鄱阳县扬帆中学-商务谈判案例分析

华中科技大学
硕士学位论文
恶意软件采样系统的设计和实现
姓名：郭菊 先
申请学位级别：硕士
专业：软件工程
指导教师：陆永忠
20060420< /p>

华中科技大学硕士学位论文
摘要
由于互联网络的发展，网络己经成为社会 和经济发展强大动力，其地位越来越
重要。伴随着网络的发展，也产生了各种各样的问题，其中安全问题 尤为突出。如
今，不同类型的恶意代码很快出现在全世界。这些代码可以破坏用户的电脑，甚至
窃取机密资料。为了在互联网上打击这些恶意代码。人们必须首先及时得到这些样
品。一旦收集到这些样 品，然后才能决定需要哪些适当的对策，以阻止威胁。恶
意代码采样系统能正确及时的完成上述任务。既 然需要在恶意代码侵入局域网以前
收集到它们，那么最好的方法就是记录下网关上的数据报，并将数据报 按会话进行
流重组，将它们重组成数据样本。
在了解了ＴＣＷＩＰ协议族原理后，又探讨了研制 基于应用层的网络监控系统的
技术、方法及算法。先探讨了采集网络数据的方法。然后重点讨论了网络层 数据报
的流重组和应用层的还原的技术。
进一步的开发中，实现了一个动态的数据报检测模块， 将源目地址和源目端口
号保存在一张连接表中。并在连接状态表中增加了连接序号，应答号，窗口大小等
表项，不但检测包是否属于合法连接，判断其ＴＣＰ状态转换是否正确，而且还对包
进行序号检 查，判断包在这条连接上的合法性，即保证收到的包不是伪造的包。此
外，提出了数据包五元组的哈希算 法，能够准确及时的找到数据报在连接表中的位
置，使系统能够正确的跟踪一次会话的全过程并记录下所 交互的文件．
针对ＳＭＴＰ、ＰＯＰ３、ＨＴＴＰ、ＦＴＰ等应用层协议，设计了重组并行算法的体系< br>结构、算法思想，以及实现环境。最后，对该系统进行了系统的测试，并将测试结
果一一列举。< br>关键词：ＴＣＰ会话ＴＣＰ流重组应用层协议重组ＴＣＰ／ＩＰ协议解析

华中科技 大学硕士学位论文
Ａｂｓｔｒａｃｔ
Ａｓｒｅｓｕｌｔｏｆｔｈｅ
ｄｅｖｅｌｏｐｍｅ ｎｔ
ｏｆｔｈｅ
Ｉｕｔｅｒｎｅｔ，ｎｅｔｗｏｒｋ
ｈａｓｂｅｅｎ
ａａｐｏｗｅｒｆｕｌｅｎｇｉｎｅ
ｏｆｓｏｃｉａｌａｎｄｅｃｏｎｏｍｉｃ
ｄｅｖｅｌｏｐ ｍｅｎｔ，ａｎ
ｉｎｃｒｅａｓｉｎｇｌｙ
ｉｍｐｏｒｔａｎｔｐｏｓｉｔｉｏｎ．Ａｃｃｏｍ ｐａｎｉｅｄ
ａ
ｂｙ
ｔｈｅ
ｄｅｖｅｌｏｐｍｅｎｔ
ｏｆ
ｔ ｈｅ
ｎｅｔｗｏｒｋ，ｉｔ
ｈａｓ
ａｌｓｏ
ｐｒｏｄｕｃｅｄ
ｉｎｃ ｌｕｄｉｎｇ
ｓｅｃｕｒｉｔｙ
ｐｒｏｂｌｅｍｓ
ａｒｅ
ｗｉｄｅ
ｖ ａｒｉｅｔｙ
ｏｆ
ｐｒｏｂｌｅｍｓ．
ｐａｒｔｉｃｕｌａｒｌｙ
ｐｒｏｎｏ ｕｎｃｅｄ．Ｎｏｗａｄａｙｓ，ｄｉｆｆｅｒｅｎｔｔｙｐｅｓ
ｏｆ
ｍａｌｉｃｉｏｕｓｃｏｄｅｓ
ｕｓｅｒ’ｓ
ａｒｅ
ｅｍｅｒｇｉｎｇｑｕｉｃｋｌｙ
ａｒｏ ｕｎｄｔｈｅ
ｗｏｒｌｄ．Ｔｈｅｓｅｃｏｄｅｓ
ｍａｙｄａｍａｇｅ
ｔｈｅ
ｃｏｍｐｕｔｅｒ
ｏｒ
ｅｖｅｎ
ｗｏｒｓｅ，ｓｔｅａｌ
ｃｏｎｆｉｄｅｎｔ ｉａｌ
ｄａｔａ．Ｔｏ
ｈｅｌｐ
ｃｏｍｂａｔｔｈｅｓｅ
ｍａｌｉｃｉｏｕｓ
ａ
ｃｏｄｅｓｗｉｔｈｉｎ
ｔｈｅ
Ｉｎｔｅｍｅｔ，ｐｅｏｐｌｅ
ｆ ｉｒｓｔｎｅｅｄ
ｇｅｔ
ｔｈｅｉｒ
ｓａｍｐｌｅｓ
ｉｎ
ｔｉｍｅｌ ｙ
ｍａｎｎｅｒ．Ｏｎｃｅ
ｉｓ
ｔｈｅｓｅ
ｓａｍｐｌｅｓ
ａｒｅ< br>ｃｏｌｌｅｃｔｅｄ，ｔｈｅｎ
ｔｈｅｙ
ｃａｎ
ｄｅｃｉｄｅｗｈｉｃｈ
ａｐｐｒｏｐｒｉａｔｅ
ｃｏｕｎｔｅｒｍｅａｓｕｒｅ
ｎｅｅｄｅｄｉｎ
ｏｒｄｅ ｒ
ｔｏ
ｂｌｏｃｋｔｈｅ
ｔｈｒｅａｔ．Ｔｈｅ
ｃａｎ
Ｍａｌｉｃｉ ｏｕｓ
ＳｏＲｗａｒｅ
Ｓａｍｐｌｅ
Ｃｏｌｌｅｃｔｉｏｎ
Ｓｙｓｔｅｍｃｏｒｒｅｅｔ
ａｎｄ
ｔｉｍｅｌｙｃｏｍｐｌｅｔｉｏｎ
ｏｆ
ｔｈｅ< br>ｔａｓｋ．Ｓｉｎｃｅ
ｐｅｏｐｌｅ
ｎｅｅｄ
ｔｏ
ｇａｔｈｅｒ
ｕｐ
ｔｈｅｓｅ
ｍａｌｉｃｉｏｕｓ
ｒｅｃｏｒｄ
ｔｈｅ
ｃｏｄｅ ｓ
ｂｅｆｏｒｅ
ｔｈｅｙ
ｓｅｅｐ
ｉｎｔｏ
ｔｈｅ
Ｉｎｔｒ ａｎｅｔ
ｆｒｏｍｔｈｅ
Ｉｎｔｅｒａｃｔ，ｔｈｅ
ｂｅｓｔ
ｓｏｌｕｔｉｏ ｎ
ｉｓ
ｔｏ
ｉｎｃｏｍｉｎｇ
ｐａｃｋｅｔｓ
ｉｎ
ｔｈｅ< br>ｇａｔｅｗａｙ
ａｎｄ
ａｓｓｅｍｂｌｅｔｈｅｓｅ
ｐａｃｋｅｔｓ
ｉ ｎｔｏ
ｂｉｎａｒｉｅｓ．
ａｎｄ
ｅｘｐｌｏｒｅ
ｔｈｅ
ＴＣＰ／Ｉ Ｐ
ｐｒｏｔｏｃｏｌ
ｃｏｍｍｕｎｉｔｉｅｓ
ｉｎ
ｕｎｄｅｒｓｔａｎｄｉｎ ｇ
ｔｈｅ
ｐｒｉｎｃｉｐｌｅｓ
ｄｅｖｅｌｏｐｍｅｎｔ
ｏｆ
ｎｅｔ ｗｏｒｋ－ｂａｓｅｄ
ａｐｐｌｉｃａｔｉｏｎ
ｌａｙｅｒ
ｃｏｎｔｒｏｌ
ｓ ｙｓｔｅｍ
ｔｅｃｈｎｏｌｏｇｙ，ｍｅｔｈｏｄｓ
ａｌｇｏｒｉｔｈｍｓ
ｔｏ
ｅｘｐｌｏｒｅｗａｙｓ
ｏｆ
ｃｏｌｌｅｃｔｉｎｇ
ｄａｔａ
ｎｅｔｗｏｒ ｋ．Ｔｈｅｎ
ｓｙｓｔｅｍ
ｆｏｃｕｓｅｄ
ｏｎ
ａｎｄ
ｄａｔａｒｅｐｏｒｔｅｄ
ｔｏ
ｔｈｅ
ｎｅｔｗｏｒｋ
ｌａｙｅｒ
ａｎｄ
ａｐｐｌｉｃａｔｉｏｎ
ａ
ｌａｙｅｒ
ｆｌｏｗｏｆ
ｔｈｅ
ｏｒｉｇｉｎａｌ
ｔｅｃｈｎｏｌｏｇｙ．Ａｎｄ
ｗｉｎｄｏｗｓｉｚｅ
ｌｉｎｋｉｎ ｇ
ｓｔａｔｅｔａｂｌｅ
ｃｏｎｎｅｃｔｉｎｇ
ｓｅｒｉａｌｎｕｍｂｅｒｓ
ｉｎｃｒｅａｓｅｄ，ｔｈｅ
ｒｅｓｐｏｎｓｅ
ｏｆｔｈａｔ
ｏｆｔｈｅ
ｔａ ｂｌｅ，ｎｏｔｏｎｌｙ
ｔｈｅｄｅｔｅｃｔｉｏｎｋｉｔｉｓ
ｉｓ
ｔｏ
ｌｅ ｇｉｔｉｍａｔｅ
ｌｉｎｋ，ｔｈｅ
ＴＣＰ
ｓｔａｔｅｊｕｄｇｅ
ｃｏｎｖｅ ｒｓｉｏｎ
ｔｈｉｓ
ｃｏｌＴｅＣｔ，ｂｕｔ
ａｌｓｏ
ｋｉｔｓ
ｔｏ
ｃｈｅｃｋ
ｆｏｒｔｈｅ
ｓｅｒｉａｌ
ｎｏｔ
ｎｕｍｂｅｒ，ｊｕｄ ｇｉｎｇ
ｐａｃｋｅｔｓ
ｉｎ
ｐａｃｋｅｔｓ
ｃｏｎｎｅｃｔｉｏｎ
ｔｈｅ
ｌｅｇａｌｉｔｙ
ｏｆｔｈａｔ
ｇｕａｒａｎｔｅｅ
ｉｓ
Ｉｎ
ｒｅｃｅｉｖｅｄ
ａ
ｆｏｒｇｅｄ
ｐａｃｋｅｔｓ．
ｆｉｎｄａｃｃ ｕｒａｔｅ
ａｄｄｉｔｉｏｎ，ａ
ｇｒｏｕｐ
ｏｆｆｉｖｅ
ｙｕａｎｐａｃｋ ｅｔ
ｃｏｎｖｅｙ
ａｌｇｏｒｉｔｈｍ
ｔｏ
ａｎｄ
ｔｉｍｅｌｙｄａｔａ
ｏｎ
Ｉｎ
ｔｈｅ
ｌｏｃａｔｉｏｎｏｆ
ｔｈｅ
ｔａｂｌｅ
ｉｎ
ｃｏｎｎｅｃｔｉｎｇ
ｔｏ
ｔｈｅ
ｓｙｓｔｅｍｔｏｃｏｒｒｅｃｔ
ｔｈｅ
ｗｈｏｌｅ
ｐｒｏｃｅｓｓ
ｏｆｔｒａｃｋｉ ｎｇ
ａｎｄ
ｒｅｃｏｒｄｉｎｇ
ｏｆａ
ｃｏｎｖｅｒｓａｔｉｏｎ
ｗ ｉｔｈｔｈｅｗｏｒｌｄ．
ＳＭＴＰ、ＰＯＰ３、ＨＴＴＰ、ＦｒＰ
ａｎｄ
ｏｔｈｅｒ
ａｐｐｌｉｃａｔｉｏｎｌａｙｅｒ
ａｇｒｅｅｍｅｎｔ，ｔｈｅ
ａｌｇｏｒｉｔｈｍ
ｄｅｓｉｇｎ
ａｒｃＭｔｅｃｔｏｒｅ，ａｌｇｏｒｉｔｈｍｓｔｈｉｎｋｉｎｇ，ａｎｄｒｅｏｒｇａｎｉｚａｔｉｏｎ
ｏｆ
ｐａｒａｌｌｅｌ
ｒｅａｌｉｚｉｎｇ
ｔｈｅ
ｅｎｖｉｆｏｎｍｅｎｔ．Ｆｉｎａｌｌｙ，ｔｅｓｔｉｎｇ
ｏｆｔｈｅ
ｓｙ ｓｔｅｍ
ａｎｄ
ｅｎｕｍｅｒａｔｉｎｇ
ｔｈｅ
ｔｅｓｔ
ｒｅｓｕｌ ｔｓ．
Ｋｅｙ
ｗｏｒｄｓ：ＴＣＰＣｏｎｎｅｃｔｉｏｎＴＣＰＦｌｏｗｓ
Ｒｅａｓｓ ｅｍｂｌｉｎｇ
ｉｎＡｐｐｌｉｃａｔｉｏｎ
Ｌａｙｅｒ
ＴＣＰ／ＩＰＤａｔａ
Ｐａｒｓｉｎｇ
Ｐｒｏｔｏｃｏｌ
Ｒｅａｓｓｅｍｂｌｉｎｇ
ＩＩ

< br>。Ｋ＇１０１７５０ｓ
独创性声明
本人声明所呈交的学位论文是我个人在导师指导下进行 的研究工作及取得的
研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，
均己在文中以明确方 式标明。本人完全意识到本声明的法律结果由本人承担。
学位论文作者签名．末
移黟
日 期：加／年加月功７
日
学位论文版权使用授权书
本学位论文作者完全了解学校有关保留 、使用学位论文的规定，即：学校有
权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和
借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据
库进 行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
保密口，
本论文属于< br>不保密囱。
（请在以上方框内打“４”）
在——年解密后适用本授权书。
学位论 文作者签名：
指导教师签名；够习：Ｌ近
日期：夕∞犀，口月≯珀
日期：ｚ。Ｄ厂年／ ｏ月谚日

华中科技大学硕士学位论文
１绪论
１．１课题背景
计 算机网络尤其是Ｉｎｔｅｍｅｔ应用的飞速发展，对人们传统的生活、工作、学习
方式及社会很多行业都 产生了深远的影响。但当我们从网络中方便快速地获取信息
的同时，也面临着个人隐私、企业的技术机密 或者商业机密和政府行政机关的国家
机密通过网络向外泄漏的安全问题。随着网络信息安全事件的频繁发 生，网络信息
安全已经成为人们关注的焦点问题。当前很多企业及科研机构都在从事这方面的工
作和研究，形成的产品类型主要有防病毒软件、防火墙和入侵检测系统。
防病毒软件是用于检测和清除计 算机病毒的重要信息安全产品，一般利用模式
匹配技术，配合定期更新的病毒特征库来检测和清除计算机 内的病毒。防火墙是实
现网络信息安全最主要的技术之一，其主要思想就是在内外部网络之间建立起一定
的隔离，控制对受保护网络的访问。实现防火墙的主要技术有数据包过滤、代理服
务和状态检测 。总体上来说防火墙是一种被动的防护，不经过防火墙的信息流无法
受防火墙的保护，即使经过防火墙的 信息流也未必完全受防火墙的保护，特别是它
不能防止数据驱动的攻击（如病毒等）。另外，底层协议的 防火墙也不能保证上层协
议的攻击。入侵检测系统是另一种实现网络信息安全的主要产品，它能在入侵攻 击
对系统产生危害之前，监测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在
入侵攻击过 程当中，能减少攻击所造成的损失。在被入侵攻击后，可以收集入侵攻
击相关信息，作为防范系统的知识 ，添加到知识库内，增强系统的防范能力，避免
系统再次受到同种类型的入侵。入侵检测系统被认为是防 火墙之后的第二道安全闸
门，在不影响网络性能的情况下对网络进行监听，从而提供了对内部攻击和外部 攻
击的保护。
虽然现在大部分的网络己经安装了以上三类产品中的一种或几种，但每当操作系统的～个漏洞被披露或者是一种新的网络攻击技术出现时，就会发生大量威胁网
络安全的事件。据 美国财经杂志统计资料表明，３０％的入侵发生在有防火墙的情况
下，２０％的入侵发生在有入侵检测系 统的情况下．防病毒软件、防火墙和入侵检测
系统并不能完全保证网络的安全，尤其是在网络泄密的防范 和取证上发挥不了多大

华中科技大学硕士学位论文
的作用。近几年来人们渐渐认 识到了网络信息监控系统的重要性，它作为防火墙和
入侵系统的一个必要补充，通过对网络报文的内容进 行扫描来发现网络流量中的敏
感信息，可以为网络泄密事件提供侦查的线索和证据；同时网络信息审计系 统能记
录网络流量相关内容，为发现新的入侵手段提供素材‘¨。
１．２课题的目的和意义当前计算机系统的性能得到飞快的提高，同时网络的带宽也得到显著改善，信
息在网络传输的速度极 快，可以在很短的时间传输大量的信息。内部人员可以通过
互联网将敏感信息向外部快速传输。窃密者不 仅可以通过内部网络与外部网络的连
接点与外界连接，还可以使用调制解调器通过电话拨号直接上网连接 。即使内部人
员主观上并没有泄露信息的意图，但在内部网络与外部工。Ｉｎｔｅｍｅｔ网的无意连接过
程中，客观上给外部人员窃取机密信息提供了可能。为了绝对保障内部网络中一些
绝密信息的安 全，目前航天系统的一些部门采用禁止实验室内的电话与外部联系的
方式来硬性断开内部域网与互联网的 连接。但是，这种方法妨碍了网络的运行，限
制了网络的功能，也使广大科研人员无法享受Ｉｎｔｅｒｎ ｅｔ技术所带来的巨大便利［２１１３］。
因此，迫切需要开发相应的软件产品以既保证网络内部敏感信 息的安全，又充
分保障内部网络的畅通，不影响充分利用网络的开放性和灵活性。网络安全监控系
统作为信息化建设的安全保障，不论是重要的国家机关还是企事业单位的核心技术
部门对其应用的呼声 都很高，特别是航天、军工、政府机关等重要的国家机密部门，
以及银行、证券、高新技术企业等信息敏 感型企事业单位，往往拥有大量的机密信
息，一旦泄漏就会造成巨大的经济损失和负面影响，甚至对国家 安全和社会稳定构
成威胁。以上这些都迫切要求能够在实现信息化的同时，提供高效的完备的可靠的信息化安全保证，而本系统的提出正符合了当前这一迫切的需要【２】。
１．３课题研究的内容和结 构
以实现在大规模网络入侵下有效实现应用层协议重组和检测为目标，从解决传
统入侵检测系统 的不足之处出发，将并行计算的理论应用于应用层协议重组中，在
ＩＰ分片重组、ＴＣＰ流重组以及重组 后应用层协议的检测等数据相关性分析、并行任
务划分等方面展开理论及其应用的研究工作，取得了创新 性研究成果．具体研究内
２

华中科技大学硕士学位论文
容如下：
（１）介绍选题背景、课题的目的和意义以及主要完成的论文的结构组织。
（２）系统整体架构的设计 和数据库的设计。
（３）系统的具体实现。着重讲述了网络数据报的抓取、分析和数据报的流重
组，并提出了相应的数据结构和算法思想。对于应用层协议重组，讲述了其算法和
模型的具体实现细节。 最后给出了系统的测试及其测试结果。
归纳总结全文，并对相关技术研究进行了展望。

< br>华中科技大学硕士学位论文
２相关技术分析
２．１
ＴＣＰ／ＩＰ协议
Ｔ ＣＰ／ＩＰ协议的开发研制人员将Ｉｎｔｅｒａｃｔ分为五个层次，以便于理解，它也称为
互联网分层模 型或互联网分层参考模型，也称为Ｉｎｔｅｒｎｅｔ五层模型。如图２．１；
应用层
传输层网络层
网络接口层
物理层
图２．１
Ｉｎｔｅｍｅｔ五层模型
（１ ）物理层：对应于网络的基本硬件，这也是Ｉｎｔｅｒａｃｔ物理构成，即我们可以
看得见的硬件设备， 如ＰＣ机、互连网服务器、网络设备等，必须对这些硬件设备
的电气特性作一个规范，使这些设备都能够 互相连接并兼容使用。
（２）网络接口层：它定义了将数据组成正确帧的规程和在网络中传输帧的规程，帧是指一串数据，它是数据在网络中传输的单位。
（３）网络层：本层定义了互联网中传输的“ 信息包”格式，以及从一个用户
通过一个或多个路由器到最终目标的“信息包”转发机制。
（４ ）传输层：为两个用户进程之间建立、管理和拆除可靠而又有效的端到端连
接。
（５）应用层： 它定义了应用程序使用互联网的规程１４１。
２．１．１
ＩＰ协议
Ｉｎｔｅｍｅｔ上使 用的一个关键的底层协议是网际协议，通常称ＩＰ协议。利用一个
共同遵守的通信协议，从而使Ｉｎｔｅ ｍｅｔ成为一个允许连接不同类型的计算机和不同
操作系统的网络。要使两台计算机彼此之间进行通信， 必须使两台计算机使用同一
种语言．通信协议正像两台计算机交换信息所使用的共同语言，它规定了通信 双方
４

华中科技大学硕士学位论文
在通信中所应共同遵守的约定。计算机的通信协议精确地定义了计算机在彼此通信过程的所有细节。例如，每
台计算机发送的信息格 式和含义，在什么情况下应发送规定的特殊信息，以及接收
方的计算机应做出哪些应答等等。
网 际协议ＩＰ协议提供了能适应各种各样网络硬件的灵活性，对底层网络硬件
几乎没有任何要求，任何一个 网络只要可以从一个地点向另一个地点传送二进制数
据，就可以使用口协议加入Ｉｎｔｅｍｅｔ了。如果希望能在Ｉｎｔｅｍｅｔ上进行交流和通信，则每台连上Ｉｎｔｅｒｎｅｔ的计算机都必须
遵守 ｍ协议。为此使用Ｉｎｔｅｒｎｅｔ的每台计算机都必须运行ＩＰ软件，以便时刻准备
发送或接收信息。
ＩＰ数据报的格式如图２．２所示。普通的ＩＰ首部长为２０个字节，除非含有选项
字段。３２位
４位舨本
４位首部长度
１６位标识
啦服务类型
（ＴＯＳ）
１６位总长度（字节数）
３位标志１３位片偏移
２０
８位生存时问（ｒｒＬ）
８位协议
３２位源ＩＰ地址
３２位目的ＩＰ地址
１６位首部检验和
字
节
选项（如果有）
数据
图２．２ＩＰ协议头信息
分析图２．２中的首 部。最高位在左边，记为０ｂｉｔ；最低位在右边，记为３１ｂｉｔ。
４个字节的３２ｂｉｔ值以下面的 次序传输：首先是０～７ｂｉｔ，其次８～１５ｂｉｔ，然后
１６～２３ｂｉｔ，最后是２４～３１ｂｉ ｔ。这种传输次序称作ｂｉｇｅｎｄｉａｎ字节序。由于ＴＣＰ／ＩＰ
首部中所有的二进制整数在网络中 传输时都要求以这种次序，因此它又称作网络字
节序。以其他形式存储二进制整数的机器，如ｌｉｔｔｌ ｅｅｎｄｉａｎ格式，则必须在传输数据
之前把首部转换成网络字节序。
１）版本号
目 前的协议版本号是４，因此ｐ有时也称作ＩＰｖ４。
２）首部长度
指的是首部占３２ｂｉｔ字的 数目，包括任何选项。由于它是一个４比特字段，因

华中科技大学硕士学位论文
此首部最长为６０个字节。普通ｍ数据报（没有任何选择项）字段的值是５。
３）服务类型（１ＤＳ）字 段
包括一个３ｂｉｔ的优先权子字段（现在已被忽略），４ｂｉｔ的ＴＯＳ子字段和１ｂｉｔ未
用位但必须置０。４ｂｉｔ的ＴＯＳ分别代表：最小时延、最大吞吐量、最高可靠性和最
小费用。４ｂｉ ｔ中只能置其中ｌｂｉｔ。如果所有４ｂｉｔ均为０，那么就意味着是一般服务。
ＲＦＣｌ３４０［Ｒｅ ｙｎｏｌｄｓａｎｄＰｏｓｔｅｌｌ９９２］描述了所有的标准应用如何设置这些服务类型。
ＲＦＣｌ３ ４９［Ａｌｍｑｕｉｓｔｌ９９２］对该ＲＦＣ进行了修正，更为详细地描述了ＴＯＳ的特性。
４）总长 度字段
是指整个Ｉ
Ｐ数据报的长度，以字节为单位。利用首部长度字段和总长度字段，
就可以知道Ｉ
Ｐ数据报中数据内容的起始位置和长度。由于该字段长ｌ６比特，所
以ＩＰ数据报 最长可达６５５３５字节。当数据报被分片时，该字段的值也随着变化。
尽管可以传送一个长达６５５３ ５字节的ＩＰ数据报，但是大多数的链路层都会对
它进行分片。而且，主机也要求不能接收超过５７６字 节的数据报。由于ＴＣＰ把用户
数据分成若干片，因此一般来说这个限制不会影响ＴＣＰ。大量使用ＵＤ Ｐ的应用（ＲＩＰ，
ＴＦＴＰ，ＢＯＯＴＰ，ＤＮＳ以及ＳＮＭＰ），它们都限制用户数据报长度为５１ ２字节，小于
５７６字节。但是，事实上现在大多数的实现（特别是那些支持网络文件系统ＮＦＳ的实现）允许超过８１９２字节的ＩＰ数据报。
总长度字段是Ｉ
Ｐ首部中必要的内容，因为一 些数据链路（如以太网）需要填
充一些数据以达到最小长度。尽管以太网的最小帧长为４６字节，但是ｍ 数据可能
会更短。如果没有总长度字段，那么ｍ层就不知道４６字节中有多少是ｍ数据报的
内容 。
５）标识字段
唯一地标识主机发送的每一份数据报。通常每发送一份报文它的值就会加ｌ。< br>ＲＦＣ７９１［Ｐｏｓｔｅｌ１９８１ａ】认为标识字段应该由让ｐ发送数据报的上层来选择。假设有两个连续的ｐ数据报，其中一个是由ＴＣＰ生成的，而另一个是由ＵＤＰ生成的，那
么它们可能具有 相同的标识字段。尽管这也可以照常工作（由重组算法来处理），
但是在大多数从伯克利派生出来的系统 中，每发送一个球数据报，ＩＰ层都要把一
个内核变量的值加ｌ，不管交给口的数据来自哪一层。内核变 量的初始值根据系统
引导时的时间来设置。
６）ｒｒＬ（ｔｉｍｅ－ｔｏ－ｌｉｖｅ）生存时间 字段
６

华中科技大学硕士学位论文
设置了数据报可以经过的最多路由器 数．它指定了数据报的生存时间。ｒｒＬ的
初始值由源主机设置（通常为３２或６４），一旦经过一个处 理它的路由器，它的值就
减去ｌ。当该字段的值为０时，数据报就被丢弃，并发送ＩＣＭＰ报文通知源主 机。
７）首部检验和字段
是根据Ⅲ首部计算的检验和码。它不对首部后面的数据进行计算。ＩＣ ＭＰ、
ＩＧＭＰ、ＵＤＰ和ＴＣＰ在它们各自的首部中均含有同时覆盖首部和数据检验和码。
为 了计算一份数据报的口检验和，首先把检验和字段置为０。然后，对首部中
每个１６ｂｉｔ进行二进制反 码求和（整个首部看成是由一串１６
ｂｉｔ的字组成），结果存
在检验和字段中。当收到一份Ｉ
Ｐ数据报后，同样对首部中每个１６
ｂｉｔ进行二进制
反码的求和。由于接收方在计算 过程中包含了发送方存在首部中的检验和，因此，
如果首部在传输过程中没有发生任何差错，那么接收方 计算的结果应该为全ｌ。如
果结果不是全１（即检验和错误），那么Ｉ
Ｐ就丢弃收到的数据报。 但是不生成差错
报文，由上层去发现丢失的数据报并进行重传。
ＩＣＭＰ、ＩＧＭＰ、ＵＤＰ和 ＴＣＰ都采用相同的检验和算法，尽管ＴＣＰ和ＵＤＰ除了
本身的首部和数据外，在Ｉ
Ｐ首部中 还包含不同的字段。在ＲＦＣｌ０７１［Ｂｒａｄｅｒｌ，Ｂｏｒｍａｎ
ａｎｄ
Ｐａｔｒｉｄｇ ｅ
１９８８］＠有关于如何计算Ｉｎｔｃｒｎｅ＝ｔ检验和的实现技术。由于路由器经常只
修改 ＴＴＬ字段（减１），因此当路由器转发一份报文时可以增加它的检验和，而不
需要对ＩＰ整个首部进行 重新计算。ＲＦＣｌｌ４１［Ｍａｌｌｏｒｙ
ａｎｄＫｕｌｌｂｅｒ９１９９０】为此给出了
一 个很有效的方法。但是，标准的ＢＳＤ实现在转发数据报时并不是采用这种增加
的办法。
８）源 Ｐ地址和目的ｍ地址
每一份口数据报都包含源ｍ地址和目的ＩＰ地址，它们都是３２ｂｉｔ的值。
９）任选项字段
数据报中的一个可变长的可选信息。目前，这些任选项定义如下：
（１）安全 和处理限制（用于军事领域）；
（２）记录路径（让每个路由器都记下它的Ｉ
Ｐ地址，）：（３）时间戳（让每个路由器都记下它的Ｉ
Ｐ地址和时间，）；
（４）宽松的源站选路（为 数据报指定一系列必须经过的Ｉ
Ｐ地址，）；
（５）严格的源站选路（与宽松的源站选路类似， 但是要求只能经过指定的这些
地
７

华中科技大学硕士学位论文
不能经过其他的地址）。这些选项很少被使用，并非所有的主机和路由器都支持这
些选项。选项字段一直 都是以３２
ｂｉｔ作为界限，在必要的时候插入值为０的填充
字节。这样就保证Ｉ
Ｐ首 部始终是３２
ｂｉｔ的整数倍（这是首部长度字段所要求的）
【５．８】。
２．１．２
ＴＣＰ协议
传输控制协议ＴＣＰ协议利用重发技术和拥塞控制机制，向应用程序提供可靠的通信连接，使它能够自动适应网上的各种变化。即使在Ｉｎｔｅｒｎｅｔ暂时出现堵塞的情
况下，Ｔ ＣＰ也能够保证通信的可靠。
众所周知，Ｉｎｔｅｒｎｅｔ是一个庞大的国际性网络，网路上的拥挤和空 闲时间总是交
替不定的，加上传送的距离也远近不同，所以传输数据所用时间也会变化不定。ＴＣＰ协议具有自动调整“超时值”的功能，能很好地适应Ｉｎｔｅｒｎｅｔ上各种各样的变化，
确保传输 数值的正确。
因此，从上面我们可以了解到：ＩＰ协议只保证计算机能发送和接收分组数据，
而 ＴＣＰ协议则可提供一个可靠的、可流控的、全双工的信息流传输服务【５１。
ＴＣＰ数据被封装在一个 ＩＰ数据报中如图２．２。
ｌ
ＩＰ首部
图２．３
ｌ
ＴＣＰ首部
Ｉ
ＴＣＰ数据
Ｉ
ＴＣＰ数据在ＩＰ数据报中的封装
ＴＣＰ首部的数据格式。 如果不计任选字段，它通常是２０个字节。具体各个字
段如图２．４：
假设有ＴＣＰ的头信息是 ：０４２８
ｏｏｏｏ０２０４０５Ｂ４０１０１０４
００１５３ＡＤＦ０５５３
０００ ０００００７００２４０００９Ａ８Ｄ
０２，下面结合该例子讲述各个字段含义。
常说ＦＴＰ占 ２ｌ端口、娜占８０端口、ＴＥＬＮＥＴ占２３端口等，这里指的端
口就是ＴＣＰ或ＵＤＰ的端口，端口 就像通道两端的门一样，当两机进行通讯时门必
８
（１）端口号

华中科 技大学硕士学位论文
须是打开的。源端口和目的端口各占１６位，２的１６次方等于６５５３６，这就是 每台
电脑与其它电脑联系所能开的“门”。一般作为服务一方每项服务的端口号是固定
的。本例 目的端口号为００１５，换算成十进制为２１，这正是ＦＴＰ的默认端口，需要
指出的是这是ＦＴＰ的控 制端口，数据传送时用另一端口，第三组的分析能看到这一
点。客户端与服务器联系时随机开一个大于１ ０２４的端口，本例为０４
２８，换算成十
进制为１０６４。电脑中了木马也会开一个服务端口 。观察端口非常重要，不但能看出
本机提供的正常服务，还能看出不正常的连接。Ｗ＇ｍｄｏｗｓ察看端 口的命令时ｎｅｔｓｔａｔ。
（２）３２位序号
也称为顺序号（ＳｅｑｕｅｎｃｅＮｕｍｂｅｒ ），简写为ＳＥＱ，从三次握手的分析可以看出，
当一方要与另一方联系时就发送一个初始序号给对方， 意思是：“让我们建立联系
ｈＥ？”，服务方收到后要发个独立的序号给发送方，意思是“消息收到，数 据流将
以这个数开始。”由此可看出，ＴＣＰ连接完全是双向的，即双方的数据流可同时传
输。 在传输过程中双方数据是独立的，因此每个ＴＣＰ连接必须有两个顺序号分别对
应不同方向的数据流。< br>（３）３２位确认序号
也称为应答号（Ａｃｋｎｏｗｌｅｄｇｍｅｎｔ
Ｎｕｍｂｅｒ）， 简写为ＡＣＫ。在握手阶段，确认
序号将发送方的序号加ｌ作为回答，在数据传输阶段，确认序号将发送 方的序号加
发送的数据大小作为回答，表示确实收到这些数据。在第三组的分析中将看到这一
过 程。
（４）４位首部长度
这个字段占４位，它的单位时３２位（４个字节）。假如值为７，ＴＣ Ｐ的头长度
为２８字节，等于正常的长度２０字节加上可选项８个字节．ＴＣＰ的头长度最长可为
６０字节（二进制１１１１换算为十迸制为１５，１５＇４字节＝６０字节）。
（５）６个标志位（６）ＵＲＧ紧急指针，告诉接收ＴＣＰ模块紧要指针域指着紧要数据。
ＡＣＫ置ｌ时表示确认号为 合法，为０的时候表示数据段不包含确认信息，确
认号被忽略。
ＰＳＨ置ｌ时请求的数据段在接 收方得到后就可直接送到应用程序，而不必等到
缓冲区满时才传送。
ＲＳＴ置ｌ时重建连接．如 果接收到ＲＳＴ位时候，通常发生了某些错误。
９

华中科技大学硕士学位论文< br>ＳＹＮ置ｌ时用来发起一个连接。
ＦＩＮ置ｌ时表示发端完成发送任务。用来释放连接，表明发送 方已经没有数据
发送了．
（７）１６位窗口大小
ＴＣＰ的流量控制由连接的每一端通过 声明的窗口大小来提供。窗口大小为字节
数，起始于确认序号字段指明的值，这个值是接收端正期望接收 的字节．窗口大小
是一个１６字节字段，因而窗口大小最大为６５５３５字节。
（８）１６位检 验和
检验和覆盖了整个的ＴＣＰ报文段：ＴＣＰ首部和ＴＣＰ数据。这是一个强制性的
字段，一 定是由发端计算和存储，并由接收端进行验证。
（９）１６位紧急指针
只有当Ｕ
ＲＧ标志置ｌ时紧急指针才有效。紧急指针是一个正的偏移量，和序
号字段中的值相加表示紧急数据最 后一个字节的序号。
（１０）选项
最常见的可选字段是最长报文大小，又称为ＭＳＳ（Ｍａｘｉ ｍｕｍ
Ｓｅｇｍｅｎｔ
Ｓｉｚｅ）。每
个连接方通常都在握手的第一步中指明这个选项 。它指明本端所能接收的最大长度
的报文段。图中可以看出２０８号机可以接收的最大字节数为１４６０ 字节，１４６０也是
以太网默认的大小，从例子数据分析中可以看到数据传送正是以１４６０字节传送的
［９ｌｌｌＯ］。
２．２应用层协议
目前互联网上应用最多的几种应用层协议包括提供 Ｗｅｂ服务的ＨｒｒＰ协议、提
供文件服务的ＦＴＰ协议、发送和转发电子邮件的ＳＭＴＰ协议和接收电 子邮件的ＰＯＰ３
协议，下面将概括地讨论这几种协议。
２．２．１
ＳＭＴＰ会话过程
ＳＭＴＰ协议是ＴＣＰ／ＩＰ协议族中的一员，主要对如何将电子邮件从发送方地址传
送到接收 方地址，也即是对传输的规则做了规定。ＳＭＴＰ协议的通信模型并不复杂，
主要工作集中在发送ＳＭＴ Ｐ和接收ＳＭＴＰ上：首先针对用户发出的邮件请求，由发
送ＳＭＴＰ建立一条连接到接收ＳＭＴＰ的双 工通讯链路，这里的接收ＳＭＴＰ是相对于
１０

华中科技大学硕士学位论文发送ＳＭＴＰ而言的，实际上它既可以是最终的接收者也可以是中间传送者。发送
ＳＭＴＰ负责向接 收ＳＭＴＰ发送ＳＭＴＰ命令，而接收ＳＭＴＰ则负责接收并反馈应答【６ｌ。
可大致用图２．５的通讯 模型示意图来表示：
图２．５
ＳＭＴＰ通讯模型示意图
从前面的通讯模型可以看出ＳＭ ＴＰ协议在发送ＳＭＴＰ和接收ＳＭＴＰ之间的会话
是靠发送ＳＭＴＰ的ＳＭＴＰ命令和接收ＳＭＴＰ反 馈的应答来完成的。在通讯链路建
立后，发送ＳＭＴＰ发送ＭＡＩＬ命令指令邮件发送者，若接收ＳＭＴ Ｐ此时可以接收邮
件则作出ＯＫ的应答，然后发送ＳＭＴＰ继续发出ＲＣＰＴ命令以确认邮件是否收到，
如果接收到就作出ＯＫ的应答，否则就发出拒绝接收应答，但这并不会对整个邮件
操作造成影响 。双方如此反复多次，直至邮件处理完毕。ＳＭＴＰ协议共包含ｌＯ个
ＳＭＴＰ命令，如表２．１。表２．１ＳＭＴＰ命令
８椰Ｐ蠢降蠹幸说醇
睚ＬＬＯ‘ｄｏｍａｍ＞‘ＣＲＬＦ）调㈣弛嫩 Ｂ帅Ｐ目争—个ＨＥ山）●令
ｔ
ｒｅｖｅｒｓｅ－ｐａ９１）蠢鲎送者脞．此蠢审青诉接托｝卅 嚎蝌
‘眦ｒ嗍ｔ
ｒｅｖｅｒｓｅ－ｐａｔｈ，ｔ
ｃＲＬ．Ｆ，篇篇誊黧器慧麓绻黧‘< br>中．
ＲｃＰＴＴｏ‘白ｍ睡ｐ柏＞‘ＣＲＬＦ＞
‘佑ｎｙ甜牛ｐ柏＞赫端他撇翻啪址擅收聃盯Ｐ将把茸后的行为着作邮件珏去处毫－畦‘ＣＲＬＦ＇．１
‘ＣＲＬＦ＞葡匝掰嘴艮
｛
｝
ＲＥｇＴ‘ＣＲＬＦ’
‘ＮＯＯＰ‘ＣＲＬＦ＞
瑭出坦盥当槲油＃瞄螺
薹求Ｉ嫩ＳＭＴＰ投ｍＯ嘲．ｃ用于毒喊’
，求接收８ｍ髓目＿十Ｏ●渲善并关闭俦辕．
｛
Ｑ盯‘ＣＲＬＦ’
ｖＲＷ‘枷ｎ口＞‘ＣＲＬＦ’
Ｂ洲ｔ
ｓｔｒｉｎｇ＞ ‘ＣＲＩｂ＞
鞋证指定的蕾蓓墨蕾存在，由于安全既．■务■毒纂止比●
令－
…
一
验磷角睁啊扔婀哺霜存在．ｒ珀鞯赡，ｔ檬纂止嗍。｝
一
３｝ｌＥＬＰ‘ＣＲＬＦ ＇
蠢渴纛落量变刖坛村
一｝
｝
ＳＭＴＰ协议的每一个命令都会返回一个应答码 ，应答码的每一个数字都是有特

华中科技大学硕士学位论文
定含义的，如第一位 数字为２时表示命令成功；为５表失败；３表没有完成。一些
较复杂的邮件程序利用该特点，首先检查应 答码的首数字，并根据其值来决定下一
步的动作。表２．２中具体列出了ＳＭＴＰ的应答码。
表 ２．２
应鲁再荫一
ＳＭＴＰ协议应答码
５０１■％Ⅲ日Ｈ峨
５０２
４ １ｒ●；ｇａｌｇ＇ｌｇｌ
６０３●啊的¨月碉
●ｌ瞩■
５０１●啼髓｝可赛曩
２１４
２２０
２’１最境状ｔｔ纛％■叻啦
‘ａｏｍａ岫）■§Ｉｔ■
２到
４２１
２５０
２６１
‘ｄｏｍａｉｎ）■‘关研
１％《■肿■忭触< br>用Ｐ幸ｊｃ垃・黼麓一‘ｆｏｒ，，ｍａｄ－ａａｍ＞
一｝枘■件■怍￥；Ｅ赢・ｉｒａ＇＋ａｉ ｍ
■ｉｍ■忡■ｎ｝；目ｔ，ａｌｌ－ａｉＭ
‘ｄｏｍａｌｌｌ’Ｉｎ§耒＿叶，先阱＊●■道
４５０
５５０
４５１■嘲｝的Ｉ●镕：＊■髓÷出■
５５１
舟Ｐ，肆 墟・请ｔ馑‘ｆＯｒＷ／ｌ‘ｐｌｍｌ）
４５２量＃弃苗不足・■摹的■ｎ丰Ａ行
酾２
５５３
３５４
越■懈瑚分Ｅ・●期描●ｔ雠＾册
蝴毫不Ｉｔ月・■ｉ肭■傩｝Ｉ岍弄∞■＊Ｉ＾＾・Ｉ舯’攘
５５＋１，！ｔＥ№
在进行程序设计之前有必要弄清ＳＭＴＰ协 议的会话流程，其实前面介绍的内容
已经可以大致勾勒出用ＳＭＴＰ发送邮件的框架了，对于一次普通的 邮件发送，其过
程大致为：先建立ＴＥＰ连接，随后客户端发出ＨＥＬＬＯ命令以标识发件人自己的身< br>份，并继续由客户端发送ＭＡＩＬ命令，如服务器应答为”ＯＫ”，可继续发送ＲＣＰＴ
命令来标 识电子邮件的收件人，在这里可以有多个ＲＣＰＴ行，而服务器端则表示是
否愿意为收件人接受该邮件。 在双方协商结束后，用命令ＤＡＴＡ将邮件发送出去，
其中对表示结束的”．”也一并发送出去。随后结 束本次发送过程，以ＱＵＩＴ命令退出。
由于电子邮件结构上的特殊性，在传输时是不能当作简单的文本 来直接处理的，而
必须按照一定的格式对邮件头和邮件体进行格式化处理之后才可以被发送。需要进行格式化的部分主要有：发件人地址、收件人地址、主题和发送日期等【１２１。在ＲＦＣ
文档的Ｒ ＦＣ
８２２里对邮件的格式化有详尽的说明，有关详情请参阅该文档。
２．２．２
ＰＯ Ｐ３会话过程
ＰＯＰ３协议用于使用电子邮件的客户从邮件服务器接收邮件。和ＳＭＴＰ极其相
似，ＰＯＰ３也是一种基于文本行的协议。客户端发出命令，有包括参数的命令，也

华中 科技大学硕士学位论文
有不包括参数的命令，如果有参数，命令和参数之间由空格隔开。对应于每一个命
令，服务器端发回应答，应答包括了状态指示符和对状态指示符进行解释的字符串，
它们之间也 由空格隔开。目前状态指示符只有两种：成功“＋ＯＫ”和失败“．ＥＲＲ一。
ＰＯＰ３协议包含有多种 命令：
（１）ＵＳＥＲ和ＰＡＳＳ用来输入用户名和密码，进行身份鉴别（认证）。
（２）ＳＴ ＡＴ，ＬＩＳＴ和ＵＩＤＬ用来查询。
（３）ＲＥＴＲ用来取回邮件。
（４）ＤＥＬＥ用来删除 邮件。
（５）ＱＵＩＴ用来退出会话。
和ＳＭＴＰ一样，ＰＯＰ３也进行了特性的扩展，如认证 方式和流水线式的交互方
式。
２．２．３
ＦＴＰ会话过程
ＦｒＰ是另一个常见 的应用协议。它是用于文件传输的Ｉｎｔｅｍｅｔ标准。必须分清
文件传送（ｆｉｌｅｔｒａｎｓｆｅｒ ）和文件存取（ｆｉｌｅａｃｃｅｓｓ）之间的区别，前者是ＦＴＰ提供的，后者
是如操作系统提供的。 由ＦＴＰ提供的文件传送是将一个完整的文件从一个系统复制
到另一个系统中。要使用ＦＴＰ就需要有登 录服务器的注册帐号，或者通过允许匿名
ＦＴＰ的服务器来使用。和其他大多数应用协议不同，ＦＴＰ需 要用到两个ＴＣＰ连接，
见图２．６ｔ＇ｔｌＩＳｌ。
阱鬻ｐ
＝＝≥囊
■■“ ＿＿－－＿＿＿＿＿＿＿＿＿＿…－＿＿－－＿＿＿＿嘲＿＿＿４＇珂●
－——弱溪溅菇蕊忑虿—一◆《 ｏ
图２．６Ｆ１甲协议的两个ＴＣＰ连接
一个是控制连接（也称为控制通道），当客户向服务器 发起并建立连接后，客
户端发出命令服务器返回应答进行交互，首先进行客户的身份验证，然后用户可以
多次查询和操作服务器端的文件，上传和下载服务器端的文件，直到用户发出退出
的命令退出连 接。
一个是数据连接（也称为数据通道），当ＦＴＰ需要传输目录信息或文件的数据
时，数据连 接马上建立起来并传输数据，数据传输完毕，数据连接马上断开，一个

华中科技大学硕士 学位论文
数据连接只能进行一次目录信息或文件数据的传输。数据连接即可以由服务器向客
户发 起（主动方式），也可以由客户向服务器发起（被动方式）。
常见的ＦＴＰ命令有以下几种：
（ １）ＵＳＥＲ和ＰＡＳＳ用于输入用户名和密码，进行身份认证。
（２）ＣＷＤ和ＣＤＵＰ用于改变工作 目录。
（３）ＰＷＤ用于获取工作目录。
（４）ＰＯＲＴ，ＰＡＳＶ，ＭＯＤＥ，ＴⅥ’Ｅ，Ｓ ＴＲＵ，ＲＥＳＴ用于规定传输参数。
（５）ＳＴＯＲ，ＳＴＯＵ和ＡＰＰＥ用于上传文件。
（ ６）ＲＥＴＲ用于下载文件。
（７）ＬＩＳＴ和ＮＬｓＴ用于获取目录信息。
（８）ＲＮＦＲ和 ＲＮｌ’ｏ用于文件的改名。
（９）ＤＥＬＥ用于删除文件。
（１０）ＲＭＤ和ＭＫＤ分别用于 删除和创建目录。
（１１）ＡＢＯＲＴ用于中断当前的数据连接。
（１２）ＱＵＩＴ用于退出服 务器。
其中，上传文件、下载文件和获取目录信息的命令需要建立数据连接【¨一６１。
２．２ ．４
ＨＴＴＰ会话过程
ＨＴＴＰ协议是目前互联网上应用最为广泛的一种应用层协议。它用于构 建分布
式的协作的超媒体信息系统，这种信息系统也被称为Ｗｅｂ网络。整个互联网上的
Ｈｒｒ Ｐ服务器通过网页中的ＵＲＵ统一资源定位符）组成了一个相互连接的ｗ曲网
络：用户可以通过点击Ｗｅ ｂ浏览器中的ＵＲＬ在Ｗｅｂ网络中邀游。不仅如此，Ｗｅｂ
网络可以通过提交表单生成应答网页完成针 对特定用户定制的服务，客户端脚本更
使得Ｗｅｂ浏览器成为一种跨平台跨语言的运行平台，这种使用Ｗ ｅｂ浏览器作为客
户端运行平台的方式被称为Ｂ／Ｓ结构，这是当前极为流行的一种软件构建方式。ＨＴＴＰ协议中客户与服务器交互的信息单位是类似于电子邮件的消息
（ｍｅｓｓａｇｅ），客户发 出请求消息（ｒｅｑｕｅｓｔｍｅｓｓａｇｅ），服务器返回应答消息（ｒｅｓｐｏｎｓｅ
ｍｅｓｓａｇ ｅ）。两种消息都是由开始行、可能有的一个或多个头字段、作为消息头和消
息体分隔符的空行、可能有 的消息体组成的。请求消息的开始行被称为请求行，应
答消息的开始行被称为状态行．头字段类似于电子 邮件中的头字段，由字段名、冒
１４

华中科技大学硕士学位论文
号“： ”和字段值组成。
请求行由方法、ＵＲＬ、ＨＴＴＰ版本组成，之间由空格隔开。方法表明了对ＵＲＬ< br>旌加的方法，常见方法包括Ｇｅｔ和Ｐｏｓｔ。Ｇｅｔ方法的含义是不改变ＵＲＬ对应资源并
取回 ＵＲＬ对应资源，方法为Ｇｅｔ的请求消息不包括消息体。Ｐｏｓｔ方法的含义是提
交表单并取回和ＵＲ Ｌ相对应生成的资源，方法为Ｐｏｓｔ的请求消息包括消息体。
状态行由ＨＴＦＰ版本、３位十进制字符 组成的状态代码、解释字符串组成，之
间由空格隔开。每种状态代码都代表着一种应答结果或原因。请求消息和应答消息可以包含多种头字段，用来描述消息的属性和消息中包含
的实体的属性。常见的 头字段包括Ｃｏｎｔｅｎｔ－Ｌｅｎｇｔｈ，Ｃｏｎｔｅｎｔ－Ｔｙｐｅ，Ｃｏｎｔｅｎｔ－Ｅｎｃｏｄｉｎｇ，
Ｔｒａｎｓｆｅｒ－Ｅｎｃｏｄｉｎｇ等。
Ｃｏｎｔｅｎｔ－Ｌｅｎｇｔｈ指明了消息体的长度 ，正因为有了这个头字段，才使得ＨｒｒＰ
的客户和服务器都能预先知道对方信息体的长度，使得Ｈｒｒ Ｐ能传输任意的二进制
数据。
Ｃｏｎｔｅｎｔ．Ｔｙｐｅ指明了实体的ＭＩＭＥ类型，这种类型 和电子邮件的ＭＩＭＥ类型相
比所有扩充，且不必编码成ＡＳＣＨ字符传输。
Ｃｏｎｔｅｎｔ－ Ｅｎｃｏｄｉｎｇ指明了实体的编码方法。这种编码实际上是压缩方法，是为
了减少数据在网络上的传输 量。目前己有的压缩方法包括ｇｚｉｐ，ｃｏｍｐ麟，ｄｅｆｌａｔ
和ｉｄｅｎｔｉｔｙ。其中ｉｄｅｎ ｔｉｔｙ对原文不作任何改变。
Ｔｒａｎｓｆｅｒ－Ｅｎｃｏｄｉｎｇ指明了消息体在传输时的编码方法 。目前传输编码方法只有。
ｃｈｕｎｋｅｄ一种。当消息体在发送时仍不能确定其长度，就需要使用此方 法：每当发
送者生成了一段数据，就按照ｃｈｕｎｋｅｄ的规范，在ｃｈｕｎｋｅｄ的头部指明数据的大 小，
数据附加在头部的后面，一并发送出去，这种过程要重复多次直到数据发送完毕，
最后发送 一个长度为０的ｃｈｕｎｋｅｄ头部表明消息体传输结刺１７珈ｌ。
ＨＴＹＰ是一种相当复杂的协议。它 还包括缓存机制、认证机制、协商机制等等。
具体细节参见相关的ＲＦＣｌｌｌｌ。
２．３数据 引擎ＭＳＤＥ
Ｍｉｃｒｏｓｏｆｔ推出了两种数据库管理方案：Ｍｉｃｒｏｓｏｆｔ
Ｊｅｔ（即 ＭｉｃｒｏｓｏｆｔＡｃｃｅｓｓ数
据引擎，该引擎随同Ａｃｃｅｓｓ和Ｍｉｃｒｏｓｏｆｔ
Ｖ ｉｓｕａｌ
Ｓｔｕｄｉｏ发布）和Ｍｉｃｒｏｓｏｆｔ
ＳＱＬ

华中科技 大学硕士学位论文
Ｓｅｒｖｅｒ。由于每一种技术方案都有自身的优势，同时又存在某些局限性，因此， 以
前如果要求开发人员选择这样一种数据库技术：使它既满足从桌面到数据中心环境
下运行，而 数据库应用程序又适应长期和短期需要，一般而言是很困难的。由于基
于Ｊｅｔ的解决方案具有易于使用 和开发成本低的优点，因此，对于桌面或者共享的
应用程序而言，它是一种很不错的选择。然而，开发人 员发现：随着应用系统规模
的扩大，在他们将Ｊｃｔ应用程序移植到ＳＱＬ
Ｓｅｒｖｅｒ的平台 之前，需要对程序代码进
行大量的修改。随着一个与ＳＱＬＳｅｒｖｅｒ兼容的数据引擎－－Ｍｉｃｒｏ ｓｏｆｔ数据引擎
（ＭｓＤＥ）的发布，开发人员可以选用一种新的方式来创建基于桌面和共享环境的< br>数据库应用程序。利用ＭＳＤＥ，开发人员可以创建自由分布的桌面和共享的数据库
解决方案。当 需要对系统的规模进行扩充时，采用这种解决方案的数据库应用程序
可以很容易地移植到ＳＱＬ
Ｓｅｒｖｅｒ中【２甜。
２．３．１数据引擎涉及技术
从本质上讲，一个处于运行状态的“数据 引擎”就是一个核心进程。一个数据库
管理系统，比如Ａｃｃｅｓｓ或者ＳＱＬ
Ｓｅｒｖｅｒ， 将利用这个核心进程来存储和管理数据
库中的数据。从这种意义上讲，通常可以把一个数据引擎看作是一 个没有相应的图
形管理工具的数据库管理系统。数据引擎主要有两种作用：一是用来存储数据，二
是用来处理其它对象对存储的信息所提交的请求。我们通常把用来检索或者更新数
据的请求称作数据库 查询。
通常，数据引擎与自定义数据库应用程序一起对客户机应用程序提交的数据库
请求进行响 应。自定义数据库应用程序是用某种开发工具，比如ＭｉｃｒｏｓｏＲ
Ｖｉｓｕａｌ
Ｓｔｕｄｉ ｏ创建的。在这种情况下，由于白定义的数据库应用程序已经包含了内置的工
具对底层的数据库进行管理 ，因此，在数据引擎中，就没有必要包含图形工具来对
数据库进行管理了。此外，由于数据引擎具有容易 分布的特点，开发人员可以将相
应的数据引擎包含到自定义应用程序中，在应用程序的安装过程中，用户 可以通过
选取该引擎组件而将其安装到系统中矧ｆ２４１。
２３．２
Ｍｉｃｒｏｓｏｆ ｔ数据引擎
Ｍｉｃｒｏｓｏｆｔ数据引擎（ＭＳＤＥ）与ＳＱＬ
Ｓｅｒｖｅｒ完全兼容，在以Ｖ ｉｓｕａｌ
Ｓｔｕｄｉｏ
６．０或
者Ａｃｃｅｓｓ
２０００为开发工具所创建 的桌面和共享的数据库解决方案中，该引擎可以
用来对数据库进行处理。对于Ｖｉｓｕａｌ
Ｓｔ ｕｄｉｏ
６．０或者Ａｃｃｅｓｓ
２０００开发人员来说，他
１６

华中科技大学硕士学位论文
们可以在不单独对ＭＳＤＥ进行注册的情况下发布使用ＭＳＤＥ创建的数 据库应用程
序。ＭＳＤＥ用到了ＳＱＬＳｅｒｖｅｒ提供的一些技术，并且与ＳＱＬ
Ｓｅｒｖｅ ｒ
７．０完全兼容。
在Ａｃｃｅｓｓ２０００中，ＭＳＤＥ是代替Ｊｅｔ（Ａｃｃｅｓｓ２００ ０数据库使用的缺省引擎）的理想
选择。此外，对于Ｖｉｓｕａｌ
Ｓｔｕｄｉｏ
６．０ 开发人员而言，如果他们想创建自定义的数据
库应用程序，并且希望在这些自定义的应用程序中使用与Ｓ ＱＬ兼容的的数据库，
那么，他们可以通过采用ＭＳＤＥ作为数据引擎的方式来达到这一目的。ＭＳＤＥ 与
ＳＱＬ的兼容性意味着：开发人员可以对现有的以ＭＳＤＥ作为数据引擎、桌面和共
享的数据 库应用程序代码不作任何修改，就可以将其移植到ＳＱＬＳｅｒｖｅｒ中。
ＭＳＤＥ以提供某种服务的方 式在后台运行。在此，服务指的是以后台进程运行
的应用程序。服务与其它的应用程序的运行方式有所不 同。比如，只要用户通过从
“开始”菜单选取“启动”选项，对应的应用程序就可以投入运行。但对于服 务而言，
如ＭＳＤＥ，情况就不是这样。它们的启动和关闭通常是由操作系统来完成的。以
ＭＳ ＤＥ作为数据引擎的桌面和共享的数据库应用程序通常具有以下限制：在数据库
应用程序存活期间，ＭＳ ＤＥ服务应该处于运行状态。一般而言，使用服务的对象是
其它应用程序，而不是终端用户。一般情况下 ，服务在后台运行，当它接收到客户
机应用程序向它提交的处理请求时，它就转去执行相应的请求。对于 ＭＳＤＥ来说，
这些请求是一些将要对数据库执行的操作。由于使用服务的对象是客户机应用程
序，而不是终端用户，因此服务不需要有用户界面。在Ａｃｃｅｓｓ
２０００中创建的一个
工程 或者一个ＶｉｓｕａｌＢａｓｉｃ应用程序可以直接与某个服务进行交互。对于ＭＳＤＥ而
言，这些客户 机应用程序充当了用户界面。
ＭＳＤＥ与其他数据引擎相比，具有自己如下的特性：
●完全与Ｍ ｉｃｒｏｓｏｔ％ＳＱＬ
●对于Ｖｉｓｕａｌ
Ｓｔｕｄｉｏ
Ｓｅｒｖｅｒ
７． ０以及以前的版本相兼容。
Ｏｆｆｉｃｅ
６．０或者Ｍｉｃｒｏｓｏｆｔ
２０００开发 人员而言，他们可以
将基于ＭＳＤＥ的数据库应用程序免费发布给最终用户。
●可以在Ｗ＇ｍｄ ｏｗｓ
９５，
Ｗ＇ｍｄｏｗｓ
９８，ＷｉｎｄＯＷ８
ＮＴ，
以及Ｗｉ ｎｄｏｗｓ
２０００
（Ｉｎｔｅｌ和Ａｌｐｈａ）平台上运行。
●具有客户机／服务器 的体系结构（ＭＳＤＥ在数据库服务器，而不是在客户机
上执行对数据库的操作）．
●
以提供服务的方式在后台运行。
●在数据库的开发过程中，开发人员不需要为该引擎创建相应的用户界面 。

华中科技大学硕士学位论文
其它应用程序，比如用Ａｃｃｅｓｓ
２０ ００或者Ｖｉｓｕａｌ
Ｂａｓｉｃ开发的自定义应用程
序需要为数据库提供相应的用户界面。< br>如果开发人员希望创建桌面或者共享的数据库应用程序，并且计划在将来对这
些数据库应用程序的 功能和规模进行扩充，那么，选用ＭＳＤＥ作为数据引擎将具有
以下优点：从近期来看，能够降低系统的 开发费用，从远期来看，又提供了最为方
便的方式，以对当前创建的数据库应用程序进行移植。当你所在 组织的规模扩大后
对数据库系统的功能和性能提出新的需求时，你可以在不修改现有数据库应用程序中的任何代码的情况下，将它完全移植到基于ＳＱＬＳｅｒｖｅｒ的平台上运行。此外，由
于ＭＳＤ Ｅ与ＳＱＬ完全兼容，开发人员可以使用同样的数据访问语言在规模相对较
小的ＭＳＤＥ数据库系统和规 模较大的ＳＱＬＳｅｒｖｅｒ数据库系统之间实现无缝转换
１２５】【２６１。
２．４本章小结
本章主要介绍了系统需要应用的相关技术。研究了ＴＣＰ／ＩＰ协议的工作原理和
数据报报头格 式，对几种主要的应用层协议也作了相关的研究，分析了ＳＭＴＰ、
ＰＯＰ３、ＦＴＰ和ＨＴＴＰ协议的 会话过程。在数据库系统方面，数据库使用ＭＳＤＥ并
对其做了相关的研究和分析。
１８

华中科技大学硕士学位论文
３系统的分析与设计
结合传统的网络防火墙、入侵 检测和黑客监控系统的优点，系统采用多层分布
式ＣＡＳ体系结构。整个系统由监控控制台，数据中心服 务器以及运行于网关的监
控代理组成。多个监控代理共同隶属于一个数据中心服务器，监控控制台可以同 时
访问和管理多个数据中心服务器。通过运行在各网关上的监控代理，将网关上抓取
的数据处理 后传送给数据中心服务器。并由数据中心服务器将监控控制台的指令转
达给监控代理。使网络系统管理员 可以实时地监控内部网各计算机之间，以及内部
网与外部网之间的一切信息通讯，并提供报警、统计、跟 踪、审核等一系列功能的
集成系统。
３．１系统设计理念
一切设计策略完全按照系统需 求和系统的实际使用情况，软件的设计理念如
下：
（１）尽可能的友好、符合普遍使用习惯的用 户界面；
（２）数据的正确性；
（３）良好的扩展性；
（４）低的资源消耗；
（５）较好的健壮性。
３．２系统架构设计
由于系统需要实现的主要功能是监控通过网关的所有 文件传输情况。通过对报
文的分析，统计出各种应用层协议传输的文件信息。所以，系统的抓包后的协议 分
析中，需要做出一些比较通用的类与函数，方便协议类型的增加扩展．
整体采用多层分布式Ｃ ＡＳ架构。监视代理（位于Ｇａｔｅｗａｙ上）负责抓取、分
析网络数据包，并将统计结果保存到数据库 中；服务器负责统计各种结果，并且以
友好的方式进行显示。下图为监控系统的系统架构图，可以清晰的 体现出该系统的
设计思想。
１９

华中科技大学硕士学位论文
敷 据库曩务量
图３．１监控系统架构图
从图３．１中可以看出，整个系统由监控控制台，数据中心 服务器以及运行于网关
的监控代理组成。多个监控代理共同隶属于一个数据中心服务器，监控控制台可以
同时访问和管理多个数据中心服务器。通过运行在各网关上的监控代理，将网关上
抓取的数据处 理后传送给数据中心服务器。并由数据中心服务器将监控控制台的指
令转达给监控代理。
３．２ ．１系统工作流程
系统具体的进程结构在图３．２中具体给出。
ｌ
图３．２系统进程结 构图

华中科技大学硕士学位论文
参照图３．２，可以看出系统各个进程之间的交 互过程。
（１）界面控制进程：完成报文处理进程、数据存储进程
界面控制进程和网关服务器上 的进程之间通过网络报文进行通讯。
界面控制
进程可以启动、停止网关服务器上的报文处理进程 和数据存储进程；同时，报文处
理进程和数据存储进程定时的向用户控制界面进程发送心跳报文，后者据 此判断前
面两个进程的工作状态。
（２）界面控制进程一一数据库
界面控制进程启动时 ，同数据库建立连接。当用户需要浏览某些统计信息时，
用户界面统计进程查询数据库中的相关文件传输 记录，并显示结果。
（３）报文处理进程一数据存储进程
通过对报文的实时分析，报文处理进程 将文件传输的相关信息整理出来，写入
一块共享内存中。一旦一条文件传输记录提取完成，数据存储进程 就将该记录保存
到数据库中。
（４）数据存储进程一数据库
数据存储进程负责将分析完 的文件记录实时的写入数据库。
对于具体的系统数据流图，可参考图３．３。
图３．３系统数据 流图
３．２．２监视代理模块
监视代理模块的主要功能是采集网关上的口数据包，按照ＴＣＰ、 ＵＤＰ协议重
２ｌ

华中科技大学硕士学位论文
组成数据报流，并提取出 数据流中的源ＩＰ、目的ｍ、源端口、目的端口、协议类型、
应用层数据包以及数据包个数，根据协议类 型把数据包提交给应用层协议的解析软
件模块。监视代理模块在整个系统中的位置如图３．４。其中方框 区域即为监视代理
模块。
图３．４恶意代码监控系统之监视模块
３．２．３监控控制台
监控控制台有两部分的作用，一部分是根据目前流行的协议分析数据报流，丢
弃无效信息，提取 出所需要的网络会话信息。另外一个部分是控制系统的运行和显
示统计信息。可见，控制台分为协议处理 和用户控制界面两个部分用户。图３．５中
给出了监控控制台在系统中的位置，其中方框部分为监控控制 台。

华中科技大学硕士学位论文
Ｉ
ｌ
ｌ网关
上
ＩＩＰ数据ｌ
Ｉ报抓取ｌ
应
用
层
协
议
解
析
Ｌ
－囡
－医
上
Ｉ流重组ｌ
Ｔ。
用户界面１．镁
、‘ｏ■２勉
图３．５恶意代码监控系统之监控控制台
３．３关键模块详细设计
在该部分中，将对系统中重要的两个模块作详细的设计和分析。从图３．４和３．５
种可以看出 ，系统中重要的两个模块为流重组模块和应用层协议解析模块。
３．３．１监视代理中流重组模块
根据ＴＣＰ协议标准的特点，监视代理的体系结构与功能模块划分如图３．６所示。
监视代理中可以容 纳多个ＴＣＰ连接，模块图中的状态机和连接管理模块属这三个连
接所共用。每个连接中分别包含五个模 块，分别是状态机、连接管理器、数据缓存、
数据包过滤模块和指针产生模块。
●状态机
当ＴＣＰ数据包到来时，该状态机将启动，并根据数据包中的ＴＣＰ头长度和整
个数据包的长度来控制 状态的转移。其主要功能是：通过输出状态信号，使其余各
模块能将ＴＣＰ数据流中报文头和有效数据分 开，并能识别ＴＣＰ头中的各个元素，

华中科技大学硕士学位论文
如端口号、序 号、确认号、ＵＡＰＲＳＦ控制标志等。
网
ｌ数据流Ｉ
Ｉ．．．．．．．．．．．．． ．．．．．．．．．．．＿Ｊ
图３．６监视代理的体系结构
●连接管理器
一个ＴＣＰ连 接的标识包括源端口和目的端口，以及源ｍ地址组成的套接字。
为了区分不同连接的报文段，因此需要定 义了一个连接管理表，以便进行比较。李
娜解管理表中定义了ＴＣＰ连接的各种状态。
当接收一 个报文段时，连接管理模块将该报文段的源ｍ地址和一对端口号与
表格中的源ＩＰ地址和目的ＩＰ地址进 行比较，如果找到了相应的连接，且该项的标志
位有效，则该模块就要给出控制信息，启动相应的连接， 对该报文段进行处理。如果
找不到有效的连接项，则根据具体情况或者建立新的连接，或丢弃该数据包， 或者
删除该连接。连接的删除将在状态机的控制下进行。即将ｖａｌｉｄ置无效即可。按照
上述 设计思想，端口资源可循环往复地利用。
●ＴＣＰ数据包过滤模块
为了把一部分错误的数据包和 存储器不能接收的数据包尽早识别出来，通过
ＴＣＰ数据包过滤模块检查报文段的序号和有效载荷的长度 ，实现对数据包的过滤。
如果发现错误的数据包，可直接把它丢弃，以避免发生不必要的错误。