無(wú)線局域網(wǎng)安全監(jiān)護(hù)系統(tǒng)(08-100)

　　3.2.1.2數(shù)據(jù)包捕獲

　　一旦選定需要監(jiān)護(hù)的AP，則可以通過(guò)對(duì)網(wǎng)卡端口寄存器編程來(lái)實(shí)現(xiàn)固定信道的掃描，此時(shí)不再是13個(gè)信道的時(shí)分跳頻，而是網(wǎng)卡固定于一個(gè)特定的信道來(lái)掃描獲取該信道的數(shù)據(jù)。再對(duì)捕獲的數(shù)據(jù)包進(jìn)行BSSID的過(guò)濾，這樣就可以得到該AP服務(wù)集的數(shù)據(jù)包。

　　3.2.2 數(shù)據(jù)的實(shí)時(shí)解析

　　用數(shù)據(jù)包捕獲方式得到的是802.11MAC層的通信數(shù)據(jù)，根據(jù)TCP/IP協(xié)議棧與802.11的相關(guān)協(xié)議，數(shù)據(jù)恢復(fù)需要從TCP/IP協(xié)議模型的底層向上層進(jìn)行一層層的解析和重組：數(shù)據(jù)鏈路層—網(wǎng)絡(luò)層—傳輸層—應(yīng)用層(含會(huì)話、表現(xiàn)層)。

　　TCP、IP的協(xié)議解析是本系統(tǒng)中的一大難點(diǎn)，這其中關(guān)系到IP分片和重組以及TCP流重組和重傳的解析。我們選擇了libnids開(kāi)源工具對(duì)該部分協(xié)議做了具體的解析。

　　在TCP、IP解析的基礎(chǔ)上實(shí)現(xiàn)了對(duì)FTP協(xié)議，HTTP協(xié)議，SMTP協(xié)議，POP3協(xié)議的并行解析。由于監(jiān)聽(tīng)的網(wǎng)絡(luò)同時(shí)會(huì)有多個(gè)人使用某個(gè)協(xié)議，我們建立了對(duì)應(yīng)于各個(gè)TCP連接的虛擬端口，用于區(qū)分不同TCP鏈接的通信數(shù)據(jù)。圖3.2描述了TCP連接與各個(gè)協(xié)議的關(guān)系。

　　圖 3.2 協(xié)議解析關(guān)系圖