【正文】 Interface 應(yīng)用編程接口 ） ，調(diào)用 Windows 平臺上而無需重新編譯。 。 它可執(zhí)行一些低層操作 :如：獲得 網(wǎng)卡名字 ，動態(tài)裝載驅(qū)動，得到比如機(jī)器的網(wǎng)絡(luò)掩碼、硬件沖突等一些系統(tǒng)特定的信息。第三個模塊 ，它提供了更高層、抽象的函數(shù)。它包括了一些比如過濾器生成、用戶級緩沖等其它的高層函數(shù)，增加了比如統(tǒng)計(jì)和包發(fā)送等更高級的特性。因此程序員能處理兩種類型的 API:一套原始函數(shù)集，包含在 ，直接與內(nèi)核層調(diào)用匹配 。另一套高層函數(shù)由 提供，便于用戶調(diào)用，功能更強(qiáng)大。程序員能隨意使用 ，但只能在受 第 3 頁 共 25 頁 限的環(huán)境中直接使用 . 圖 1 WINPCAP 結(jié)構(gòu)圖 總的說來， 直接映射了內(nèi)核的調(diào)用。 提供了更加友好、功能更加強(qiáng)大的函數(shù)調(diào)用。 Winpcap 的具體結(jié)構(gòu)圖 1 所示 : Winpcap 是用 NDIS（ Windows 的通信協(xié)議程序 (比如 TCP/IP)和網(wǎng)絡(luò)設(shè)備驅(qū)動器之間通信的規(guī)范 ）的 ，將自己注冊為一個協(xié)議處理驅(qū)動 。 Wincap 的使用非常方便，但是它 有一個致命的缺陷就是只適用于共享式以太網(wǎng)絡(luò)，對于交換式網(wǎng)絡(luò)下的數(shù)據(jù)則無能為力 。經(jīng)過 測試，在使用交換機(jī)連接的局域網(wǎng)下， Wincap 只能監(jiān)聽 到 本網(wǎng)段內(nèi)的數(shù)據(jù)，而對于來自其他網(wǎng)段的數(shù)據(jù)則無法監(jiān)聽，除非你把 probe接到交換機(jī)之前或者接到交換機(jī)的 console 口上，不過那樣的弊端是顯而易見的 ， 所以， Winpcap 的應(yīng)用 還是 有局限性的 。 Winpcap 結(jié)構(gòu)圖如下： 圖 2 NPF device driver Application NPF Device Driver User Level Kernel Level Network Packets 第 4 頁 共 25 頁 2 基于 信息 捕獲 的相關(guān)理論基礎(chǔ) TCP/IP 協(xié)議 TCP/IP（ Transfer Contrcol/Inter Protocol）傳輸控制協(xié)議 /網(wǎng)際協(xié)議起源于 60年代末美國政府資助的一個分組交換網(wǎng)絡(luò)研究項(xiàng)目，到 90年代已發(fā)展成為計(jì)算機(jī)之間最常應(yīng)用的組網(wǎng)形式 。 它是能夠在網(wǎng)絡(luò)中提供可靠的數(shù)據(jù)傳輸和無連接的數(shù)據(jù)報(bào)服務(wù)的一組協(xié)議 。 提供可靠數(shù)據(jù)傳輸?shù)膮f(xié)議稱為傳輸控制協(xié)議 TCP，提供網(wǎng)絡(luò)尋址的協(xié)議稱為網(wǎng)際協(xié)議 IP， 它只是 TCP/IP協(xié)議族的其中的兩種協(xié)議。TCP/IP協(xié)議族是一組不同的協(xié)議組合在一起構(gòu)成的協(xié)議族，它是一個真正的開放系統(tǒng)?，F(xiàn)已成為全球互聯(lián)網(wǎng)中的基礎(chǔ)。 基于 TCP/IP協(xié)議的網(wǎng) 絡(luò)體系結(jié)構(gòu)， TCP/IP協(xié)議分為四層如圖 3所示，每一層分別負(fù)責(zé)不同的通信功能。 應(yīng)用層 Tel、 Ftp、 Email 等 傳輸層 TCP、 UDP 網(wǎng)絡(luò)層 IP、 ICMP、 IGMP 網(wǎng)絡(luò)接口層 設(shè)備驅(qū)動程序及接口卡 圖 3 TCP/TP協(xié)議族的四個層次 鏈路層：有時也稱作數(shù)據(jù)層或網(wǎng)絡(luò)接口層，通常包括操作系統(tǒng)中的設(shè)備驅(qū)動程序和計(jì)算機(jī)中對應(yīng)的網(wǎng)絡(luò)接口卡。它們一起處理任何傳輸媒介的物理接口細(xì)節(jié)，它使用的協(xié)議為以太網(wǎng)協(xié)議。 網(wǎng)絡(luò)層：有時也稱作互聯(lián)網(wǎng)層，處理分組在網(wǎng)絡(luò)中的活動，例如分組的選路。 在 TCP/IP 協(xié)議族中，網(wǎng)絡(luò)層協(xié)議包括 IP（ 網(wǎng)際協(xié)議 ） 、 ICMP（因特網(wǎng)網(wǎng)間控制報(bào)文協(xié)議）以及 IGMP（ 因特網(wǎng)組管理協(xié)議）。 傳輸層：它主要為兩臺主機(jī)上的應(yīng)用程序提供端到端的通信。 TCP/IP協(xié)議族中，有兩個互不相同的傳輸協(xié)議： UDP（用戶數(shù)據(jù)報(bào)協(xié)議）、 TCP（ 傳輸控制協(xié)議）。 TCP為兩臺主機(jī)提供高可靠性的數(shù)據(jù)通信。它所做的工作包括把應(yīng)用程序交給它的數(shù)據(jù)分成合適的小塊交給下面的網(wǎng)絡(luò)層，確認(rèn)接收到的分組，設(shè)置發(fā)送最后確認(rèn)分組的超時時鐘等，由于運(yùn)輸層提供了高可靠性的端到端的通信，因此應(yīng)用層可以忽略所有這些細(xì)節(jié)。 UDP則為應(yīng)用層提供一種非常簡單的服務(wù)。它只是把稱作數(shù)據(jù)報(bào)的分組從一臺主機(jī)發(fā)送到另一臺主機(jī)，但并不保證該數(shù)據(jù)報(bào)能到達(dá)另一端。任何必需的可靠性必須由應(yīng)用層來提供。 應(yīng)用層：它負(fù)責(zé)處理特定的應(yīng)用程序細(xì)節(jié)。對于 TCP/IP協(xié)議族，它提供Tel(遠(yuǎn)程登錄協(xié)議 )、 FTP（文件傳輸協(xié)議）、 SMTP（簡單郵件傳送協(xié)議）、POP3（ 郵件接受協(xié)議）、 SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）。 第 5 頁 共 25 頁 通常應(yīng)用程序是一個用戶進(jìn)程，而下面的三層進(jìn)程則是一般在內(nèi)核中執(zhí)行的。應(yīng)用層關(guān)心的是應(yīng)用程序的細(xì)節(jié)，它不關(guān)心數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸。下三層對應(yīng)用程序一無 所知，但卻要處理所有的通信細(xì)節(jié)。 在 TCP/IP 協(xié)議族中，有很多協(xié)議。 TCP和 UDP是兩種最為著名的運(yùn)輸層協(xié)議，二者都使用 IP作為網(wǎng)絡(luò)層協(xié)議。雖然 TCP使用不可靠的 IP服務(wù)，但它卻提供一種可靠的運(yùn)輸層服務(wù)。除了以上提到的協(xié)議，還有下面幾個協(xié)議： IPARP（地址解析協(xié)議）、 RARP(逆向地址解析協(xié)議 )、動態(tài)選路協(xié)議（ RIP、 OSPF、 BGP、 CIDR）、 DNS（域名系統(tǒng)）、 TFTP（簡單文件傳送協(xié)議）等。圖 4 為 TCP/IP 網(wǎng)絡(luò)體系結(jié)構(gòu)與上述各協(xié)議之間的關(guān)系模型。 圖 4 TCP/IP協(xié)議族中不同層次 的協(xié)議 從圖的模型中可以看到，應(yīng)用層的大多數(shù)應(yīng)用程序通過 TCP、 UDP來訪問網(wǎng)絡(luò)層，或者通過 ICMP來使用網(wǎng)絡(luò)層，如 Ping、 Trace Route等也可以使用 IP直接訪問網(wǎng)絡(luò)層。傳輸層中的 TCP、 UDP為應(yīng)用層提供可靠的或不可靠網(wǎng)絡(luò)傳輸?shù)木W(wǎng)絡(luò)傳輸服務(wù)。網(wǎng)絡(luò)層的 ICMP是 IP協(xié)議的附屬協(xié)議， IP協(xié)議用它與路由器之間交換錯誤報(bào)文或其它控制信息。網(wǎng)絡(luò)接口層的 ARP、 RARP是以太網(wǎng)和令牌環(huán)使用的特殊協(xié)議，用來轉(zhuǎn)換 IP層和網(wǎng)絡(luò)接口層使用的地址。 數(shù)據(jù)封裝與分用過程 以用戶用 TCP協(xié)議傳送數(shù)據(jù)為例， 數(shù)據(jù)被送入?yún)f(xié)議棧 中，然后逐個通過每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò) 。 然后逐個通過每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。其中每一層對收到的數(shù)據(jù)都要增加一些首部信息（有時還要增加尾部信息）。 TCP傳給 IP的數(shù)據(jù)單元稱作 TCP報(bào)文段或簡稱為 TCP段（ TCP segment）。IP傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作 IP數(shù)據(jù)報(bào)。通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。這就是通常說的數(shù)據(jù)的封裝過程，如圖 5所示。 第 6 頁 共 25 頁 圖 5數(shù)據(jù)進(jìn)入?yún)f(xié)議棧時的封裝過程 當(dāng)目的主機(jī)收到一個以太網(wǎng)數(shù)據(jù)幀時，數(shù)據(jù)就開始從協(xié)議棧中由底向上升，同時去掉各層協(xié)議加上的報(bào)文 首部。每層協(xié)議盒都要去檢查報(bào)文首部中的協(xié)議標(biāo)識，以確定接收數(shù)據(jù)的上層協(xié)議。這個過程稱作分用（ Demultiplexing），圖 6顯示了該過程是如何發(fā)生的。 圖 6 數(shù)據(jù) 幀 的分用過程 第 7 頁 共 25 頁 IP 協(xié)議 IP是 TCP/IP協(xié)議族中最為核心的協(xié)議。所有的 TCP、 UDP、 ICMP及 IGMP數(shù)據(jù)都以 IP數(shù)據(jù)報(bào)格式傳輸。 IP提供不可靠、無連接的數(shù)據(jù)報(bào)傳送服務(wù)。 IP數(shù)據(jù)報(bào)的首部信息如圖 7： 圖 7 IP數(shù)據(jù)報(bào)格式及首部中的各字段 IP各域的含義如下 ： 版本 ： 當(dāng)前 IP協(xié)議的版本號，本論文采用的版本號為 4。 首部長度 ： 以 32bit為單位的包頭長度 。 服務(wù)類型 ： 規(guī)定對本數(shù)據(jù)報(bào)的處理方式，比如優(yōu)先權(quán)等 。 總長 ： 以 Byte為單位的整個 IP數(shù)據(jù)報(bào)長度 。 標(biāo)識 ： 信源主機(jī)賦予每個 IP數(shù)據(jù)報(bào)的唯一標(biāo)識符號，用于控制分片及其重組 。 標(biāo)志和片偏移 ： 同樣用于控制分片及其重組 。 生存時間 ： 設(shè)置本數(shù)據(jù)報(bào)的最大生存時間，以秒為單位 。 協(xié)議 ： 表示創(chuàng)建本 IP數(shù)據(jù)報(bào)數(shù)據(jù)區(qū)數(shù)據(jù)的高層協(xié)議的類型，如 TCP,UDP等 。 頭標(biāo)校驗(yàn)和 ： 用于保證頭標(biāo)數(shù)據(jù)的完整性 。 源 IP地址和目的 IP地址 ： 分別指發(fā)送本數(shù)據(jù)報(bào)的主機(jī) IP地址和接受本數(shù)據(jù)報(bào)的主機(jī)的 IP地址 。 選項(xiàng) ： 用于控制 和測試，是 IP數(shù)據(jù)報(bào)中可選的部分，包含 “ 源路徑”、“路徑記錄 ”、“ 時間 戳 ” 等幾種類型。 TCP協(xié)議是網(wǎng)絡(luò)中應(yīng)用最為廣泛的協(xié)議，許多的應(yīng)用層協(xié)議都是在建立在 TCP協(xié)議之上的。 TCP首部的各字段如圖 8所示： 第 8 頁 共 25 頁 圖 8 TCP數(shù)據(jù)在 IP數(shù)據(jù)報(bào)中的封裝 TCP協(xié)議頭部信息如下： 源端口 ： 發(fā)送端 TCP端口號。 目的端口 ： 接收端 TCP端口號 。 序號 ： 指出段中數(shù)據(jù)在發(fā)送端數(shù)據(jù)流中的位置 。 確認(rèn)號 ： 指出本機(jī)希望下一個接收的字節(jié)的序號 。 頭標(biāo)長度 ： 以 32bit為單位的段頭 標(biāo)長度，是針對變長的 “ 選項(xiàng)”域設(shè)計(jì)的 。 碼位 ： 指出段的目的與內(nèi)容，不同的各碼位置位有不同的含義 。 窗口 ： 用于通告接收端接收緩沖區(qū)的大小 。 校驗(yàn)和 ： 這是可選域，置 0表示未選，全 1表示校驗(yàn)和為伍 緊急指針 ： 當(dāng)碼位的 URG置位時，指出緊急指針的序號。 UDP協(xié)議是英文 User Datagram Protocol的縮寫，即用戶數(shù)據(jù)報(bào)協(xié)議，主要用來支持那些需要在計(jì)算機(jī)之間傳輸數(shù)據(jù)的網(wǎng)絡(luò)應(yīng)用。包括網(wǎng)絡(luò)視頻會議系統(tǒng)在內(nèi)的眾多的客戶 /服務(wù)器模式的網(wǎng)絡(luò)應(yīng)用都需要使用 UDP協(xié)議。 UDP協(xié)議從問世至今已經(jīng)被使用了很多年，雖然其最 初的光彩已經(jīng)被一些類似協(xié)議所掩蓋，但是即使是在今天， UDP仍然不失為一項(xiàng)非常實(shí)用和可行的網(wǎng)絡(luò)傳輸層協(xié)議。 UDP數(shù)據(jù)報(bào)各域的意義與 TCP段中相應(yīng)的域相同。只有校驗(yàn)和有些不同，除 UDP數(shù)據(jù)報(bào)本身外，它還覆蓋一個附加的 “ 偽頭標(biāo)”。這個偽頭標(biāo)來自于 IP報(bào)頭，包括 ： 源 IP地址、信宿 IP地址、協(xié)議類型、 UDP長度及填充域。 UDP首部的各字段圖 9所示： IP 首部 TCP 首部 TCP 數(shù)據(jù) IP 數(shù)據(jù)報(bào) TCP 報(bào)文段 20 字節(jié) 20 字節(jié) 第 9 頁 共 25 頁 圖 9 UDP首部 3 需求分析 功能需求 隨著 個人計(jì)算機(jī)和互聯(lián)網(wǎng)的普及，越來越多的人開始使用網(wǎng)絡(luò)這個媒介來發(fā)送，接收信息， 計(jì)算機(jī)網(wǎng)絡(luò)給人們 生產(chǎn)和生活 帶來了巨大的便利 。 但 是由于網(wǎng)絡(luò)是一個面向大眾的開放系統(tǒng)，對 數(shù)據(jù) 信息的保密和系統(tǒng)的 安全 性 考慮得并不完備，存在著 許多的 安全 隱患 。而有的人，就利用這些隱患，通過網(wǎng)絡(luò)來發(fā)送一些包含色情，反動等不良內(nèi)容的信息， 達(dá)到擾亂正常社會秩序的目的 。 網(wǎng)絡(luò)的 安全形勢日 趨嚴(yán)峻。 因此，現(xiàn)在 在 Inter 安全 隱患中扮演重要角色之一的 網(wǎng)絡(luò)數(shù)據(jù) 抓包 軟件 受到越來越大的關(guān)注 。 本軟件的設(shè)計(jì)就是為了達(dá)到基本的維護(hù)網(wǎng)絡(luò)安全的作用，對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行捕獲，然后從中得到所有的網(wǎng)絡(luò)數(shù)據(jù)包，并對其 進(jìn)行簡單的分析操作。 在網(wǎng)絡(luò)入侵取證系統(tǒng) 中，對網(wǎng)絡(luò)上傳送的數(shù)據(jù)包進(jìn)行有效的監(jiān)聽即捕獲包是目前取證的關(guān)鍵技術(shù)，只有進(jìn)行高效的數(shù)據(jù)包捕獲，網(wǎng)絡(luò)管理員才能對所捕獲的數(shù)據(jù)進(jìn)行一系列的分析，從而進(jìn)行可靠的網(wǎng)絡(luò)安全管理 。 IP是 TCP/IP協(xié)議族中最為核心的協(xié)議。所有的 TCP、 UDP、 ICMP及 IGMP數(shù)據(jù)都以 IP數(shù)據(jù)報(bào)格式傳輸。這些數(shù)據(jù)類型中又以 TCP和 UDP兩種數(shù)據(jù)類型為多數(shù)。所以本軟件需要設(shè)計(jì)出按 TCP協(xié)議類型和按 UDP協(xié)議類型來過濾網(wǎng)絡(luò)中的數(shù)據(jù)。同時本軟件還還應(yīng)當(dāng)具有一種過濾功能，那就是當(dāng)我們知道某個 IP地址發(fā)送的數(shù)據(jù)包信息都是屬于一些不良，反動等等 內(nèi)容的信息，那么，我們可以通過在軟件上輸出這臺主機(jī) IP地址，來過濾從這臺主機(jī)上發(fā)送的所有 TCP和 UDP協(xié)議類型的數(shù)據(jù)。從而達(dá)到信息過濾的要求。 性能要求 由于本設(shè)計(jì)是安裝在個人電腦上，所以要求用戶界面簡潔，友好，方便使用 第 10 頁 共 25 頁 和操作。 網(wǎng)絡(luò)上數(shù)據(jù)包的捕獲是入侵檢測系統(tǒng)的基礎(chǔ)，關(guān)鍵是要保證高速的抓包和低的丟包率。一方面，網(wǎng)絡(luò)檢測部分的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包，需要經(jīng)過捕獲后方可以提交給分析系統(tǒng) ； 另一方面，捕獲數(shù)據(jù)包效率的高低直接影響著網(wǎng)絡(luò)探測部分的性能的好壞，如果發(fā)生丟包現(xiàn)象，則有可能丟掉的包就是攻擊包。 在保證高速 的抓包和低的丟包率的同時，要還要求程序能有較強(qiáng)的穩(wěn)定性。一款好的信息過濾軟件，都是將在一個長時間工作的環(huán)境中運(yùn)行。如果不能保證較強(qiáng)的穩(wěn)定性的話，那么軟件對信息過濾的效率和功能有很大的局限性，對數(shù)據(jù)信息過濾就是失敗的。那么這款軟件就不會具備同其他同類似軟件的競爭力，更不會有市場，那么它就注定成為一款失敗的軟件。 試想一下，假如，當(dāng)用戶使用這款軟件時，軟件占用了太多的系統(tǒng)資源而導(dǎo)致用戶對電腦的其他操作都很難進(jìn)行，那么，誰還會用這款軟件呢？所以，該軟件還應(yīng)該具備一種特點(diǎn)就是：低的系統(tǒng)資源占用率。 4 局域網(wǎng)信息 捕獲 器 的設(shè)計(jì) 功能概述 通過前面的敘述可以知道，這款軟件具有的功能，那就是：能夠分別 捕獲 局域網(wǎng)中的 TCP 協(xié)議類型數(shù)據(jù)， UDP 協(xié)議類型數(shù)據(jù) 和從某 一特定的 IP 地址發(fā)送出來的 TCP 協(xié)議類型數(shù)據(jù)和 UDP 協(xié)議數(shù)據(jù)類型。并且，將這些 捕獲 出來的數(shù)據(jù) 包的基本 信息存入到數(shù)據(jù)庫中， 提供給網(wǎng)絡(luò)管理員使用和進(jìn)一步的分析。 系統(tǒng)流程圖如下圖： 開 始捕 獲 數(shù)據(jù)分 析 協(xié)議 類 型數(shù) 據(jù) 庫處 理結(jié) 束結(jié) 束Y E SY E SN ON