【正文】 XX 理工大學 計算機科學與技術(shù)學院 課程設計報告 2021— 2021 學年第一學期 課程名稱 網(wǎng)絡安全 設計題目 網(wǎng)絡嗅探器設計與實現(xiàn) 姓 名 xxxxxxxxxx 學 號 XXXXXXXXXXX 專業(yè)班級 XXXXXXXXXX 指導教師 xxxxxxxxxxx 2021 年 1 月 2 日 簡單的網(wǎng)絡嗅探器 摘 要 計算機網(wǎng)絡嗅探器是可以竊聽計算機 程序在網(wǎng)絡上發(fā)送和接收到的數(shù)據(jù)，程序?qū)崿F(xiàn)了對抓取到的本機在網(wǎng)絡中的通信數(shù)據(jù)的協(xié)議類型、源地址、目的地址、端口和數(shù)據(jù)包的大小加以簡單的分析，改程序應用 C語言編寫，實現(xiàn)了一個簡單的網(wǎng)絡嗅探功能。網(wǎng)絡嗅探器具有兩面性，攻擊者可以用它來監(jiān)聽網(wǎng)絡中數(shù)據(jù)，達到非法獲得信息的目的，網(wǎng)絡管理者可以通過使用嗅探器捕獲網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包并對其進行分析，分析結(jié)果可供網(wǎng)絡安全分析之用。本文對網(wǎng)絡嗅探技術(shù)進行了簡要分析，研究了網(wǎng)絡數(shù)據(jù)包的捕獲機制。文中首先分析了嗅探的原理和危害并介紹了幾種常見的嗅探器，然后研究了入侵檢測系統(tǒng)中使 用的包捕獲技術(shù)。利用原始套接字在 windows 平臺下實現(xiàn)了一個網(wǎng)絡嗅探器程序，完成了對數(shù)據(jù)包進行解包、分析數(shù)據(jù)包的功能。 關(guān)鍵詞 ： 網(wǎng)絡嗅探器；發(fā)送和接受到的數(shù)據(jù)；協(xié)議類型；源地址；目地地址；端口和數(shù)據(jù)包；分析； C言語 目錄 一 引言 基本原理 二 基本原理 三需求分析 四概要設計 五詳細設計 六嗅探器的實現(xiàn)與測試 實現(xiàn)與測試 實驗體會 七附錄（主要代碼） 一、 引言 網(wǎng)絡安全的現(xiàn)狀隨著各種新的網(wǎng)絡技術(shù)的不斷出現(xiàn)、應用和發(fā)展，計算機網(wǎng)絡的應用越來越廣泛，其作用也越來越重要。但是由于計算機系統(tǒng)中軟硬件的脆弱性和計算機網(wǎng)絡的脆弱性以及地理分布的位置、自然環(huán)境、自然破壞以及人為因素的影響，不僅增加了信息存儲、處理的風險，也給信息傳送帶來了新的問題。計算機網(wǎng)絡安全問題越來越嚴重，網(wǎng)絡破壞所造成的損失越來越大。 Inter 的安全已經(jīng)成為亟待解決的問 題 二、網(wǎng)絡嗅探器的基本原理 網(wǎng)絡嗅探器又稱為網(wǎng)絡監(jiān)聽器，簡稱為 Sniffer 子系統(tǒng)，放置于網(wǎng)絡節(jié)點處，對網(wǎng)絡中的數(shù)據(jù)幀進行捕獲的一種被動監(jiān)聽手段，是一種常用的收集有用數(shù)據(jù)的方法，這些數(shù)據(jù)可以是用戶的賬號和密碼，可以是一些商用機密數(shù)據(jù)等等。他廣泛地應用于流量分析、安全監(jiān)控、網(wǎng)管分析、防火墻等的實現(xiàn)中。 Sniffer 是利用計算機的網(wǎng)絡接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種工具。 Sniffer 的正當用處主要是分析網(wǎng)絡的流量 ,以便找出所關(guān)心的網(wǎng)絡中潛在的問題。例如 ,假設網(wǎng)絡的某一段運行 得不是很好 ,報文的發(fā)送比較慢 ,而我們又不知道問題出在什么地方 ,此時就可以用嗅探器截獲網(wǎng)絡中的數(shù)據(jù)包，分析問題的所在。而嗅探器也可作為攻擊工具被黑客所利用為其發(fā)動進一步的攻擊提供有價值的信息。 嗅探器是網(wǎng)絡的抓包工具，可以對網(wǎng)絡中大量數(shù)據(jù)抓取，從而方便使用者對網(wǎng)絡中用戶的一些信息進行分析，所以，通常被黑客運用于網(wǎng)絡攻擊。我們?nèi)绻材苷莆站W(wǎng)絡嗅探器的原理和設計，可以將它運用與網(wǎng)絡故障檢測、網(wǎng)絡狀況的監(jiān)視，還可以加強企業(yè)信息安全防護。 Sniffer 分為軟件和硬件兩種，軟件的 Sniffer 有 NetXray、 Packetboy、Netmonitor 等，其優(yōu)點是物美價廉，易于學習使用，同時也易于交流；缺點是無法抓取網(wǎng)絡上所有的傳輸，某些情況下也就無法真正了解網(wǎng)絡的故障和運行情況。硬件的 Sniffer 通常稱為協(xié)議分析儀，一般都是商業(yè)性的，價格也比較貴。 實際上本文中所講的 Sniffer 指的是軟件。它把包抓取下來，然后打開并查看其中的內(nèi)容，可以得到密碼等。 Sniffer 只能抓取一個物理網(wǎng)段內(nèi)的包，就是說，你和監(jiān)聽的目標中間不能有路由或其他屏蔽廣播包的設備，這一點很重要。所以，對一般撥 號上網(wǎng)的用戶來說，是不可能利用 Sniffer 來竊聽到其他人的通信內(nèi)容的。 可能造成的危害 sniffing 是作用在網(wǎng)絡基礎(chǔ)結(jié)構(gòu)的底層。通常情況下，用戶并不直接和該層打交道，有些甚至不知道有這一層存在。所以，應該說 snffer 的危害是相當之大的，通常，使用 sniffer 是在網(wǎng)絡中進行欺騙的開始。它可能造成的危害： 嗅探器能夠捕獲口令。這大概是絕大多數(shù)非法使用 sniffer 的理由， sniffer可以記錄到明文傳送的 userid 和 passwd。 能夠捕獲專用的或者機密的信息。比如金融帳號，許多用 戶很放心在網(wǎng)上使用自己的信用卡或現(xiàn)金帳號，然而 sniffer 可以很輕松截獲在網(wǎng)上傳送的用戶姓名、口令、信用卡號碼、截止日期、帳號和 pin。比如偷窺機密或敏感的信息數(shù)據(jù)，通過攔截數(shù)據(jù)包，入侵者可以很方便記錄別人之間敏感的信息傳送，或者干脆攔截整個的 會話過程。 可以用來危害網(wǎng)絡鄰居的安全，或者用來獲取更高級別的訪問權(quán)限。窺探低級的協(xié)議信息。這是很可怕的事，通過對底層的信息協(xié)議記錄，比如記錄兩臺主機之間的網(wǎng)絡接口地址、遠程網(wǎng)絡接口 IP 地址、 IP 路由信息和 TCP連接的字節(jié)順序號碼等。這些信息由非法入侵 的人掌握后將對網(wǎng)絡安全構(gòu)成極大的危害，通常有人用 sniffer 收集這些信息只有一個原因：他正要進行一次欺騙（通常的IP地址欺騙就要求你準確插入 TCP 連接的字節(jié)順序號）。事實上，如果你在網(wǎng)絡上存在非授權(quán)的嗅探器就意味著你的系統(tǒng)已經(jīng)暴露在別人面前了。 簡單的放置一個嗅探器并將其放到隨便什么地方將不會起到什么作用。將嗅探器放置于被攻擊機器或網(wǎng)絡附近，這樣將捕獲到很多口令，還有一個比較好的方法就是放在網(wǎng)關(guān)上。 sniffer 通常運行在路由器，或有路由器功能的主機上。這樣就能對大量的數(shù)據(jù)進行監(jiān)控。 sniffer 屬第 二層次的攻擊。通常是攻擊者已經(jīng)進入了目標系統(tǒng)，然后使用 sniffer 這種攻擊手段，以便得到更多的信息。如果這樣的話就能捕獲網(wǎng)絡和其他網(wǎng)絡進行身份鑒別的過程 網(wǎng)絡嗅探器利用的是共享式的網(wǎng)絡傳輸介質(zhì)。共享即意味著網(wǎng)絡中的一臺機器可以嗅探到傳遞給本網(wǎng)段 (沖突域 )中的所有機器的報文。網(wǎng)絡嗅探器通過將網(wǎng)卡設置為混雜模式來實現(xiàn)對網(wǎng)絡的嗅探。 一個實際的主機系統(tǒng)中，數(shù)據(jù)的收發(fā)是由網(wǎng)卡來完成的，當網(wǎng)卡接收到傳輸來的數(shù)據(jù)包時，網(wǎng)卡內(nèi)的單片程序首先解析數(shù)據(jù)包的目的網(wǎng)卡物理地址，然后根據(jù)網(wǎng)卡驅(qū)動程序設置的接收 模式判斷該不該接收，認為該接收就產(chǎn)生中斷信號通知CPU，認為不該接收就丟掉數(shù)據(jù)包，所以不該接收的數(shù)據(jù)包就被網(wǎng)卡截斷了，上層應用根本就不知道這個過程。 CPU如果得到網(wǎng)卡的中斷信號，則根據(jù)網(wǎng)卡的驅(qū)動程序設置的網(wǎng)卡中斷程序地址調(diào)用驅(qū)動程序接收數(shù)據(jù)，并將接收的數(shù)據(jù)交給上層協(xié)議軟件處理。 下面給出一個簡單的圖示，簡單理解數(shù)據(jù)傳送的原理： _________ /.........\ /..Inter.\ ++++.............++ UserA 路由 ............. UserB ++^++.............++ \.........../ \/ ++ 嗅探器 ++ UserAIP 地址 : UserBIP 地址 : 現(xiàn)在知道 UserA 要于 UserB 進行計算機通訊， UserA 需要為 到 的通訊建立一個 IP 包。這個 IP包在網(wǎng)絡上傳輸，它 必須能夠穿透路由器。因此， UserA 必須首先提交這個包給路由器。由每個路由器考查目地 IP 地址然后決定傳送路徑。 UserA 所知道的只是本地與路由的連接，和 UserB的 IP 地址。 UserA 并不清楚網(wǎng)絡的結(jié)構(gòu)情況和路由走向。 UserA 必須告訴路由預備發(fā)送的數(shù)據(jù)包的情況，以太網(wǎng)數(shù)據(jù)傳輸結(jié)構(gòu)大概是這樣的： +++++++ 目標 MAC +++++++ 源 MAC +++++++ 0800 ++++ .. .IP 包 . .. ++++++ CRC 校驗 +++++ 理解一下這個結(jié)構(gòu)， UserA 的計算機建立了一個包假設它由 100個字節(jié)的長度（我們假設一下， 20 個字節(jié)是 IP 信息， 20 個字節(jié)是 TCP 信息，還有 60 個字節(jié)為傳送的數(shù)據(jù)）?，F(xiàn)在把這個包發(fā)給以太網(wǎng) ,放 14 個字節(jié)在目地 MAC 地址之前，源 MAC 地址，還要置一個 0x0800 的標記，他指示出了 TCP/IP 棧后的數(shù)據(jù)結(jié)構(gòu)。同時，也附加了 4個字節(jié)用于做 CRC校 驗（ CRC校驗用來檢查傳輸數(shù)據(jù)的正確性）。 現(xiàn)在發(fā)送數(shù)據(jù)到網(wǎng)絡。所有在網(wǎng)內(nèi)的計算機通過適配器都能夠發(fā)現(xiàn)這個數(shù)據(jù)片，其中也包括路由適配器，嗅探器和其他一些機器。通常，適配器都具有一塊芯片用來做結(jié)構(gòu)比較的，檢查結(jié)構(gòu)中的目地 MAC 地址和自己的 MAC 地址，如果不相同，則適配器會丟棄這個結(jié)構(gòu)。這個操作會由硬件來完成，所以，對于計算機內(nèi)的程序來說，整個過程時毫無察覺的。 當路由器的以太網(wǎng)適配器發(fā)現(xiàn)這個結(jié)構(gòu)后，它會讀取網(wǎng)絡信息，并且去掉前 14個字節(jié)，跟蹤 4 個字節(jié)。查找 0x8000 標記，然后對這個結(jié)構(gòu)進行處理（它將根據(jù) 網(wǎng)絡狀況推測出下一個最快路由節(jié)點，從而最快傳送數(shù)據(jù)到預定的目標地址）。 設想，只有路由機器能夠檢查這個結(jié)構(gòu)，并且所有其他的機器都忽略這個結(jié)構(gòu)，則嗅探器無論如何也無法檢測到這個結(jié)構(gòu)的。 sniffer 工作在網(wǎng)絡環(huán)境中的底層，它會攔截所有的正在網(wǎng)絡上傳送的數(shù)據(jù)，并且通過相應的軟件處理，可以實時分析這些數(shù)據(jù)的內(nèi)容，進而分析所處的網(wǎng)絡狀態(tài)和整體布局。值得注意的是： sniffer 是極其安靜的，它是一種消極的安全攻擊 。 snifffer 就是能夠捕獲網(wǎng)絡報文的設備。嗅探器的正當用處在于分析網(wǎng)絡的流量 ,以便找出所關(guān)心的網(wǎng)絡中潛在的問題。例如 ,假設網(wǎng)絡的某一段運行得不是很好 ,報文的發(fā)送比較慢 ,而我們又不知道問題出在什么地方 ,此時就可以用嗅探器來作出精確的問題判斷。 嗅探器在功能和設計方面有很多不同。有些只能分析一種協(xié)議，而另一些可能能夠分析幾百種協(xié)議。一般情況下，大多數(shù)的嗅探器至少能夠分析下面的協(xié)議： 三需求分析 需求說明 實現(xiàn) Sniffer 的基本功能。 Sniffer 是一種用于監(jiān)測網(wǎng)絡性能、使用情況的工具。 能夠偵聽所 有進出本主機的數(shù)據(jù)包，完整顯示數(shù)據(jù)包網(wǎng)絡層和傳輸層（ ICMP、IP、 TCP 和 UDP）的頭信息。比如，對 IP 頭而言，需要顯示版本、頭長度、服務類型、數(shù)據(jù)包長度、標識、 DF/MF 標志、段內(nèi)偏移、生存期、協(xié)議類型、源目的IP地址、選項內(nèi)容。要求顯示數(shù)據(jù)的實際含義； 偵聽來源于指定 IP 地址的數(shù)據(jù)，顯示接收到的 TCP 數(shù)據(jù)包的全部實際內(nèi)容。需要考慮一個 TCP 包劃分為多個 IP包傳輸?shù)那闆r； 功能驗證手段：在運行 Sniffer 的同時，執(zhí)行標準的 Ping、 Tel 和瀏覽網(wǎng)頁等操作，檢查 Sniffier 能否返回預期的結(jié)果。 需求分析 有于水平有限，不可能實現(xiàn)像 Sniffer 或者影音神探那樣復雜的設置和分析，所以我們只對抓取到的本機在網(wǎng)絡中的通信數(shù)據(jù) (如協(xié)議類型，源、目的地址和端口、數(shù)據(jù)包的大小等 )加以分析，實現(xiàn)一個簡單的網(wǎng)絡嗅探器。一個窗體顯示主頁面，另一個頁面顯示詳細的包信息。 詳細信息頁面，我們顯示一下信息： 開始時間：嗅探器抓取數(shù)據(jù)包的時間； 源端口：源目的 IP 地址 +端口號； 目的端口：目的 IP 地址 +端口號； 協(xié)議類型：只分析一下類型， GPG,ICMP,IDP,IGMP,IP,ND,PUP,TCP,UDP,其他的不再分 析； 版本信息：協(xié)議的版本； 生存時間：； 報頭大?。簣笪膱笫撞看笮。? 報文總長：整個數(shù)據(jù)報的大?。? 優(yōu)先級別：提供七個級別，分別是Routine=0,Priority=1,Immediate=2,Flash=3,FlashOverride=4,CRITICECP=5,InterworkControl=6,NetworkControl=7； 延遲： NormalDelay=0、 LowDelay=1； 吞吐量： NormalThroughput=0,HighThroughput=1； 可靠性： NormalReliability=0,HighReliability=1； 四、概要設計 編程環(huán)境 本軟件是在 VC++環(huán)境下編寫，使用 WinPcap 中定義的頭文件和 lib 文件為支持，運用 WinPcap 提供的數(shù)據(jù)包捕獲程序執(zhí)行核心操作。 模塊分析