基于Linux的虚拟主机信息监控系统的设计与实现.pdf

《基于Linux的虚拟主机信息监控系统的设计与实现.pdf》由会员分享，可在线阅读，更多相关《基于Linux的虚拟主机信息监控系统的设计与实现.pdf（61页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、国内图书分类号：T P 3 9 3 1工学硕士学位论文基于L i n u x 的虚拟主机信息监控系统的设计与实现硕士研究生：导师：申请学位级别：学科、专业：所在单位：答辩日期：授予学位单位：陈潇潇杨明极工学硕士检测技术与自动讹装置测控技术与通信工程学院2 0 0 5 年3 月哈尔滨理工大学哈尔滨理工大学工学硕士学位论文一III I-基于L i n u x 的虚拟主机信息监控系统的设计与实现摘要随着互联网的迅速发展，以虚拟主机作为信息发布平台的大量小规模网站的数目逐渐增多，它们对互联网的信息繁荣做出了很大的贡献的同时也带来了一些问题，比如一些非法有害信息的发布与传播，因此迫切需要从技术手段上对虚

2、拟主机进行有效的监管。现有的网络监控产品，大多只用于监控网络设备的故障和性能，而网络安全产品主要是用于防范黑客的入侵，安全部门虽然在网络的出口配置信息过滤装置，但因为在网络主干上数据包过于密集，能够分析和记录的数据有限，因此对于虚拟主机这样的信息发布平台，目前市场上还很少有相应的信息监控产品。本文所开发的虚拟主机信息监控系统正是从这一需求出发，针对互联网安全主管机构、互联网服务提供商等客户对网站监管、发布信息安全控制的实际需要，提出的互联网信息监控系统解决方案。本系统以当前流行的L i n u x 系统为平台。基于n e t f i l t e r 功能框架，利用其完善的包过滤技术，以内核模块

3、的方式实现了信息监控功能，并结合i p t a b l e s 和网桥通过对以太网帧的转发，实现了透明网关。同时，该系统还结合了良好的日志审计功能和简单入侵检测功能，更增强了系统的安全性和可管理性。通过对已完成系统的实际测试表明，本系统具有低成本、易管理、可伸缩的系统特性，可以轻松怏捷的开展互联网信息监控工作，提高监控效率，加大监控力度，有效降低成本，减少人力投入，具有广阔的应用前景。关键词L i n u x：虚拟主机：信息过滤：n e t f i l t e rhttp:/北京虚拟主机D e s i g na n di m p l e m e n to fv i r t u a lh o s

4、 ti n f o r m a t i o nm o n i t o r i n gs y s t e mb a s e do nl i n u xA b s t r a c tT h en u m b e ro f s m a l】h o s t sw h i c hb a s e do nv i r t u a lh o s tb e c o m e sm o r ea n dm o r ew i t ht h ef a s tg r o wo fi n t e m e t T h e ym a k eal o to fc o n t r i b u t i o nt ot h ei n

5、f o r m a t i o np r o s p e r i t yo fi n t e r a c t，y e tt h e r ea r es o m ep r o b l e m ss u c ha sr e l e a s ea n ds p r e a do fi l l e g a la n dh a r m f u li n f o r m a t i o n S oi ti sv e r yu r g e n tt ot a k ee f f e c t i v em e t h o dt oa d m i n i s t e rt h e、：,i r t u a lh o

6、 s ti nt e c h n i q u e M a n yn e t w o r km o n i t o r i n gp r o d u c t sn O Wt h a tC a r lo n l yu s e df o rf i n d i n gt h ef a u l ta n dm e a s u r i n gt h ep e r f o r m a n c eo fn e t w o r kd e v i c e，a n ds o m eo t h e ri n t e r a c ts e c u r i t yp r o d u c tu s e df o rp r

7、e v e n t i n gt h ei n t r u d eo f h a c k e r S e c u r i t yo r g a n i z a t i o nC a l li n s t a l la l li n f o r m a t i o nf i l t e r i n gd e v i c ea tt h ee x p o r to ft h en e t w o r k，b u tt h e r eS Om a n yp a c k e tt h r o u g hi tt h a tn l a k e 7i th a r dt oa n a l y z ea n

8、 dr e c o r de n o u g hd a t a S ot h en e e do fas y s t e mt h a tC a nm o n i t o rt h ei n f o r m a t i o n0 i 2t h ev i r t u a lh o s ta tr e a l-t i m ei sv e r yu r g e n t O u rs y s t e mu s e dt h ep o pt e c h n o l o g yo fp a c k e t+f i l t e r i n gt h a tb a s e dn e t f i l t e r

9、f r a m e w o r ki nL i n u x r e a l i z e dt h ei n f o r m a t i o nf i l t e r i n gf u n c t i o n，a n dw i n li p t a b l e sa n db r i d g er e a l i z e dt h ef u n c t i o nt oc a p t u r et h ep a c k e t A tt h es s i n et i m e，t h i ss y s t e ms u p p o r tl o ga u d i t 腼j t i O na n

10、ds i m p l eI D Sf u n c t i o n r e i n f o r c et h es y s t e m Ss e c u r i t ya n de a s yt om a n a g e n I et e s tr e s u ko f o u rf m i s h e ds y s t e mi n d i c a t e dt h a tt h i ss y s t e mh a st h ep r o p e r t yo fc h e a p，e a s yt om a n a g ea n de x t e n s i b l e，a n dm a k

11、 ei te a s ya n de f f e c t i v et om o n i t o rt h ei n f o r m a t i o no fi n t e m e tw i t hg o o dp e r f o r m a n c e W eb e l i e v et h a to u rs y s t e mw i l lb eu s e dw i t t yv d t hg r e a tp r o m i s e K e y w o r dl i n u x；v i r t u a lh o s t；i n f o r m a t i o nf i l t e r

12、i n g；n e t f i l t e r一一http:/北京虚拟主机哈尔滨理工大学工学硕士学位论文I 1 课题背景及意义第1 章绪论随着互联网技术的不断快速发展和完善，因其独具的传播快速高效而备受关注，现在互联网技术已经成为人们日常生活中的一部分，根据C N N I C 发布的第十四次中国互联网络发展统计报告中的数字，中国互联网行业经过十几年的发展，目前已经积累9 0 0 0 多万的互联网用户，在两年之内，中国的网民数量可能超过美国，成为世界最大的网民群体【“。最好的信息必须通过严肃、核实、准确、平衡和公正的手法发布到大众那里，由于互联网的方便快捷，人们可以随意在互联网发布自己的信息，这

13、样就有可能会出现与事实不相符的虚假新闻，使新闻的真实性、权威性大打折扣，甚至成为了一些别有用心的人传播不利于社会稳定和长治久安的信息的途径，使大量的黄色、反动、邪教、网络犯罪的信息充斥网络【2 l。如何保证互联网给人们的生活带来快捷的同时，减少乃至杜绝网络中大量的非法有害信息成为困扰国家信息安全部门的一个难题。根据统计分析，目前的互联网以中文为主要信息途径的带有非法有害信息的网站分为两大类：一类为在境外托管服务器的大型网站，另一类为在国内租用虚拟主机网站空间的小规模网站，而后一类网站占据了中文网站的8 0 以上。如何控制非法有害信息的肆意流行，并在第一时间掌握有害信息传播的情况，已经成为国家各

14、部门非常关心的问题。要在根本上解决有害信息的传播，就要对信息浏览的起点，即虚拟主机做好监督和管理工作。但是，鉴于目前中国虚拟主机运营体系所存在的管理上的漏洞以及技术上的缺陷，还无法及时控制非法有害信息在以虚拟主机为平台的网络上传播。目前国内外现有的网络监控产品，大多只用于监控网络设备的故障和性能，而网络安全产品主要是用于防范黑客的入侵，安全部门虽然在网络的出口配置信息过滤装置，但因为在网络主干上数据包过于密集，能够分析和记录的数据有限，从信息安全的需要出发，迫切需要一种能针对以虚拟主机为平台的流通信息进行实时监控和分布式检测的系统1 3】。因此，如何能根据虚拟主机的特点，从而实现一个真正能够实

15、时监控虚拟主机网站内容的系统成了追在眉睫的问题。http:/北京虚拟主机堕玺鎏耋三奎兰王兰璧圭兰垒l 婆1 2 信息过滤技术的现状“信息过滤”这个概念是在1 9 8 2 年由D e n n i n g 提出来的1 4)，信息过滤主要包含普通网站网页上的有害信息过滤、电子邮件中的有害信息的过滤和病毒邮件的过滤。目前，市场上的各种信息过滤产品大多局限性比较大，大体分为两类：单机版和网络版。单机版的代表性产品有联想蓝眼睛智能信息过滤系统，该系统采用了地址库过滤和页面分析双重查杀的方式，过滤掉了互联网有声信息的访阀，但对有害信息的审计和控制方面因为其采用单机模式而十分有限。网络版产品国内的代表性产品有

16、微创信息过滤平台，通过使用M i c r o s o RI S AS e r v e r 的W e bP r o x y 功能，实现对局域网访问I n t e m e t 的控制、过滤、访问量统计等功能。通过w e bs e r v i c e 连接中心服务器，进行数据收集、分析报表，因为其采用代理模式势必对原网络拓扑结构产生很大的影响，产品的适应性和过滤性能将受到很大的影响。1 2 1 文本过滤技术现状各个过滤系统在对非法信息过滤的功能上都使用文本过滤。到目前为止，世界上对文本过滤技术的研究非常广泛，研究文本过滤的单位和国体都取得了一定的成果。其中，中国科学院计算技术研究所的文本过滤系统，自

17、适应过滤平均准确率为2 4 5，批过滤平均准确率为4 0 5。微软剑桥研究院的文本过滤系统，自适应过滤平均准确率为2 4 0 5，批过滤平均准确率为3 4 3。复旦大学的文本过滤系统，自适应过滤平均准确率为2 6 5。批过滤平均准确率为3 1 7。文本过滤技术是一种很必要却不可靠的技术，它的完善还需要走很长的路扭。文本过滤项目韵任务定义是【6 l：给定一个主题描述(印用户需求)，建立一个能从文本流中自动选择最相关文本的过滤模板(F i l t e r i n gP r o f i l e)。随着文本流的逐渐进入，过滤系统自动地接受或拒绝文本，并得到文本相关与否的反馈信息，再根据反馈信息自适应地

18、修正过滤模板。它主要包含三个子任务：分流、批过滤、自适应过滤。分流(R o u t i n g)子任务：用户需求固定，提供对应于该用户需求的训练文本集中的相关文本，从用户需求构造查询语句来查询测试文本集。批过滤(B a t c hF i l t e r i n g)：它和分流子任务很类似：用户需求固定，提供对应于被用户需求的训综文本集中的相关文本，构造过滤系统，对测试文本集中的每一文本做出接受或拒绝的决策；不同的是分流任务要求按相似度从大到小的顺序检索出一批文本，而批过滤则要求将文本分成相关和不相关两类。自适应过滤(A d a p t i v eF i l t e r i n g)：它要求仅仅

19、从主题描述出发，不提供或http:/北京虚拟主机哈尔滨理工大学工学硕士学位论文#E 目l=_-l E 目-I E j _ _ _-E =I _ _-I ll _ E!1 0 目l _-口_ l l d I l l-_ I _!目=!E-_ _ _-=，_ _ _ _只提供很少的训练文本，逐-,N 断输入文本流中的文本是否相关。对“接受”的文本，能得到用户的反馈信息，用咀白适应地修正过滤模板。而被“拒绝”的文本是不提供反馈信息的。这是最接近真实环境也是最困难的子任务。各信息过滤系统都是通过：首先建立关键词库、系统知识的语料库学习，再到真实文本有害度的判定，然后应用到实际的工作环境中进一步完善文本

20、过滤的功能。在实际工作环境中，随着过滤的文本数量增加，系统不断的添加相应的关键字到关键字库里，然后定时更新探针端的关键字库，从而实现功能不断完善，过滤更加准确全面的功能。本课题由于制作成本较低，因此在文本过滤领域不做更多的研究，对于较大的文本采用B M 算法，对于模式中重复部分很少时，需要比较的字符数比输入字符串小的模式来说，采用B M 算法效率是当前模式匹配算法里效率最高的，对于较小的文本用K M P 算法进行比对1 7】。1 2 2 包过滤技术现状信息过滤产品底层实现的核心技术便是对网络封包的截获，邀同时也是实现防火墙、网络嗅探以及入侵检测等多种网络安全系统的核心技术【8 1。网络封包，又

21、称作网络数据包(D a t a g r a m)I”，是指通过网络传输的数据的基本单元，包含一个包头(h e a d e r)和数据本身，其中包头描述了数据的目的地以及和其它数据之间的关系。需要通过网络传输的原始数据被按照一定的大小和标准进行层层分组打包，并加上相应的包头封装为一个个独立的封包，以网络封包的形式进行传送。网络封包截获技术指的就是在网络封包传输的过程中对其进行拦截。由于现代操作系统已经封装了所有的网络底层操作【1 0 l，自动实现了网络封包级的传输控制，所以要完成对网络封包的拦截就需要通过操作系统或直接嵌入到操作系统中来实现。通过对截获的网络封包进行分析和过滤，可以达到网络窃听、

22、流量监控、恶意网络数据隔离等目的，因此网络封包截获技术是构建防火墙、网络监控、入侵检测等网络安全系统的基础。在截取数据的过程中，在链路层实现网络数据的读写是关键。即如何实现直接读写网卡数据帧。当前广泛采用的技术有以下几种l：r 1 直接针对网卡进行编程即通过对网卡中各种寄存器进行编程控制，完成数据分组的正确发送和接收。以这种方式实现截取数据具有速度快、性能好的优点。但是这种实现方式需要详细了解网卡的硬件设计。2 面向网卡驱动程序进行编程当前各网卡硬件厂商提供的网卡驱动程序大都遵守某种统一规范，常见的有N O V E L L 公司的I P X 网卡驱动程序；遵http:/北京虚拟主机哈尔滨理工大

23、学工学硕士学位论文循O D I(O p e nD a t aL i n kI n t e r f a c e)规范的M L I D(M u l t i p l eL i n kI n t e r f a c eD r i v e r)网卡驱动程序；M i e r o s o f t 公司的N D I S(N e t w o r kD e v i c eI n t e r f a c eS p e c i f i c a t i o n)；以及F T P 公司的P a c k e tD r i v e r 网卡驱动程序。这些规范通过提供统一的A P I调用来为上层程序提供网络数据分组的发送和接收

24、服务。面向网卡驱动程序编程来实现起来比较容易，而且在一定范围内具有可移植性。3 利用第三方工具网络上已有不少网包获取工具，部分获取工具还具有一定的分析、统计功能，比如s 1 1 i i f,t c pd u m p，s n o o p 等。由于这些工具对信息的处理方式均采用复制的方式，没有主动的控制措施，因此仅靠这些工具来获取网络信息仍然不是够的。同时这些工具还有只能用于局域网方式、只能对包进行截取，不具有信息重组功能等限制。在本论文的实现中，对于网络封包的截取采用了基于L i n u x 的n e t f i l t e r 技术。与其他操作系统相比，L i n u x 的主要优势体现在以下

25、方面【1 2】：、1 可以运行在3 8 6 以上及各种R I S C 体系结构的机器上L i n u x 最早诞生于微机环境，它的一系列版本都充分利用了x 8 6C P U 的任务切换能力，使x 8 6C P U 的效能发挥得淋漓尽致，而这一点连W i n d o w s 都没有做到。此外，它可以很好地运行在由各种主流R I S C 芯片(A l p h a,M I P S，P o w e rP C，U l t r aS P A R C，H P-P A 等)搭建的机器上。2 L i n u x 是U n i x 的完整实现从发展背景看，L i n u x 是从一个比较成熟的操作系统(U n i

26、 x)发展而来的，而诸如W i n d o w sN T 等其他操作系统都是自成体系，没有相依托的操作系统。这一区别使得L i n u x 的用户能够从U n i x 团体的贡献中获益。无论是U n i x 的作者还是U n i x 的用户，都认为只有U n i x 才是一个真正的操作系统，许多计算机系统(从个入计算机到超级计算机诸B 有U n i x版本，U n i x 的用户可以从很多方面得到支持和帮助。因此，L i n u x 作为U n i X的一个“克隆”，同样会得到相应的支持和帮助，直接拥有U n i x 在用户中建立的牢固地位。U n i x 上的绝大多数命令都可以在L i n

27、u x 里找到并有所加强。U n i x的可靠性、稳定性以及强大的网络功能也在L i n u x 身上一一体现出来。3 真正的多任务多用户只有很少一些操作系统能提供真正的多任务能力，尽管许多操作系统声称支持多任务，但并不完全准确，如W i n d o w s。而L i n u x 则充分利用了x 8 6C P U 的任务切换机制，实现了真正的多任务、多用户环境，允许多个用户同时执行不同的程序，并且可以给紧急任务以较高的优先级。44 完全符合P O S I X 标准P O S I X 是基于U n i x 的第一个操作系统簇国际标准，L i n u x 也遵循这一标准，这使U n i x 上的许

28、多应用程序可以很容易地移植http:/北京虚拟主机啥尔滨理工大学工学硕士学位论文I _ _-_-_ _ _-_ _ _ _ _ _ _-l _ _ I-_-_ _ _ _ 目啊日_ _ _-_ _ _ _-_ II I I I I到L i n L l X 上，反之亦然。5 具有强大的网络功能实际上，L i n u x 就是依靠互联网才迅速发展起来的，因此L i n u x 具有强大的网络功能也就不足为奇了。它可以轻松地与T C P I P,L A NM a n a g e r,W i n d o w sf o rW o r k g r o u p s。N o v e t lN e t w a

29、r e 或W i n d o w sN T 网络集成在一起，还可以通过以太网或调制解调器连接到i n t e r a c t 上。L i n u x 不仅能够作为网络工作站使用，更可以充当各类服务器，如X 应用服务器、文件服务器、打印服务器、邮件服务器、新闻服务器等，是完整的U n i x 开发平台L i n t L x支持一系列U n i x 开发工具，几乎所有的主流程序设计语言都已经移植到L i n u x上并可免费得到，如C，c+，F o r t r a n 7 7，A d a，P A S C A L，M o d u a l 2 3，T c l T kS c h e m e，S m a

30、l lT a l k 等。总而言之，开放的L i n u x 给用户提供了选择最佳应用、最佳开发环境、最佳网络功能和最佳硬件平台的自由。L i n u x 良好的网络性能和开放源代码的特点，使越来越多的用户选择了L i n u x 作为其防火墙的操作平台【I”。而不断变化的网络安全要求人们可以方便地对L i n u x 防火墙功能进行扩充和修改，但一个有着良好的功能可扩充性的防火墙必须要有很好的软件结构支持，L i n u x2 4 内核中添加的n e t f i l t e r 结构就是其防火墙构建的底层结构，它的引入解决了以前2 0 和2 2 内核中防火墙结构不清晰，肪火墙代码与L i n

31、 u x 网络层中的代码混在一起的缺点，使得2 4 内核中防火墙很容易实现功能上的扩充。11 3 课题来源及主要研究内容虚拟主机信息监控系统是公共网络安全监察部门在社会主义市场经济条件和信息网络安全形势下，为提高中小网站信息发布非法信息的控胄4 和处置能力，在全国各地市以上公安机关建立信息网络安全报警处置工作体系和机制。各级公共信息安全监察部门要经信息监控系统的服务端为龙头，建立及时发现、快速反应、妥善处理，联网服务的信息网络安全实战体系。为了响应公安部关于各地建立有效的计算机网络监控系统的通知，哈尔滨市公安局决定筹建网络信息安全监控系统，本课题就是该系统建设中关于虚拟圭机监控系统的设计与实现

32、，它的设计目标是监控以虚拟主机为平台的非法有害信息的发布与传播，能够在第一时间发现有害信息的发布与浏览，并提供阻断、实时报警以及日志审计等功能。虚拟主机信息监控系统建设的总体目标是：建立和畅通社会报警渠道，广泛开辟报警信息来源；建立重点单位监控体系的网上报警：建立有关单位配合报警、定位报警来源、调查的协助机制；建立控制平台，集中处理各种报警倍http:/北京虚拟主机哈尔滨理工大学工学硕士学位论文息，进行判断、综合分析、及时报告和通报：建立快速反应机制，调度警力及时进行现场勘察、调查、处置和侦察工作；建立网络信息安全应急处置的社会联动机制。本文对课题的研究背景、意义、现阶段的发展状况和目标等问题

33、做了简要叙述，并详细介绍了系统实现所涉及的核心技术，n e t f i l t e r 技术及其用户空间工具i p t a b l e s、内核编程和透明技术的相关知识，并对流行的几种透明模式实现方案作了对比对系统的设计原理和实现方法给出了可实施的方案，将整个系统按照功能分解成几个模块，分别讲解各个模块的实现过程，最后对系统从I P 地址过滤规则集和关键字过滤规则集两个角度，分别对H T T P 和F T P 两种协议，即虚拟主机的输入流和输出流做功能测试。http:/北京虚拟主机哈尔滨理工大学工学硕士学位论文第2 章信息监控的关键技术2 1 协议简介2 1 1H r r P 协议超文本传输协

34、议(H T T P)是一种高级的获取文件的应用程序，能访问W o r l dW i d eW e b 上的文件，H T T P 主要分成两类，即请求(R e q u e s t)和响应(R e s p o n s e)，该协议的知名端口号是8 0。客户浏览器在请求一个w 如页面时，它首先与W e b 服务器建立连接，连接成功后，它要将所请求的页面(含主机及文档)，所用的协议及版本，语言及版本，所能接收的M I M E 类型，编码类型以及连接状况等一些本地信息参数等交送给服务器，服务器收到请求后，发回所交送页面的信息的响应头信息(如协议认可，服务器类型，文档最后修改日期，长度等)，然后才发送页面

35、内容，最后双方断开连接。由于一个W e b 页面中还可能包含有图像，声音，以及另外的超链接等，在客户机收到W e b 页面后，搜索其中的图像链接和声音链接，然后再请求这些页面。因此要完成一个完整的w 曲页显示，可能要建立多次的C S 请求和发送。从这个意义上来说，m 1 P 是一个无连接，无状态的协议。H T T P 的工作过程一般包括以下四步f 1 4 l：1 客户建立起与服务器的连接2 客户向服务器发出请求，利用请求头指出要检索的文橙请求头中第一行是请求行，它包括方法、U R I 和协议版本。余下的行是某种类型的首部行。一般先是普通酋部，然后是请求首部，最后是实体首部(H T r P0 9

36、 不支持首部)，回车换行(C R L F)标志请求的结束。下面给出了一个典型的用G E T 方法的H r r P 请求诮息例子。它将取回W 3 C 主页上的一个页面(P O S T 方法类似，但P O S T 方法有放在m e s s a g e-b o d y域里的需要提交的数据)。G l 玎H H P，1 1，使用G E T 方法，舯协议的版本号H o s t：w w w w 3 c o r g资源的路径，主机的域名P r a g m a：n o c a c h e，控制网关不使用缓存C a c h e c o n t r o l：n o-c a c h e，代理服务器不使用缓存U s e

37、 r-A g e n t：M o z i l l a 4 0 6 e n (W i n 9 5；I)用户代理的信息A c c e p t：i m a g e l g i f,i m a g e t x-x b i t m a p，i r a a g 奶p e g，i m a g e，p j p e g，i m a g e p n g，+http:/北京虚拟主机哈尔滨理工大学工学硕士学位论文A c c e p t-E n c o d i n g：g z i pA c c e p t-C h a r s e t：i s o-8 8 5 9，+，u t f-8在生成请求头的过程中有两个要点：1)请求

38、消息的生成，根据H T T P 方法参数，选取不同的方法，从H T T PU R L 得型资源的路径。2)头域钓选取，根据用户不同的要求，会使用不同的请求头域和头域的值。3 服务器发出响应，包括状态码和文档的正文(如果文档存在)服务器解析接收请求，生成包含了所请求的资源的响应消息。响应字段传送有关服务器和进一步访问被请求资源的信息。这个过程主要由M I M E 解析器根据H T T P 返回头完成其具体含义的处理，如包含压缩和字符集的说明、M I M E 类型、返回数据的大小等信息。下面以在发出前面所举请求消息的例子后收到的响应消息为例说明。H T T P 1 12 0 0O K 实体数据开始

39、是在从接收数据缓冲区”、r n n”后开始D a t e：T h u，0 9J a n2 0 0 31 0：0 8：5 7G M TS e r v e r：A p a c h e 1 3 2 6(U n i x)P H P 3 0 1 8 W e b 服务器类型C o m e n t-L e n g t h：2 1 2 0 3、实体长度K e e p A l i v e：f i m e o u t=15C o n n e c t i o n：K e e p-A l i v e、保持连接处理C o n t e n t T y p e：t e x t l-I n d L；c h a r s e t

40、=u f f-8、实体类型对响应消息的处理是通过不同状态码标记的。H T T P 1 1 中定义了5 种状态码，其中第一位区分了不同的状态码。1 X X 状态码表示请求已被服务器接收，服务器正在处理，要求客户端等待继续接收数据。2 X X 状态码表示用户的请求己被服务器正确的接收，用户请求的资源已被发送。3 X X 状态码表示被请求的资源己经被移到其他的服务器，需要藿定向操作，这时需要从L o c a t i o n 域中得到重定向的U R L 以便再次发出请求消息。4 X X 状态码表示请求有错误。5 X X 状态码表示服务器自身出错或者不能执行此合法的请求，这时将关闭和服务器的连接，同时通

41、知上层程序请求无法完成。4 客户或者服务器任一方断开连接如果客户在请求头中使用C o n n e c t i o n：K e 印A 1 i v e 要求保持连接，而服务器又支持，与上面唯一的不同就是这第4 步，服务器并不断开连接而是继续等待客户的请求。如果客户在服务器的超时时间内没有请求，则服务器自动关闭连接。http:/北京虚拟主机哈尔滨理工大学工学硕士学位论文2 1-2F T P 协议文件传输协议(F T P)是另一个I n t e r a c t 上流行的协议。它可以通过T C P I P在服务嚣和客户之阊传输任意类型的文件，剥甩安全可靠的照电路连接方法丽实现安全、可靠、便捷性文件传送。

42、该协议控制端口号是2 l。幽2-IF T P 通信模型框图F i g 2-1B l o c kd i a g r a mo f F w Pc o m m u n i c a t i o nm o d e 从上面的图2 1 F T P 的通信模型图中看出，m 具有2 个不同的T c P 连接，分别是控制连接P I 和数据连接D T P。在整个F T P 处理过程中，控制连接起传输控制信息的作用，它始终保持主动状态用户焉求的数据是通过数据连接来传输的”。数据连接是双向的，它不用整个时间都存在。在开始阶段，标准F T P 命令(包含在控制连接中)由用户P I 产生并通过控制连接传送到服务器进程。服务

43、器P I 向用户P I 返回标准应答。F T P 命令指定数据连接参数和文件系统操作。用户D T P 在特定数据端口侦听，服务器开始数据连接并以指定的参数开始数据传输。数据端口不必在发出F T P 命令的机器上，但用户或用户F T P 进程必须确定它在指定的数据端口上侦听。这个数据连接是全双工的。从用户P I 到服务器的信道是建立在用户到标记服务器端口间的，利用用户协议解释器管理发送命令和解释接收的敷答；服务器P I 解释命令，发送应答，指导D T P 建立数据连接并传送数据。如果数据传输的第二方是用户D 1 E 通过用户F T P 主机的内部协议对它进行控制；如果第二方是服务器D T P，它

44、由用户P I 发来的命令经过自己的P I 控制。http:/北京虚拟主机哈尔滨理工大学工学硕士学位论文在使用F T P 过程中，控制命令的传递和数据的上传下载是分离的，数据连接只传输数据，控制连接传送命令和响应。1 控制连接在整个F T P 过程中控制连接都是存在的，用户通过F T P 工具发出命令，通过控籼连接和服务器进行交互，最后当控制连接关闭后，整个F T P过程也就停止了。控制连接的建立是一端的F T P 服务器在固定端口(默认2 1)侦听，由客户机主动进行连接。数据连接是在客户机申请对数据进行处理前动态建立的，数据传送完毕，数据连接自动关闭。数据连接的建立从服务器方连接方式分为主动方

45、式和被动方式两种，端口均是动态打开的。客户端相关命令分别是P O R T 和P A S V 命令。1 P O R T，用于主动方式客户机通过控制连接发出P O R T 命令通知服务器侦听的端口号和自己的I P 地址，服务器据此连接到客户机。其参数包括I P地址和T C P 端口号，由逗号分割为8 位字段。需要注意的是T C P 端口号，这为与平常看到的表示方法不一样，其计算方法举例如下：P O R T2 0 2，1 1 5，1 6，9，1 4，2 5 5B IB 2B 3B 4B 5B 6端口号=B 5 2 5 6+B 62 P A S V，用于被动方式客户机通过控制连接发出P A S V 命

46、令通知服务器采用被动方式传送数据，服务器用应答码2 2 7 回应，后面跟上服务器的I P地址和侦听端口号。如：2 2 7E n t e r i n gP a s s i v eM o d e(2 0 2，1 1 5，2 2，8，9 3，1 2)。F T P 命令的响应是为了对数据传输请求和过程进行回步，也是为了让用户了解服务器的状态。每个命令必须有最少一个响应，如果是多个，它们要易于区别。有些命令是有顺序性的，因此其中任何一个命令的失败会导致从头开始。F T P 响应由三个数字构成，后面是一些文本。数字带有足够的信息命名用户P I 不用检查文本就知道发生了什么。文本信息与服务器相关，用户可能得

47、到不同的文本信息。文本和数字以 间隔，文本后以T E L N E T 行结束符结束。文本可能多于一行，这时文本必须在括号内，第一行内要有信息表示文本多于一行，最后一行也要有所标记。如果是多行，可以在数字代码后加上“”，最后行以数字开始，后面是，再加上T E L N E T 的行结束符就可以了。下面是一个例子：1 2 3 第一行第二行http:/北京虚拟主机哈尔滨理工大学工学硕士学位论文2 3 4 以数字开始的一行1 2 3 最后一行三位数字每位都有一定的意义，第一位确定响应是好的，坏的还是不完全的，通过检查第一位，用户进程通常就自2 够知道大致要采取什么行动了。如果用户程序希望了解出了什么问题

48、，可以检查第二位，第三位保留表示其它信息。2 2n e t f i l t e r 技术n e t f i l t e r 是L i n u x2 4 内核实现数据包过滤、数据包处理、N A T 等的功能框架。n e t f i l t e r 比以前任何一舨L i n u x 内核的防火墙子系统都要完善强大。n e t f i l t e r 提供了一个抽象、通用化的框架，所有的包过滤、N A T 等等都基于该框架。内核网络代码中不再有到处都是的、混乱的修改数据包的代码了。当前n e t f i l t e r 框架支持I P v 4，I M 及D e c n e t 等网络栈1 1 6 1

49、。2 2 1n e t f i l t e r 框架概述n e t f i l t e r 是L i n u x2 4 内核的防火墙框架，最开始L i n u x2,0 内核采用的是i p f w a(t m，随后的L i n u X2 2 内核是i p c h a i n s。L i n u x 防火墙的基本概念已经发生了不少变化，整体设计也有了较大的发展，到了L i n u x2 4 内核时，发展为n e t f i l t e r i p t a b l e s 组合，直至现在的L i n u x2 6 内核仍然采用n e t f i l t e r i p t a b l e s 组合

50、，这也说明了n e t f i l t e r 框架的完美。L i n u x2 0 内核的i p f w a a m 是A l a nC o x 在L i n u xk e r n e l 发展的初期，从F r e e B S D 的内核代码中移植过来的，是基本的防火墙的管理工具。L i n u x2 2 内核的i p e h a i n s 实现了三个链：I N P U T，O U T P U T和F O R W A R D 分别进行输入数据包、输出数据包和转发数据包的规则匹配，基本实现了包过滤、地址转换等功能，但是i p c h a i n s 存在着很多不足，主要有以下几点：1 i p