口对象组的接口进行循环捕获；响应于所述第一线程接收到停止信号，停止从所述节点的多个接口捕获数据包。本公开的方法有效降低了CPU的消耗，避免了因为多接口流量差异较大产生的处理能力下降的问题。