网络层通信监听的设计与实现

⭐实验要求

实验要求:
1）应用层实现本机网络端口的通信监听以及协议分析
2）需求包括：
1.实现监听网络连接所使用的网络协议、源 IP 地址、目的 IP 地址等信息功能；
2.将监听内容在 UI 控件中显示
开发环境需求：windows 平台、开发语言不限

⭐实验原理

一、数据包分析

数据包分析器又名嗅探，是一种网络流量数据分析的手段，常见于网络安全领
域使用，也有用于业务分析领域，一般是指使用嗅探器对数据流的数据截获与分组
分析。一般可用于分析网络问题、分析网络信息流通量、探测企图入侵网络的攻击、
探测由内部和外部的用户滥用网络资源、监测链接互联网宽频流量、监测网络使用
流量（包括内部用户，外部用户和系统）

二、协议报文格式

1、 以太网帧结构

当 LLC-PDU 中携带的是数据的时候，那么左侧的 2 字节表示的就是长度；当然，
以太帧可以携带其他协议，当 LLC-PDU 中是协议的时候，2 字节就代表了类型。
CRC 为校验码。
以太网帧最小为 64 字节，数据区取左侧 46 字节；最长为 1518 字节。

2、 IP报文结构

在 IPV4 中首部最先的可选字段是不使用的，所以 IPV4 的首部为 20 字节。

3、 ARP协议结构

地址解析协议（ARP, Address Resolution Protocol），是根据 IP 地址获取MAC地址的一个 TCP/IP 协议。
主机发送信息时将包含目标 IP 地址的 ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该 IP 地址和物理地址存入本机 ARP 缓存中并保留一定时
间，下次请求时直接查询 ARP 缓存以节约资源。

4、 UDP用户数据报协议

• 源端口：一个可选字段，当有意义时，它指示发送过程的端口，并且可以假定为在没有任何其他信息的情况下应将答复寻址到的端口。如果不使用，将插入零值。
• 目标端口：在特定的Internet目标地址的上下文中具有含义。
• 长度：此用户数据报（包括此标头和数据）的8位字节长度（这意味着长度的最小值是8）
• 校验和：IP报头、UDP报头和数据中的伪信息标头的补码和的16位补码和，在末尾填充零个八位位组以形成两个八位位组的倍数。
• 在概念上以UDP头为前缀的伪头包含源地址，目的地址，协议和UDP长度。此信息可防止数据报被错误路由。此校验和过程与TCP中使用的过程相同。

5、TCP协议

• 源端口号：发送端端口号，字段长度 16 位
• 目标端口号：接收端端口号，字段长度 16 位
• 序号：发送数据的位置。每发送一次数据，就累加一次该数据字节数的大小，字段长度 32 位
• 确认号：是指期望下一次应该收到的数据的序列号。发送端接收到这个确认应答号以后就可以认为在这个序号以前的数据都已经被正常接收了，字长 32 位
• 首部长度：指出 TCP 报文首部含选项时的长度，没有选项时为 5，字长 4 位
• 保留：该字段主要为以后扩展使用，一般设置为 0；
• URG：为 1 时，表示包中有需要紧急处理的数据。
• ACK 为为 1 时，确认应答的字段变为有效。TCP 规定除了在最初建立连接时候的SYN 包之外该位必须设置为 1
• PSH 该位为 1 时，表示需要将收到的数据立刻上传给上层应用协议。PSH 为 0 时，则不需要立即传，而是先进行缓存。
• RST 该位为 1 时，表示 TCP 连接出现异常，必须强制断开连接。
• SYN 用于建立连接。SYN 为 1 时表示希望建立连接，并在其序列号的字段进行序列号初始值的设定。
• FIN 该位为 1 时，表示今后都不会再有数据发送，希望断开连接。当通信结束希望断开连接时，通信双方的主机之间就可以相互交换 FIN 位置为 1 的 TCP 段。(每个主机又对对方的 FIN 包进行确认应答以后就可以断开连接了。不过主机收到FIN 设置为 1 的 TCP 段以后不必马上回复一个 FIN 包，而是可以等到缓冲区中的所有数据都因已成功发送而被自动删除之后再发。)
• 窗口：用来让对方设置发送窗口的依据（告诉对方自己能接受多少数据）2 字节
• 检验和：检验和字段检验的范围包括首部和数据这两个部分。在计算检验和是，要在 TCP 报文段的前面加上 12 字节的伪首部
• 紧急指针：指出在本报文段紧急数据共多少个字节（紧急数据放在本报文段数据最前面）

三、多线程 threading 和多进程 multiprocessing

python 中的多线程就是在一个进程中存在着多个线程，在线程中，所有的线程都是共享资源的，线程之间的数据通信很简单。但是 python 仅支持一个线程的运行，因为 python 中存在一个全局解释器锁 GIL（global interpreter lock），正是这个锁能保证同一时刻只有一个线程在运行，所以多线程依旧像是单线程的运行。
GIL 无疑就是一把对多线程有影响的全局锁，解决它对多线程的影响，不单单是释放 GIL 这么简单。GIL 使得对象模型都是可以并发访问。GIL 全局解释器锁解决多线程之间数据完整性和状态同步的问题，但是这个锁在同一时刻只有一个线程在运行，所以在多核的情况下也只能发挥出单核的性能,多线程依旧像是单线程的运行。
在 python 多线程模块主要有 thread 和 threading，threading 进行了大量的封装，从而不需要管理子线程和主线程之间的问题，也允许用户自己创建和管理线程。多任务可以由多进程完成，也可以由一个进程内的多线程完成。
多线程中任务有以下特点：异步的，多个并发事务，各个事务的运行顺序是不确定的、随机的、不可预测的。所以多线程编程模型复杂，容易发生冲突，必须用锁加以隔离，同时，又
要小心死锁的发生。
python 的多进程包 multiprocessing 支持子进程、通信和共享数据、执行不同形式的同步。在 multiprocessing 中，一个程序的执行实例就是一个进程，每一个进程都用一个 Process 类来表示，每一个进程提供执行程序所需的所有资源。同一个进程中的线程共享同一内存空间，但是进程之间是独立的。同一个进程中的所有线程的数据是共享的（进程通讯），进程之间的数据是独立的。

⭐实验设计

1. 实验环境：
   编程语言环境：python 3.7
   集成开发环境：Visual Studio 2017
   图形界面：PyQt5 + PyQt5 Designer

2. 整体框架：
   该前端的用户界面基于 python3 的 PyQt5 库。
   后台整体结构分为四个模块：capture_core.py, monitor_system.py, flow_monitor.py, forged_packet.py
   调用时需要使用 python 的模块导出语句 import Global_Var

3. Gui：
   将前端转化为代码：在 git bash 中使用指令 pyuic5