【正文】 原理 5 WinPcap 的體系結(jié)構(gòu) 4 WinPcap 的原理 文中結(jié)合該軟件包的結(jié)構(gòu)與功能對(duì)包捕獲原理進(jìn)行了詳細(xì)的分析，并介紹了其在網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)中的應(yīng)用。網(wǎng)絡(luò)監(jiān)聽技術(shù)是系統(tǒng)安全領(lǐng)域內(nèi)一個(gè)非常敏感的話題，也是一項(xiàng)重要的技術(shù)，具有很強(qiáng)的現(xiàn)實(shí) 應(yīng)用背景。網(wǎng)絡(luò)監(jiān)聽是網(wǎng)絡(luò)監(jiān)測、負(fù)載分析等管理活動(dòng)常用的方法，同時(shí)也是黑客非法竊取信息的手段。該系統(tǒng)的基本原理是通過調(diào) 用 WinPcap庫捕獲本地網(wǎng)絡(luò)上的所有數(shù)據(jù)包，然后對(duì)數(shù)據(jù)包進(jìn)行協(xié)議分析，從而可以實(shí)時(shí)地監(jiān)控網(wǎng)絡(luò)。 1 課題意義 2 軟件數(shù)據(jù)截取工具介紹 6 WinPcap 的功能與新特性 8 在 windows 情況下捕獲數(shù)據(jù)包的結(jié)構(gòu) 11 TCP 27 截獲數(shù)據(jù)包： 28 致 謝 ................................................................................................................................ 31 參考文獻(xiàn) .......................................................................................................................... 32 附錄 .................................................................................................................................. 33 基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 1 1 引言 由于互聯(lián)網(wǎng)的發(fā)展，整個(gè)世界經(jīng)濟(jì)正在迅速地融為一體，而整個(gè)國家猶如一部巨大的網(wǎng)絡(luò)機(jī)器。遺憾的是，當(dāng)網(wǎng)絡(luò)給人們提供便利的同 時(shí)，網(wǎng)絡(luò)技術(shù)的發(fā)展方向似乎都趨向于網(wǎng)絡(luò)的便利性和實(shí)用性，因而留下了太多的技術(shù)、管理和基礎(chǔ)設(shè)施的漏洞。一般的做法是在一 定的網(wǎng)段上安裝網(wǎng)絡(luò)監(jiān)視系統(tǒng)或網(wǎng)絡(luò)分析儀來獲取網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行分析，以便找出錯(cuò)誤的原因，解決網(wǎng)絡(luò)的故障。 網(wǎng)絡(luò)監(jiān)聽與包過濾技術(shù)是網(wǎng)絡(luò)入侵的核心技術(shù)，也是網(wǎng)絡(luò)安全協(xié)議技術(shù)研究的核心技術(shù) .監(jiān)聽技術(shù)最初 是提供給系統(tǒng)管理員用的，主要是對(duì)網(wǎng)絡(luò)的狀態(tài)、信息流動(dòng)和信息內(nèi)容等進(jìn)行監(jiān)視，相應(yīng)的工具被稱為網(wǎng)絡(luò)分析儀 .。到了唐代，又出現(xiàn)了一種 “地聽 ”器 ， 能清晰地聽到 30 里外的馬蹄聲。伴隨著網(wǎng)絡(luò)的發(fā)展，也產(chǎn)生了各種各樣的問題，陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 2 其中安全問題尤為突出。 數(shù)據(jù)庫系統(tǒng) 作為三大 基礎(chǔ)軟件 之一并不是在計(jì)算機(jī)誕生的時(shí)候就同時(shí)產(chǎn)生的，隨著信息技術(shù) 的發(fā)展，傳統(tǒng)文件系統(tǒng)已經(jīng)不能滿足人們的需要， 1961年，美國 通用電氣公司成功開發(fā)了世界上第一個(gè)數(shù)據(jù)庫系統(tǒng) IDS(Integrated Data Store)，奠定了數(shù)據(jù)庫的基礎(chǔ)。 究其原因，主要是因?yàn)檫@些違規(guī)行為與傳統(tǒng)的攻擊行為不同，對(duì)內(nèi)部的違規(guī)行為無法利用攻擊機(jī)理和漏洞機(jī)理進(jìn)行分析，這就導(dǎo)致了那些抵御外部入侵的產(chǎn)品無用武之地。研究網(wǎng)絡(luò)監(jiān)聽系統(tǒng)對(duì)于網(wǎng)絡(luò)信息監(jiān)管與信息安全有著重要意義。它對(duì)網(wǎng)絡(luò)上的所有數(shù)據(jù)進(jìn)行捕獲，一方面對(duì)數(shù)據(jù)包進(jìn)行檢查分析，以便找出我們所關(guān)心的網(wǎng)絡(luò)中潛在的問題，對(duì)網(wǎng)絡(luò)故障做出精確定位，幫助管理員解決網(wǎng)絡(luò)的故障和性能問題；另一方面它又是黑客竊聽網(wǎng)絡(luò)的工具，黑客利用數(shù)據(jù)包中攜帶的數(shù)據(jù)直基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 3 接或間接獲取的機(jī)密信息。因而它未來的發(fā)展將在局域網(wǎng)中發(fā)揮著舉足輕重的作用，對(duì)于維護(hù)整個(gè)網(wǎng)絡(luò)的安全和性能穩(wěn)定有著直接的影響。有軟件實(shí)現(xiàn)的便攜式終端，也有硬件實(shí)現(xiàn)的網(wǎng)絡(luò)分析儀。下面將介紹相應(yīng)的由硬件實(shí)現(xiàn)的 sniffer。一般的情況下，大型的企業(yè)網(wǎng)絡(luò)都會(huì)使用軟硬件結(jié)合的網(wǎng)絡(luò)分析儀。不幸的是由于網(wǎng)絡(luò)監(jiān)聽能有效的截獲網(wǎng)絡(luò)上的數(shù)據(jù)，它也成為了黑客使用最多的法。在 包頭 中包括有應(yīng)該接收數(shù)據(jù)包的主機(jī)的正確地址，因?yàn)橹挥信c數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才能接收到信息包，但是當(dāng)主機(jī)工作在監(jiān)聽模式下的話不管數(shù)據(jù)包中的目標(biāo)物理地址是什么，主機(jī)都將可以接收到。在網(wǎng)絡(luò)接口由 IP 層來的帶有 IP 地址的數(shù)據(jù)包又增加了一部分以太禎的禎頭的信息。 Ether 中填寫了物理地址的禎從網(wǎng)絡(luò)接口中，也就是從網(wǎng)卡中發(fā)送出去傳送到物理的線路上。 WinPcap 的原理 winpcap 簡介 WinPcap [2]是由伯克利分組捕獲庫派生而來的分組捕獲庫，它是在 Windows 操作平臺(tái)上來實(shí)現(xiàn)對(duì)底層包的截取過濾。 是對(duì)這個(gè) BPF 驅(qū)動(dòng)程序進(jìn)行訪問的 API 接口，同時(shí)它有一套符合 Libpcap 接口（ UNIX 下的捕獲函數(shù)庫）的函數(shù)庫 。不同版本的 Windows 系統(tǒng) 都有自己的內(nèi)核模塊和用戶層模塊。它提供了更加高層、抽象的函數(shù)。 WinPcap 的出現(xiàn)具有一定的必然性。微軟研究院贊助了意 大利一家開發(fā)機(jī)構(gòu)，為 Win32 平臺(tái)底層網(wǎng)絡(luò)分析開發(fā)了一套有力而且易擴(kuò)展的體系結(jié)構(gòu) —— WinPcap，它可以將 Unix 支持的數(shù)據(jù)包捕獲功能加到 Win32 系統(tǒng)中，陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 6 從而彌補(bǔ)了 Windows 操作系統(tǒng)這方面的欠缺。經(jīng)過 Berkeley Packet Filter 的數(shù)據(jù)包被拷貝到 Kernel Buffer 中，它分為兩個(gè) buffer： store buffer 和 hold buffer。 Userlevel buffer存儲(chǔ)從核心層進(jìn)來的數(shù)據(jù)包，它可防止用戶 直接訪問內(nèi)核管理的內(nèi)存。但是 Libpcap 并不能夠發(fā)送數(shù)據(jù)包或者統(tǒng)計(jì)數(shù)據(jù)包。另外，它們?cè)诮Y(jié)構(gòu)上也有重要的區(qū)別： Netgroup Packet Filter 采用循環(huán) buffer，這樣使得 buffer 空間可以得到充分利用，大大提高了效率。 圖 22 Winpcap 結(jié)構(gòu)圖 第一個(gè)模塊 NPF(Netgroup Packet Filter)，是一個(gè)虛擬設(shè)備驅(qū)動(dòng)程序文件。 可以解決這些差異。Winpcap 的實(shí)質(zhì)是用了我們后面說的 NDIS，將自己注冊(cè)為一個(gè)協(xié)議處理驅(qū)動(dòng)來實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的截獲。 Winpcap 的缺點(diǎn)在于：不能阻塞、過濾或控制其他應(yīng)用程序?qū)?shù)據(jù)報(bào)收發(fā)，它僅僅只是監(jiān)聽 共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)。而且 WinPcap 還實(shí)現(xiàn)了統(tǒng)計(jì)模式的工作方式：它不需要把數(shù)據(jù)包傳送到應(yīng)用程序，避免了大量的數(shù)據(jù)包拷貝操作。 標(biāo)準(zhǔn)的以太網(wǎng)采用的是持續(xù) CSMA 的方式，正是由于以太網(wǎng)采用這種廣播信道爭用的方式，使得各個(gè)站點(diǎn)可以獲得其他站點(diǎn)發(fā)送的數(shù)據(jù)。網(wǎng)卡主要的工作是完成對(duì)于總線當(dāng)前狀態(tài)的探測，確定是否進(jìn)行數(shù)據(jù)的傳送，判斷每個(gè)物理數(shù)據(jù)幀目的地是否為本站地址，如果不匹配，則說明不是發(fā)送到本站的而將它丟棄。但是，如果將網(wǎng)卡設(shè)置為多播傳送模式，它可以接收所有的多播傳送幀，而不論它是不是組內(nèi)成員。如果采用混雜 模式，一個(gè)站點(diǎn)的網(wǎng)卡將接受同一網(wǎng)絡(luò)內(nèi)所有站點(diǎn)所發(fā)送的數(shù)據(jù)包這樣就可以到達(dá)對(duì)于網(wǎng)絡(luò)信息監(jiān)視捕獲的目的。 NDIS 還支持多種工作模式，支持多處理器，提供一個(gè)完備的 NDIS 庫 (Library)。 (c) 當(dāng) Packet filter 監(jiān)聽到有數(shù)據(jù)包到達(dá)時(shí)， NDIS 中間驅(qū)動(dòng)程序首先調(diào)用分組驅(qū)動(dòng)程序，該程序?qū)?shù)據(jù)傳遞給每一個(gè)參與進(jìn)程的分組過濾程序。監(jiān)聽程序可以直接從用戶緩沖區(qū)中讀取捕獲的數(shù)據(jù)包。網(wǎng)絡(luò)體系結(jié)構(gòu)是從功能 上 來描述計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu) 。而將計(jì)算機(jī) 網(wǎng)絡(luò)層 次模型和各層協(xié)議的集合 定義 為計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu) (Network Architecture)。 IP 數(shù)據(jù)包是不可靠的，因?yàn)?IP 并沒有做任何事情來確認(rèn)數(shù)據(jù)包是按順序發(fā) 送的或者沒有被破壞。 IP 確認(rèn)包含一個(gè)選項(xiàng)，叫作 IP source routing，可以用來指定一條源地址和目的地址之間的直接路徑。 陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 12 TCP TCP 是面向連接的通信協(xié)議，通過 三次握手 建立連接，通訊完成時(shí)要拆除連接，由于 TCP 是面向連接的所以只能用于點(diǎn)對(duì)點(diǎn)的通訊。TCP 將包排序并進(jìn)行錯(cuò)誤檢查，同時(shí)實(shí)現(xiàn)虛電路間的連接。 面向連接的服務(wù)（例如 Tel、 FTP、 rlogin、 X Windows 和 SMTP）需要高度的可靠性，所以它們使用了 TCP。 UDP 與 TCP 位于同一層，但它不管數(shù)據(jù)包的順序、錯(cuò)誤或重發(fā)。 欺騙 UDP 包比欺騙 TCP 包更容易，因?yàn)?UDP 沒有建立初始化連接 (也可以稱為握手 )(因?yàn)樵趦蓚€(gè)系統(tǒng)間沒有虛電路 )，也就是說，與 UDP 相關(guān)的服務(wù)面臨著更大的危險(xiǎn)。另外，如果路徑不可用了， ICMP 可以使TCP 連接 ?體面地 ?終止。客戶程序向服務(wù)進(jìn)程寫入信息，服務(wù)進(jìn)程讀出信息并發(fā)出響應(yīng)，客戶程序讀出響應(yīng)并向用戶報(bào)告。 (c) 源端口 源系統(tǒng)上的連接的端口。服務(wù)進(jìn)程通常使用一個(gè)固定的端口，例如， SMTP 使用 2 Xwindows使用 6000。就好像每一個(gè)住宅都有唯一的門牌一樣，才不至于在傳輸資料時(shí)出現(xiàn)混亂。而我們要確認(rèn)網(wǎng)絡(luò)上的每一臺(tái)計(jì)算機(jī)，靠的就是能唯一標(biāo)識(shí)該計(jì)算機(jī)的網(wǎng)絡(luò)地址，這個(gè)地址就叫做 IP（ Inter Protocol 的簡寫）地址，即用 Inter 協(xié)議語言表示的地址。 (a) A 類地址 陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 14 A 類地址的表示范圍為： ~，默認(rèn)網(wǎng)絡(luò)屏蔽為： ； A類地址分配給規(guī)模特別大的網(wǎng)絡(luò)使用。 到 是保留地址，用做循環(huán)測試用的。 A 類地址適用于有大量主機(jī)的大型網(wǎng)絡(luò)。如果你的 IP 地址是自動(dòng)獲取 IP 地址，而你在網(wǎng)絡(luò)上又沒有找到可用的 DHCP 服務(wù)器，這時(shí)你將會(huì)從 到 中臨時(shí)獲得一個(gè) IP 地址。 C 類網(wǎng)絡(luò)用前三組數(shù)字表示網(wǎng)絡(luò)的地址，最后一組數(shù)字作為網(wǎng)絡(luò)上的主機(jī)地址。在這個(gè)范圍內(nèi)的 IP 地址不能被路由到 Inter骨干網(wǎng)上； Inter 路由器將丟棄該私有地址。但這兩類地址用途比較特殊，在這里只是簡單介紹一下： D 類地址不分網(wǎng)絡(luò)地址 和主機(jī)地址，它的第 1 個(gè)字節(jié)的前四位固定為 1110。 E 類地址保留給將來使用。如果有兩臺(tái)計(jì)算機(jī)的 IP 地址相同，則會(huì)引起異?，F(xiàn)象，無論哪臺(tái)計(jì)算機(jī)都將無法正常工作。 (1) 注意事項(xiàng) 內(nèi)部地址和外部地址在局域網(wǎng)的 IP 地址分配中，并沒有區(qū)別，都可以使用。在完整一組 C 類地址中如 子網(wǎng)掩碼 ， 稱之網(wǎng)絡(luò)編碼（ Network Number，將 IP 地址和子網(wǎng)掩碼作和），而 是廣播的 IP 地址，所以 這兩者皆不能使用，實(shí)際只能使用 等 254 個(gè) IP 地址，這是以 作子網(wǎng)掩碼的結(jié)果，而所謂 Sub Msk 尚可將整組 C 類地址分成數(shù)組網(wǎng)絡(luò)編碼，這要在子網(wǎng)掩碼上作手腳，若是要將整組 C 類地址分成 2 個(gè)網(wǎng)絡(luò)編碼那子網(wǎng)掩碼設(shè)定為 ，若是要將整組 C 類分成 8 組網(wǎng)絡(luò)編碼則子網(wǎng)掩碼要為 ，這是怎么來的，由以上知道網(wǎng)絡(luò)編碼是由 IP 地址和子網(wǎng)掩碼作 AND 而來的，而且將子網(wǎng)掩碼以二進(jìn)制表示法知道是 1 的會(huì)保 留，而為 0 的去掉 以上是以 為子網(wǎng)掩碼的結(jié)果，網(wǎng)絡(luò)編碼是 ，若是使用基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 17 作子網(wǎng)掩碼結(jié)果便有所不同 此時(shí)網(wǎng)絡(luò)編碼變成了 ，這便是子網(wǎng)。它表示 IP 地址的代碼序列中不可更加需要改變的部分。 在申請(qǐng) IP 地址時(shí)，由它表示所申請(qǐng)到的 IP 地址的網(wǎng)絡(luò)地址和主機(jī)地址。 主機(jī)編碼（主機(jī)號(hào)）：經(jīng)過子網(wǎng)劃分后，子網(wǎng)掩碼序列中 “0”對(duì)應(yīng)的 IP 地址部分。同時(shí)，它 將網(wǎng)絡(luò)地址全部確定為網(wǎng)絡(luò)編碼。 (c) 輸入 ping ，觀查網(wǎng)卡是否能轉(zhuǎn)發(fā)數(shù)據(jù)，如果出現(xiàn) “Request timed out”，表明配置差錯(cuò)或網(wǎng)絡(luò)有問題。 如果你的計(jì)算機(jī)通過了全部測試，則說明網(wǎng)絡(luò)正常，否則網(wǎng)絡(luò)可能有不同程度的問題。所以 TCP/IP 協(xié)議成為一種聯(lián)合各種硬件和軟件的實(shí)用系統(tǒng)。 (9) 協(xié)議優(yōu)勢(shì) 在長期的發(fā)展過程中， IP 逐漸取代其他網(wǎng)絡(luò)。下面是一個(gè)普通的過程： 一個(gè)專有的網(wǎng)絡(luò)開發(fā)出來用于特定目的。 通過一點(diǎn)點(diǎn)的投資 IP 基礎(chǔ)設(shè)施逐漸在專有數(shù)據(jù)網(wǎng)絡(luò)周邊出現(xiàn)。許多用戶開始維護(hù)使用 IP 替代品的復(fù)制品。 (10) 協(xié)議重置 如果需要重新安裝 TCP/IP 以使 TCP/IP 堆?；謴?fù)為原始狀態(tài)。