[发明专利]Internet控制报文协议伪装捕获与分析技术

权利要求书

1.Internet控制报文协议(ICMP)伪装捕获与分析技术，其特征主要表现在数据包重组与协议伪装分析的核心过程，ICMP数据包可以通过底层抓包技术捕获得到：(1)从网络数据包中过滤出IP协议数据包，分析IP数据包是否为分片数据包，如果是分片的数据包，那么交由数据包重组模块处理，不是分片的数据包，交由协议伪装分析模块处理；(2)数据包重组模块分析当前是否为最后的IP分片数据包，如果是对当前所有IP分片数据包进行重组，那么将重新组合后的完整IP包交由协议伪装分析模块处理；(3)解码ICMP协议头部分，分析ICMP请求或者应答类型、ICMP操作码、数据包长度，得出是否为伪装的ICMP数据包；其具体操作步骤如下： 

(1)数据包过滤 

①过滤以太网数据包：从海里数据包中过滤出IP数据包； 

②是否分片IP包判断：检测当前IP数据包是否为分片包，如果是分片包，交由数据包重组模块处理：如果不是分片包，交由协议伪装检测模块处理； 

(2)数据包重组模块处理 

①查找是否为新的数据包分组：通过对来源IP、来源端口、目的IP、目的端口作HASH运算得出一个HASH值，用这个HASH值在数据包分组链表中查找是否为新的分组，如果是，创建一新的分组添加到分组链表，如果不是，那么就按照分片标志位中的便宜量顺序插入到已有分组的分片链表中； 

②检测分组数据包是否接收完成：检查当前IP数据包是否为最后一个分片包，如果是，那就表示当前分组已经接收完所有的分片包，可以进行数据包的重组了； 

③数据包重组：对当前分组的所有分片包按照分片标志位中的偏移量顺序组合成一个新的IP数据包； 

(3)ICMP协议伪装分析 

①解码ICMP数据包：按照ICMP协议头结构解码当前ICMP数据包，得到ICMP类型、代码、校验和以及不同类型和代码对应的不同内容； 

②检查类型与代码对应关系：ICMP不同的类型对应不同的代码和内容；如果类型与代码不匹配，那么它就是伪装的数据包； 

③检查内容长度：检查PING命令长度是否超过64字节、差错报文是否小于8字节差错报文头、时间查询报文是否小于20字节报文头、掩码查询报文是否小于12字节报文头，如果是，那它就是伪装的数据包。