【正文】 原理 5 WinPcap 的體系結(jié)構(gòu) 4 WinPcap 的原理 文中結(jié)合該軟件包的結(jié)構(gòu)與功能對包捕獲原理進行了詳細的分析，并介紹了其在網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)中的應(yīng)用。網(wǎng)絡(luò)監(jiān)聽技術(shù)是系統(tǒng)安全領(lǐng)域內(nèi)一個非常敏感的話題，也是一項重要的技術(shù)，具有很強的現(xiàn)實 應(yīng)用背景。網(wǎng)絡(luò)監(jiān)聽是網(wǎng)絡(luò)監(jiān)測、負載分析等管理活動常用的方法，同時也是黑客非法竊取信息的手段。該系統(tǒng)的基本原理是通過調(diào) 用 WinPcap庫捕獲本地網(wǎng)絡(luò)上的所有數(shù)據(jù)包，然后對數(shù)據(jù)包進行協(xié)議分析，從而可以實時地監(jiān)控網(wǎng)絡(luò)。 1 課題意義 2 軟件數(shù)據(jù)截取工具介紹 6 WinPcap 的功能與新特性 8 在 windows 情況下捕獲數(shù)據(jù)包的結(jié)構(gòu) 11 TCP 27 截獲數(shù)據(jù)包： 28 致 謝 ................................................................................................................................ 31 參考文獻 .......................................................................................................................... 32 附錄 .................................................................................................................................. 33 基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 1 1 引言 由于互聯(lián)網(wǎng)的發(fā)展，整個世界經(jīng)濟正在迅速地融為一體，而整個國家猶如一部巨大的網(wǎng)絡(luò)機器。遺憾的是，當(dāng)網(wǎng)絡(luò)給人們提供便利的同 時，網(wǎng)絡(luò)技術(shù)的發(fā)展方向似乎都趨向于網(wǎng)絡(luò)的便利性和實用性，因而留下了太多的技術(shù)、管理和基礎(chǔ)設(shè)施的漏洞。一般的做法是在一 定的網(wǎng)段上安裝網(wǎng)絡(luò)監(jiān)視系統(tǒng)或網(wǎng)絡(luò)分析儀來獲取網(wǎng)絡(luò)上的數(shù)據(jù)包進行分析，以便找出錯誤的原因，解決網(wǎng)絡(luò)的故障。 網(wǎng)絡(luò)監(jiān)聽與包過濾技術(shù)是網(wǎng)絡(luò)入侵的核心技術(shù)，也是網(wǎng)絡(luò)安全協(xié)議技術(shù)研究的核心技術(shù) .監(jiān)聽技術(shù)最初 是提供給系統(tǒng)管理員用的，主要是對網(wǎng)絡(luò)的狀態(tài)、信息流動和信息內(nèi)容等進行監(jiān)視，相應(yīng)的工具被稱為網(wǎng)絡(luò)分析儀 .。到了唐代，又出現(xiàn)了一種 “地聽 ”器 ， 能清晰地聽到 30 里外的馬蹄聲。伴隨著網(wǎng)絡(luò)的發(fā)展，也產(chǎn)生了各種各樣的問題，陜西科技大學(xué)畢業(yè)設(shè)計說明書 2 其中安全問題尤為突出。 數(shù)據(jù)庫系統(tǒng) 作為三大 基礎(chǔ)軟件 之一并不是在計算機誕生的時候就同時產(chǎn)生的，隨著信息技術(shù) 的發(fā)展，傳統(tǒng)文件系統(tǒng)已經(jīng)不能滿足人們的需要， 1961年，美國 通用電氣公司成功開發(fā)了世界上第一個數(shù)據(jù)庫系統(tǒng) IDS(Integrated Data Store)，奠定了數(shù)據(jù)庫的基礎(chǔ)。 究其原因，主要是因為這些違規(guī)行為與傳統(tǒng)的攻擊行為不同，對內(nèi)部的違規(guī)行為無法利用攻擊機理和漏洞機理進行分析，這就導(dǎo)致了那些抵御外部入侵的產(chǎn)品無用武之地。研究網(wǎng)絡(luò)監(jiān)聽系統(tǒng)對于網(wǎng)絡(luò)信息監(jiān)管與信息安全有著重要意義。它對網(wǎng)絡(luò)上的所有數(shù)據(jù)進行捕獲，一方面對數(shù)據(jù)包進行檢查分析，以便找出我們所關(guān)心的網(wǎng)絡(luò)中潛在的問題，對網(wǎng)絡(luò)故障做出精確定位，幫助管理員解決網(wǎng)絡(luò)的故障和性能問題；另一方面它又是黑客竊聽網(wǎng)絡(luò)的工具，黑客利用數(shù)據(jù)包中攜帶的數(shù)據(jù)直基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 3 接或間接獲取的機密信息。因而它未來的發(fā)展將在局域網(wǎng)中發(fā)揮著舉足輕重的作用，對于維護整個網(wǎng)絡(luò)的安全和性能穩(wěn)定有著直接的影響。有軟件實現(xiàn)的便攜式終端，也有硬件實現(xiàn)的網(wǎng)絡(luò)分析儀。下面將介紹相應(yīng)的由硬件實現(xiàn)的 sniffer。一般的情況下，大型的企業(yè)網(wǎng)絡(luò)都會使用軟硬件結(jié)合的網(wǎng)絡(luò)分析儀。不幸的是由于網(wǎng)絡(luò)監(jiān)聽能有效的截獲網(wǎng)絡(luò)上的數(shù)據(jù)，它也成為了黑客使用最多的法。在 包頭 中包括有應(yīng)該接收數(shù)據(jù)包的主機的正確地址，因為只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺主機才能接收到信息包，但是當(dāng)主機工作在監(jiān)聽模式下的話不管數(shù)據(jù)包中的目標(biāo)物理地址是什么，主機都將可以接收到。在網(wǎng)絡(luò)接口由 IP 層來的帶有 IP 地址的數(shù)據(jù)包又增加了一部分以太禎的禎頭的信息。 Ether 中填寫了物理地址的禎從網(wǎng)絡(luò)接口中，也就是從網(wǎng)卡中發(fā)送出去傳送到物理的線路上。 WinPcap 的原理 winpcap 簡介 WinPcap [2]是由伯克利分組捕獲庫派生而來的分組捕獲庫，它是在 Windows 操作平臺上來實現(xiàn)對底層包的截取過濾。 是對這個 BPF 驅(qū)動程序進行訪問的 API 接口，同時它有一套符合 Libpcap 接口（ UNIX 下的捕獲函數(shù)庫）的函數(shù)庫 。不同版本的 Windows 系統(tǒng) 都有自己的內(nèi)核模塊和用戶層模塊。它提供了更加高層、抽象的函數(shù)。 WinPcap 的出現(xiàn)具有一定的必然性。微軟研究院贊助了意 大利一家開發(fā)機構(gòu)，為 Win32 平臺底層網(wǎng)絡(luò)分析開發(fā)了一套有力而且易擴展的體系結(jié)構(gòu) —— WinPcap，它可以將 Unix 支持的數(shù)據(jù)包捕獲功能加到 Win32 系統(tǒng)中，陜西科技大學(xué)畢業(yè)設(shè)計說明書 6 從而彌補了 Windows 操作系統(tǒng)這方面的欠缺。經(jīng)過 Berkeley Packet Filter 的數(shù)據(jù)包被拷貝到 Kernel Buffer 中，它分為兩個 buffer： store buffer 和 hold buffer。 Userlevel buffer存儲從核心層進來的數(shù)據(jù)包，它可防止用戶 直接訪問內(nèi)核管理的內(nèi)存。但是 Libpcap 并不能夠發(fā)送數(shù)據(jù)包或者統(tǒng)計數(shù)據(jù)包。另外，它們在結(jié)構(gòu)上也有重要的區(qū)別： Netgroup Packet Filter 采用循環(huán) buffer，這樣使得 buffer 空間可以得到充分利用，大大提高了效率。 圖 22 Winpcap 結(jié)構(gòu)圖 第一個模塊 NPF(Netgroup Packet Filter)，是一個虛擬設(shè)備驅(qū)動程序文件。 可以解決這些差異。Winpcap 的實質(zhì)是用了我們后面說的 NDIS，將自己注冊為一個協(xié)議處理驅(qū)動來實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的截獲。 Winpcap 的缺點在于：不能阻塞、過濾或控制其他應(yīng)用程序?qū)?shù)據(jù)報收發(fā)，它僅僅只是監(jiān)聽 共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)。而且 WinPcap 還實現(xiàn)了統(tǒng)計模式的工作方式：它不需要把數(shù)據(jù)包傳送到應(yīng)用程序，避免了大量的數(shù)據(jù)包拷貝操作。 標(biāo)準(zhǔn)的以太網(wǎng)采用的是持續(xù) CSMA 的方式，正是由于以太網(wǎng)采用這種廣播信道爭用的方式，使得各個站點可以獲得其他站點發(fā)送的數(shù)據(jù)。網(wǎng)卡主要的工作是完成對于總線當(dāng)前狀態(tài)的探測，確定是否進行數(shù)據(jù)的傳送，判斷每個物理數(shù)據(jù)幀目的地是否為本站地址，如果不匹配，則說明不是發(fā)送到本站的而將它丟棄。但是，如果將網(wǎng)卡設(shè)置為多播傳送模式，它可以接收所有的多播傳送幀，而不論它是不是組內(nèi)成員。如果采用混雜 模式，一個站點的網(wǎng)卡將接受同一網(wǎng)絡(luò)內(nèi)所有站點所發(fā)送的數(shù)據(jù)包這樣就可以到達對于網(wǎng)絡(luò)信息監(jiān)視捕獲的目的。 NDIS 還支持多種工作模式，支持多處理器，提供一個完備的 NDIS 庫 (Library)。 (c) 當(dāng) Packet filter 監(jiān)聽到有數(shù)據(jù)包到達時， NDIS 中間驅(qū)動程序首先調(diào)用分組驅(qū)動程序，該程序?qū)?shù)據(jù)傳遞給每一個參與進程的分組過濾程序。監(jiān)聽程序可以直接從用戶緩沖區(qū)中讀取捕獲的數(shù)據(jù)包。網(wǎng)絡(luò)體系結(jié)構(gòu)是從功能 上 來描述計算機網(wǎng)絡(luò)結(jié)構(gòu) 。而將計算機 網(wǎng)絡(luò)層 次模型和各層協(xié)議的集合 定義 為計算機網(wǎng)絡(luò)體系結(jié)構(gòu) (Network Architecture)。 IP 數(shù)據(jù)包是不可靠的，因為 IP 并沒有做任何事情來確認數(shù)據(jù)包是按順序發(fā) 送的或者沒有被破壞。 IP 確認包含一個選項，叫作 IP source routing，可以用來指定一條源地址和目的地址之間的直接路徑。 陜西科技大學(xué)畢業(yè)設(shè)計說明書 12 TCP TCP 是面向連接的通信協(xié)議，通過 三次握手 建立連接，通訊完成時要拆除連接，由于 TCP 是面向連接的所以只能用于點對點的通訊。TCP 將包排序并進行錯誤檢查，同時實現(xiàn)虛電路間的連接。 面向連接的服務(wù)（例如 Tel、 FTP、 rlogin、 X Windows 和 SMTP）需要高度的可靠性，所以它們使用了 TCP。 UDP 與 TCP 位于同一層，但它不管數(shù)據(jù)包的順序、錯誤或重發(fā)。 欺騙 UDP 包比欺騙 TCP 包更容易，因為 UDP 沒有建立初始化連接 (也可以稱為握手 )(因為在兩個系統(tǒng)間沒有虛電路 )，也就是說，與 UDP 相關(guān)的服務(wù)面臨著更大的危險。另外，如果路徑不可用了， ICMP 可以使TCP 連接 ?體面地 ?終止?？蛻舫绦蛳蚍?wù)進程寫入信息，服務(wù)進程讀出信息并發(fā)出響應(yīng)，客戶程序讀出響應(yīng)并向用戶報告。 (c) 源端口 源系統(tǒng)上的連接的端口。服務(wù)進程通常使用一個固定的端口，例如， SMTP 使用 2 Xwindows使用 6000。就好像每一個住宅都有唯一的門牌一樣，才不至于在傳輸資料時出現(xiàn)混亂。而我們要確認網(wǎng)絡(luò)上的每一臺計算機，靠的就是能唯一標(biāo)識該計算機的網(wǎng)絡(luò)地址，這個地址就叫做 IP（ Inter Protocol 的簡寫）地址，即用 Inter 協(xié)議語言表示的地址。 (a) A 類地址 陜西科技大學(xué)畢業(yè)設(shè)計說明書 14 A 類地址的表示范圍為： ~，默認網(wǎng)絡(luò)屏蔽為： ； A類地址分配給規(guī)模特別大的網(wǎng)絡(luò)使用。 到 是保留地址，用做循環(huán)測試用的。 A 類地址適用于有大量主機的大型網(wǎng)絡(luò)。如果你的 IP 地址是自動獲取 IP 地址，而你在網(wǎng)絡(luò)上又沒有找到可用的 DHCP 服務(wù)器，這時你將會從 到 中臨時獲得一個 IP 地址。 C 類網(wǎng)絡(luò)用前三組數(shù)字表示網(wǎng)絡(luò)的地址，最后一組數(shù)字作為網(wǎng)絡(luò)上的主機地址。在這個范圍內(nèi)的 IP 地址不能被路由到 Inter骨干網(wǎng)上； Inter 路由器將丟棄該私有地址。但這兩類地址用途比較特殊，在這里只是簡單介紹一下： D 類地址不分網(wǎng)絡(luò)地址 和主機地址，它的第 1 個字節(jié)的前四位固定為 1110。 E 類地址保留給將來使用。如果有兩臺計算機的 IP 地址相同，則會引起異?，F(xiàn)象，無論哪臺計算機都將無法正常工作。 (1) 注意事項 內(nèi)部地址和外部地址在局域網(wǎng)的 IP 地址分配中，并沒有區(qū)別，都可以使用。在完整一組 C 類地址中如 子網(wǎng)掩碼 ， 稱之網(wǎng)絡(luò)編碼（ Network Number，將 IP 地址和子網(wǎng)掩碼作和），而 是廣播的 IP 地址，所以 這兩者皆不能使用，實際只能使用 等 254 個 IP 地址，這是以 作子網(wǎng)掩碼的結(jié)果，而所謂 Sub Msk 尚可將整組 C 類地址分成數(shù)組網(wǎng)絡(luò)編碼，這要在子網(wǎng)掩碼上作手腳，若是要將整組 C 類地址分成 2 個網(wǎng)絡(luò)編碼那子網(wǎng)掩碼設(shè)定為 ，若是要將整組 C 類分成 8 組網(wǎng)絡(luò)編碼則子網(wǎng)掩碼要為 ，這是怎么來的，由以上知道網(wǎng)絡(luò)編碼是由 IP 地址和子網(wǎng)掩碼作 AND 而來的，而且將子網(wǎng)掩碼以二進制表示法知道是 1 的會保 留，而為 0 的去掉 以上是以 為子網(wǎng)掩碼的結(jié)果，網(wǎng)絡(luò)編碼是 ，若是使用基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 17 作子網(wǎng)掩碼結(jié)果便有所不同 此時網(wǎng)絡(luò)編碼變成了 ，這便是子網(wǎng)。它表示 IP 地址的代碼序列中不可更加需要改變的部分。 在申請 IP 地址時，由它表示所申請到的 IP 地址的網(wǎng)絡(luò)地址和主機地址。 主機編碼（主機號）：經(jīng)過子網(wǎng)劃分后，子網(wǎng)掩碼序列中 “0”對應(yīng)的 IP 地址部分。同時，它 將網(wǎng)絡(luò)地址全部確定為網(wǎng)絡(luò)編碼。 (c) 輸入 ping ，觀查網(wǎng)卡是否能轉(zhuǎn)發(fā)數(shù)據(jù)，如果出現(xiàn) “Request timed out”，表明配置差錯或網(wǎng)絡(luò)有問題。 如果你的計算機通過了全部測試，則說明網(wǎng)絡(luò)正常，否則網(wǎng)絡(luò)可能有不同程度的問題。所以 TCP/IP 協(xié)議成為一種聯(lián)合各種硬件和軟件的實用系統(tǒng)。 (9) 協(xié)議優(yōu)勢 在長期的發(fā)展過程中， IP 逐漸取代其他網(wǎng)絡(luò)。下面是一個普通的過程： 一個專有的網(wǎng)絡(luò)開發(fā)出來用于特定目的。 通過一點點的投資 IP 基礎(chǔ)設(shè)施逐漸在專有數(shù)據(jù)網(wǎng)絡(luò)周邊出現(xiàn)。許多用戶開始維護使用 IP 替代品的復(fù)制品。 (10) 協(xié)議重置 如果需要重新安裝 TCP/IP 以使 TCP/IP 堆?；謴?fù)為原始狀態(tài)。