【正文】 是很容易受到“中間服務(wù)器”方式的攻擊。1994年一個(gè)最大的嗅探器(Sniffer，網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽器)攻擊被發(fā)現(xiàn)，這次攻擊被人們普遍認(rèn)為是記載中最為嚴(yán)重的一次，使許多以FTP、Telnet或遠(yuǎn)程登陸的主機(jī)系統(tǒng)都受到了危害。 當(dāng)今網(wǎng)絡(luò)數(shù)據(jù)安全現(xiàn)狀計(jì)算機(jī)網(wǎng)絡(luò)的核心是網(wǎng)絡(luò)協(xié)議，所以研究協(xié)議與網(wǎng)絡(luò)安全的關(guān)系就是至關(guān)重要的?？梢赃@樣來定義網(wǎng)絡(luò)數(shù)據(jù)安全：所謂網(wǎng)絡(luò)數(shù)據(jù)安全，指的是網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和數(shù)據(jù)信息能夠受到保護(hù)，不會(huì)因?yàn)榕既换驉阂獾脑蚨獾狡茐?、更改、泄露，同時(shí)系統(tǒng)能夠連續(xù)、可靠地運(yùn)行，網(wǎng)絡(luò)服務(wù)不被中斷。廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。：任務(wù)書、開題報(bào)告、外文譯文、譯文原文（復(fù)印件）。學(xué)?？梢怨颊撐模ㄔO(shè)計(jì)）的全部或部分內(nèi)容。據(jù)我所知，除文中已經(jīng)注明引用的內(nèi)容外，本論文（設(shè)計(jì)）不包含其他個(gè)人已經(jīng)發(fā)表或撰寫過的研究成果。對本論文（設(shè)計(jì)）的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中作了明確說明并表示謝意。保密的論文（設(shè)計(jì)）在解密后適用本規(guī)定。、圖表要求：1）文字通順，語言流暢，書寫字跡工整，打印字體及大小符合要求，無錯(cuò)別字，不準(zhǔn)請他人代寫2）工程設(shè)計(jì)類題目的圖紙，要求部分用尺規(guī)繪制，部分用計(jì)算機(jī)繪制，所有圖紙應(yīng)符合國家技術(shù)標(biāo)準(zhǔn)規(guī)范。網(wǎng)絡(luò)安全涉及的內(nèi)容既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。但在現(xiàn)實(shí)中，絕對安全的網(wǎng)絡(luò)是沒有的[1]?，F(xiàn)在網(wǎng)絡(luò)中所使用的協(xié)議都是較早前設(shè)計(jì)的，許多協(xié)議的實(shí)現(xiàn)都是基于一種非常友好的、通信的雙方充分信任的基礎(chǔ)。在這件事故中，嗅探器只運(yùn)行了18個(gè)小時(shí)。所謂“中間服務(wù)器”攻擊方式，就是“中間服務(wù)器”冒充真正的服務(wù)器接收用戶傳給服務(wù)器的數(shù)據(jù)，然后再冒充用戶把數(shù)據(jù)傳給真正的服務(wù)器。據(jù)統(tǒng)計(jì)，目前網(wǎng)絡(luò)攻擊手段有數(shù)千種之多；美國商業(yè)雜志《信息周刊》公布的一項(xiàng)調(diào)查報(bào)告稱，黑客攻擊和病毒等安全問題在2000年就造成了上萬億美元的經(jīng)濟(jì)損失，在全球范圍內(nèi)每數(shù)秒鐘就發(fā)生一起針對網(wǎng)絡(luò)的不同形式的攻擊事件。有人說，局域網(wǎng)中傳輸?shù)牟皇恰皫保‵rame）嗎？沒錯(cuò)，但是TCP/IP協(xié)議是工作在OSI模型第三層（網(wǎng)絡(luò)層），第四層（傳輸層）上的，而幀是工作在第二層（數(shù)據(jù)鏈路層）。這里，產(chǎn)品包裝盒相當(dāng)于數(shù)據(jù)包，里面放著的產(chǎn)品相當(dāng)于可用的數(shù)據(jù)，而專用紙箱就相當(dāng)于幀，且一個(gè)幀中只有一個(gè)數(shù)據(jù)包。如果能把數(shù)據(jù)包捕獲，通過分析這些數(shù)據(jù)，我們就可以知道網(wǎng)絡(luò)中這些數(shù)據(jù)包傳輸?shù)男畔?。從廣義的角度上看，一個(gè)包捕獲機(jī)制包含三個(gè)主要部分：首先是最底層針對特定操作系統(tǒng)的包捕獲機(jī)制，然后是最高層針對用戶程序的接口，第三部分是包過濾機(jī)制。值得注意的是，包捕獲機(jī)制并不影響操作系統(tǒng)對數(shù)據(jù)包的網(wǎng)絡(luò)棧處理。 網(wǎng)絡(luò)數(shù)據(jù)包的捕獲方法 原始套接字套接字[3]（Sock）是網(wǎng)絡(luò)應(yīng)用編程接口。通過原始套接字,可以更加自如地控制Windows下的多種協(xié)議,而且能夠?qū)W(wǎng)絡(luò)底層的傳輸機(jī)制進(jìn)行控制。LibPcap是一種與系統(tǒng)無關(guān),采用分組捕獲機(jī)制的分組捕獲函數(shù)庫,用于訪問數(shù)據(jù)鏈路層,它在不同的平臺上采用統(tǒng)一的編程接口,使用LibPcap編寫的程序可以自由地跨平臺使用。WinPcap是集成于Windows95,98,ME,NT,2000和XP操作系統(tǒng)的設(shè)備驅(qū)動(dòng)程序,它可以從網(wǎng)卡捕獲或者發(fā)送原始數(shù)據(jù),同時(shí)能夠過濾并且倉儲(chǔ)數(shù)據(jù)包。這個(gè)包用到了LibPcap和原始套接字API。 WinPcap研究WinPcap是windows平臺下一個(gè)免費(fèi)、公共的網(wǎng)絡(luò)訪問系統(tǒng)，是為Linux下的Libpcap移植到Windows平臺下實(shí)現(xiàn)數(shù)據(jù)包捕獲而設(shè)計(jì)的函數(shù)庫，在設(shè)計(jì)WinPcap時(shí)參照了Libpcap，使用方法也與Libpcap相似，基于Libpcap的程序可以很容易的移植到Windows平臺下。WinPcap的主要功能在于獨(dú)立于主機(jī)協(xié)議（如TCP/IP)而發(fā)送和接收原始數(shù)據(jù)包，也就是說，WinPcap不能阻塞，過濾或控制其他應(yīng)用程序數(shù)據(jù)包的發(fā)收，它僅僅只是監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)包。它還可以在使用交換機(jī)的網(wǎng)絡(luò)上監(jiān)聽，不過要在交換機(jī)上裝它的一個(gè)軟件。對于一般的要與unix平臺上libpcap兼容的開發(fā)來說。NPF與操作系統(tǒng)有關(guān)，WinPcap開發(fā)組針對不同的Windows操作系統(tǒng)提供了不同版本的NPF。不同的Windows版本在用戶態(tài)和內(nèi)核態(tài)之間提供互不相同的接口，提供一個(gè)與系統(tǒng)無關(guān)的API。、定義用戶級緩沖以及包注入等高級功能?？梢圆槐蛔枞?）int pcap_next_ex(pcap_t *, struct pcap_pkthdr **, const u_char **)捕獲數(shù)據(jù)包7）int pcap_pile(pcap_t *, struct bpf_program *, const char *, int, bpf_u_int32)編譯一個(gè)過濾設(shè)備，與pcap _ setfilter () 配合使用8）int pcap_setfilter(pcap_t *, struct bpf_program *)用來聯(lián)系一個(gè)在內(nèi)核驅(qū)動(dòng)上過濾的過濾器,這時(shí)所有網(wǎng)絡(luò)數(shù)據(jù)包都將流經(jīng)過濾器，并拷貝到應(yīng)用程序中3 系統(tǒng)設(shè)計(jì) 捕獲數(shù)據(jù)的分析與還原對捕獲數(shù)據(jù)的解析，其主要依據(jù)是網(wǎng)絡(luò)協(xié)議中定義的各種包的類型和包的格式，下面依次對這些數(shù)據(jù)的格式與協(xié)議進(jìn)行介紹與分析。 IP報(bào)文的分析與還原首先來看下IP數(shù)據(jù)報(bào)格式[8]，如圖31所示：圖31 IP數(shù)據(jù)報(bào)格式版本：4位，標(biāo)識IP版本號。由圖31可知首部所占字節(jié)數(shù)為（4+4+8+16+16+3+13+8+8+16+32+32+0）＝160bit，正好是32bit的5倍，所以首部長度最小為5。TOS：4位，分別表示最小延時(shí)、最大吞吐量、最高可靠性、最小費(fèi)用。利用首部長度字段和總長度字段，就可以知道I P數(shù)據(jù)報(bào)中數(shù)據(jù)內(nèi)容的起始位置和長度。IP軟件在存儲(chǔ)器中維持一個(gè)計(jì)數(shù)器，每產(chǎn)生一個(gè)數(shù)據(jù)報(bào)，計(jì)數(shù)器就加1，并將此值賦給標(biāo)識字段。在分片和重組技術(shù)中將會(huì)用到。標(biāo)志字段中間的一位記為DF（Don39。片偏移指出：較長的分組在分片后，某片在原分組中的相對位置，也就是說，相對用戶數(shù)據(jù)字段的起點(diǎn)，該片從何處開始。最初的設(shè)計(jì)是以秒作為TTL的單位。一般可以理解為經(jīng)過路由器的最大數(shù)目。首部校驗(yàn)和：16位，首部檢驗(yàn)和字段是根據(jù)IP首部計(jì)算的檢驗(yàn)和碼，它不對首部后面的數(shù)據(jù)進(jìn)行計(jì)算。由于接收方在計(jì)算過程中包含了發(fā)送方存在首部中的檢驗(yàn)和，因此，如果首部在傳輸過程中沒有發(fā)生任何差錯(cuò)，那么接收方計(jì)算的結(jié)果應(yīng)該為全1，如果結(jié)果不是全1（即檢驗(yàn)和錯(cuò)誤），那么IP就丟棄收到的數(shù)據(jù)報(bào)，但是不生成差錯(cuò)報(bào)文，由上層去發(fā)現(xiàn)丟失的數(shù)據(jù)報(bào)并進(jìn)行重傳。UDP數(shù)據(jù)報(bào)格式有首部和數(shù)據(jù)兩個(gè)部分，如圖32：圖32 UDP數(shù)據(jù)報(bào)格式首部很簡單，共8字節(jié)，如圖33：圖33 UDP首部包括：源端口（Source Port）：2字節(jié)，源端口號。盡管UDP校驗(yàn)和的基本計(jì)算方法與IP首部校驗(yàn)和的計(jì)算方法類似（16bit字的二進(jìn)制反碼和），但是它們之間存在不同的地方，UDP數(shù)據(jù)報(bào)長度可以為奇數(shù)字節(jié)，但是校驗(yàn)和的算法是把若干個(gè)16bit字相加。UDP數(shù)據(jù)報(bào)中的偽首部格式如圖34所示：圖34 UDP數(shù)據(jù)報(bào)的偽首部格式 TCP數(shù)據(jù)包的封裝TCP數(shù)據(jù)被封裝在一個(gè)IP數(shù)據(jù)報(bào)中[8]，如圖35所示：圖35 TCP數(shù)據(jù)在IP數(shù)據(jù)報(bào)中的封裝圖36顯示TCP首部的數(shù)據(jù)格式。圖37 ICMP數(shù)據(jù)在IP數(shù)據(jù)報(bào)中的封裝ICMP報(bào)文的類型很多，且各自又有各自的代碼，因此，ICMP并沒有一個(gè)統(tǒng)一的報(bào)文格式，不同的ICMP類別分別有不同的報(bào)文字段。4 實(shí)現(xiàn)與分析 WinPcap環(huán)境配置 WinPcap下載從從 WinPcap配置1） 安裝WinPcap驅(qū)動(dòng)，安裝完成后重啟電腦。 程序的實(shí)現(xiàn) 網(wǎng)絡(luò)數(shù)據(jù)捕獲的基本流程一個(gè)完整的基于WinPcap的網(wǎng)絡(luò)數(shù)據(jù)捕獲程序應(yīng)由兩部分組成[9]:內(nèi)核部分和用戶分析部分。圖41 基于WinPcap的網(wǎng)絡(luò)數(shù)據(jù)捕獲基本流程簡單地說來就是打開網(wǎng)卡,抓包,分析包。 char errbuf[PCAP_ERRBUF_SIZE]。 } /*打印列表*/ for(d=alldevs。 else printf( (No description available)\n)。}/*打開設(shè)備*/if((adhandle=pcap_open (dname, // 設(shè)備名65536,//保證能捕獲到數(shù)據(jù)鏈路層上的每個(gè)數(shù)據(jù)包的全部內(nèi)容PCAP_OPENFLAG_PROMISCUOUS, // 混雜模式1000, // 讀取超時(shí)時(shí)間NULL, // 遠(yuǎn)程機(jī)器驗(yàn)證errbuf // 錯(cuò)誤緩沖池))==NULL)/* 開始捕獲 */pcap_loop(adhandle, 0, packet_handler, NULL)。 ip_header *ih。 u_int ip_len。header)。 0xf) * 4。//將整個(gè)包的大小值放到一個(gè)向量mycount里面 PACKET *pkt = new PACKET。 if(int(ihproto) == 17) //如果是UDP包就從解開UDP頭并將其賦給uh { uh = (udp_hea