wireshark源代码的结构分析
来源:互联网 发布:苹果双系统怎么删除mac 编辑:程序博客网 时间:2024/06/05 23:01
一、层次化的数据包协议分析方法
取得捕包函数捕回的数据包后就需要进行协议分析和协议还原工作了。由于OSI的7层协议模型,协议数据是从上到下封装后发送的。对于协议分析需要从下至上进行。首先对网络层的协议识别后进行组包还原然后脱去网络层协议头。将里面的数据交给传输层分析,这样一直进行下去直到应用层:
在WireShark中注册一个协议解析器首先要指出它的父协议是什么。另外还要指出自己区别于父节点下的兄弟接点协议的特征。比如ftp协议。在WireShark中他的父接点是tcp协议,它的特征就是tcp协议的port字段为21。
这样当一个端口为21的tcp数据流来到时。首先由tcp协议注册的解析模块处理,处理完之后通过查找协议树找到自己协议下面的子协议,判断应该由那个子协议来执行,找到正确的子协议后,就转交给ftp注册的解析模块处理。这样由根节点开始一层层解析下去。
由于采用了协议树加特征字的设计,这个系统在协议解析上由了很强的扩展性,增加一个协议解析器只需要将解析函数挂到协议树的相应节点上即可。
二、基于插件技术的协议分析器
所谓插件技术,就是在程序的设计开发过程中,把整个应用程序分成宿主程序和插件两个部分,宿主程序与插件能够相互通信,并且,在宿主程序不变的情况下,可以通过增减插件或修改插件来调整应用程序的功能。运用插件技术可以开发出伸缩性良好、便于维护的应用程序。它著名的应用实例有:媒体播放器winamp、微软的网络浏览器ie等。
由于现在网络协议种类繁多,为了可以随时增加新的协议分析器,一般的协议分析器都采用插件技术,这样如果需要对一个新的协议分析只需要开发编写这个协议分析器并调用注册函数在系统注册就可以使用了。通过增加插件使程序有很强的可扩展性,各个功能模块内聚。
在协议分析器中新增加一个协议插件一般需要插件安装或者注册,插件初始化,插件处理3个步骤,下面以WireShark为例进行分析如何利用插件技术新增加一个协议分析模块。
WireShark由于采用插件技术,一个新加入开发的程序员开发一种新的协议分析模块的时候不需要了解所有的代码,他只需要写好这个协议模块的函数后,写一个格式为proto_reg_handoff_XXX的函数,在函数内调用注册函数告诉系统在什么时候需要调用这个协议模块。比如
你事先写好了一个名为dissect_myprot的协议解析模块,它是用来解析tcp协议端口为250的数据。可以利用这些语句来将这个解析器注册到系统中
proto_reg_handoff_myprot(void)
{
dissector_handle_t myprot_handle;
myprot_handle = create_dissector_handle(dissect_myprot,
proto_myprot);
dissector_add("tcp.port", 250, myprot_handle);
}
这段代码告诉系统当tcp协议数据流端口为250的时候要调用dissect_myprot这个函数模块。
在WireShark中有一个角本专门来发现开发者定义的类式proto_reg_handoff_xxx这样的注册函数名,然后自动生成调用这些注册函数的代码。这样开发者不需要知道自己的注册函数如何被调用的。这样一个新的协议分析模块就加入到系统中了。
由于采用了插件方式,WireShark良好的结构设计让开发者只需要关系自己开发的协议模块,不需要关心整个系统结构,需要将模块整合进系统只需要写一个注册函数即可,连初始化时调用这个注册函数都由脚本自动完成了。正是因为有很好的体系结构,这个系统才能够开发出如此多的协议解析器
尽管WireShark是目前最好的开放源码的网络分析系统,但WireShark仍然有一些可以改进的地方,一个优秀的网络分析器,尽可能的正确分析出数据协议和高效的处理数据是两个重要的指标。在协议识别方面WireShark大多采用端口识别,有少量协议采用内容识别。这就让一些非标准端口的协议数据没有正确解析出来。比如ftp协议如果不是21端口的话,WireShark就无法识别出来,只能作为tcp数据处理。另外对于内容识别式。WireShark是将所以内容识别的函数组成一张入口表。每次协议数据需要内容识别时,按字母顺序逐个调用表里的每个识别函数。比如对于识别yahoo massanger协议。主要是看数据前几个字节是不是’ymsg’.由于协议名为y开头。所以当识别出协议时已经把所有内容识别函数调用了一遍。这些都是由于WireShark没有实现tcp协议栈,无法做到流级别的识别。导致在协议识别方面有点缺陷。
- wireshark源代码的结构分析
- wireshark源代码的结构分析
- wireshark源代码分析
- wireshark源代码编译 分析
- wireshark源代码分析
- wireshark源代码分析
- wireshark源代码分析
- wireshark源代码分析
- wireshark源代码分析
- Wireshark-IP帧结构分析
- wireshark源代码分析报告之二
- android源代码结构分析
- android源代码结构分析
- Android源代码结构分析
- Android源代码结构分析
- android源代码结构分析
- Android源代码结构分析
- Android源代码结构分析
- Flex减肥方案
- 编程时间管理
- 网上收集的各网摘地址 备用
- 自定义Tab选项卡样式
- Dijkstra最短路径模板2
- wireshark源代码的结构分析
- 简明 Vim 练级攻略
- 从零开始学习Sencha Touch MVC应用之一
- android 可自定义大小和位置的Dialog
- 图文教程 ubuntu 下的jdk,tomcat,eclipse安装
- JIRA 5 发布!
- 基础算法之四--排序:之希尔排序
- 提高网站打开速度的7大秘籍
- linux下的C语言开发(开篇)