【正文】 ............................ 28 本文主要工作 ............................................................................................................. 28 展望 ............................................................................................................................. 28 致謝語 ........................................................................................................................................ 29 參考文獻(xiàn) .................................................................................................................................... 30 5 網(wǎng)絡(luò)抓包與協(xié)議分析軟件的設(shè)計(jì)與開發(fā) 摘要 ： 網(wǎng)絡(luò)數(shù)據(jù)包捕獲是進(jìn)行網(wǎng)絡(luò)分析的基礎(chǔ)，通過對 Windows 操作系統(tǒng)平臺 下網(wǎng)絡(luò)數(shù)據(jù)包捕獲模型的論述，重點(diǎn)對基于 NDIS的優(yōu)秀包捕獲開發(fā)包 WinPcap 的結(jié)構(gòu)和功能的進(jìn)行了詳細(xì)的介紹和分析，實(shí)現(xiàn)了如何在 VC++ 環(huán)境下借助 WinPcap 提供的各個接口函數(shù)對網(wǎng)卡進(jìn)行編程進(jìn)而對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行捕獲和分析的方法，突出敘述了數(shù)據(jù)包捕獲在網(wǎng)絡(luò)分析中的應(yīng)用 。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管理。據(jù) IT 界企業(yè)團(tuán)體 ITAA 的調(diào)查顯示，美國 90％的 IT企業(yè)對黑客攻擊 準(zhǔn)備不足。在通常的網(wǎng)絡(luò)環(huán)境之下，用戶的信息包括口令都是以明文的方式在網(wǎng)上傳輸?shù)?，只要?網(wǎng)絡(luò)接口設(shè)置成監(jiān)聽模式，便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@，因此進(jìn)行網(wǎng)絡(luò)監(jiān)聽從而獲得用戶信息并不是一件困難的事情。在這段時間里，有幾百臺主機(jī)被泄密。服務(wù)器和用戶之間的數(shù)據(jù)傳送被“中間服務(wù)器”轉(zhuǎn)發(fā)并做了手腳之后，就會出現(xiàn)很嚴(yán)重的問題。 網(wǎng)絡(luò)數(shù)據(jù)安全的技術(shù)研究 為了保證網(wǎng)絡(luò)的安全，防止網(wǎng)絡(luò)攻擊，除了對信息采用加密技術(shù)之外，還有就是與網(wǎng)絡(luò)協(xié)議相關(guān)的網(wǎng)絡(luò)安全手段，例如防火墻技術(shù)、入侵監(jiān)測技術(shù)、安全掃描技術(shù)、協(xié)議分析技術(shù)和數(shù)據(jù)包生成技術(shù)等。上一層內(nèi)容由下一層的內(nèi)容來傳輸，所以在局域網(wǎng)中，“包”是包含在“幀”里的。包”聽起來非常抽象，那么是不是不可見的呢？通過一定技術(shù)手段，是可以感知到數(shù)據(jù)包的存在的。 那么如何捕獲這些數(shù)據(jù)包呢？ 網(wǎng)絡(luò)數(shù)據(jù)包捕獲原理 由于目前用的最多的網(wǎng)絡(luò)形式是以太網(wǎng) [2]，在以太網(wǎng)上，數(shù)據(jù)是以被稱為幀的數(shù)據(jù)結(jié)構(gòu)為單位進(jìn)行交換的，而幀（數(shù)據(jù)包）是用被稱為帶碰撞檢測的載波偵聽多址訪問即CSMA/CD（ carrier sense multiple access wim collision dctection)的方式發(fā)送的，在這種方法中，發(fā)送到指定地址的幀實(shí)際上是發(fā)送到所有計(jì)算機(jī)的，只是如果網(wǎng)卡檢測到經(jīng)過的數(shù)據(jù)不是發(fā)往自身的，簡單忽略 過去而已。不同的操作系統(tǒng)實(shí)現(xiàn)的底層包捕獲機(jī)制可能 是不一樣的，但從形式上看大同小異。對用戶程序而言，包捕獲機(jī)制提供了一個統(tǒng)一的接口，使用戶程序只需要簡單的調(diào)用若干函數(shù)就能獲得所期望的數(shù)據(jù)包。應(yīng)用程序可以使用它進(jìn)行網(wǎng)絡(luò)通信而不需要知道底層發(fā)生的細(xì)節(jié)。 原始套接字可以用來發(fā)送和接收 IP 層以上的原始數(shù)據(jù)包 ,比如 ICMP,TCP,UDP,而且能夠?qū)W(wǎng)絡(luò)底層的傳輸機(jī)制進(jìn)行控制。同時 LibPcap 是一個獨(dú)立于系統(tǒng)接口的用戶級的抓包庫 ,它為底層網(wǎng)絡(luò)監(jiān)聽提供了可移植框架。開發(fā) WinPcap 這個項(xiàng)目的目的在于為Win32 應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力。目前 JPcap 在 FreeBSD ， Linux RedHat ， Solaris 和 Microsoft Windows 2020/XP 系統(tǒng)上已經(jīng)做過測試，并且支持 Ether， IPv4， IPv6， ARP/RARP，TCP， UDP， ICMPv4 協(xié)議。這個數(shù)據(jù)包捕獲架構(gòu)是由加州大學(xué)和 Lawrence Berkeley 實(shí)驗(yàn)室及其投稿者聯(lián)合開發(fā)的，他們在 1999 年 3月 31日推出了 版，提供了用戶級 BPF 過濾；1999 年 8 月 21 日推出了 版，將 BPF 過濾增加到內(nèi)核中并增加了內(nèi)核緩存； 2020年 3月 15 日推出了 版，該版對 libpcap 進(jìn)行了升級，并可支持更多的網(wǎng)絡(luò)類型； 2020 年 1月 30日推出了 2． 2版； 2020 年 3月 28 日推出了 2． 3 版； 2020 年 1 月lO 日推出了 3． O 版，增加了 NPF 設(shè)備驅(qū)動的一些新的特性及優(yōu)化方案，在 中增加了一些函數(shù)等等功能。 WinPcap 的主要功能在于獨(dú)立于主機(jī)協(xié)議（如 TCP/IP)而發(fā)送和接收原始數(shù)據(jù)包，也就是說， WinPcap 不能阻塞，過濾或控制其他應(yīng)用程序數(shù)據(jù)包的發(fā)收，它僅 僅只是監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)包。它還可以在使用交換機(jī)的網(wǎng)絡(luò)上監(jiān)聽，不過要在交換機(jī)上裝它的一個軟件。對于一般的要與 unix 平臺上 libpcap 兼容的開發(fā)來說，使用 是當(dāng)然的選擇。 NPF與操作系統(tǒng)有關(guān)， WinPcap 開發(fā)組針對不同的 Windows 操作系統(tǒng)提供了不同版本的 NPF。 用于在 Win32平臺上為數(shù)據(jù)包驅(qū)動程序提供一個公共的接口。 3）高級動態(tài)鏈接庫。編程人員既可以使用包含在 中的低級函數(shù)直接進(jìn)入內(nèi)核級調(diào)用，也可以使用由 提供的高級函數(shù)調(diào)用，這樣功能更強(qiáng)，使用也更為方便。 標(biāo)準(zhǔn)的數(shù)據(jù)幀分析與還原 根據(jù) TCP/IP 協(xié)議，機(jī)器接收到一個以太網(wǎng)數(shù)據(jù)包時，數(shù)據(jù)從協(xié)議棧中由底向上升，同時去掉各層協(xié)議加上的報(bào)文 首部，每層協(xié)議都要檢查報(bào)文首部的協(xié)議表示，以確定數(shù)據(jù)的上層協(xié)議。目前有 IPv IPv6。如果選項(xiàng)字段有其它數(shù)據(jù)，則這個值會大于 5。如果 4位TOS 子字段均為 0，那么就意味著是一般服務(wù)。由于該字段長 16比特，所以 IP數(shù)據(jù)報(bào) 最長可達(dá) 65535 字節(jié)。但這個“標(biāo)識”并不是序號，因?yàn)?IP 是無連接服務(wù)，數(shù)據(jù)報(bào)不存在按序接收的問題。 標(biāo)志： 3 位，但目前只有 2位有意義。t Fragment），意思是“不能分片”。片偏移以 8個字節(jié)為偏移單位，這就是說，每個分片的長度一定是 8 字節(jié)（ 64 位）的整數(shù)倍。每經(jīng)過一個路由器時，就把 TTL 減去數(shù)據(jù)報(bào)在路由器消耗掉的一段時間。 協(xié)議： 8位。 ICMP， UDP， TCP在它們各自的首部中均含有同時覆蓋首部和數(shù)據(jù)檢驗(yàn)和碼。 源 IP 地址： 32位，發(fā)送 IP 的主機(jī)地址 。 目的端口（ Destination Port ）： 2 字節(jié)，目的端口號。解決方法是必要時在最后增加填充字節(jié) 0，這只是為了校驗(yàn)和的計(jì)算（也就是說，可能增加的填充字節(jié)不被傳送）。如果不計(jì)任選字段，它通常是 20個字節(jié)。 ICMP 報(bào)文只是在前 4個字節(jié)有統(tǒng)一的格式，共有類型、代碼和校驗(yàn)和 3 個字段。 2） 解壓下載的 WinPcap 開發(fā)包，將 Include 文件夾里的文件全部復(fù)制到 VC 目錄下的 Include 文件夾中，同理復(fù)制開發(fā)包中 Lib 文件夾中的文件到 VC 目錄下的 Lib 文件夾中。其中內(nèi)核部分負(fù)責(zé)從網(wǎng)絡(luò)中捕獲和過濾數(shù)據(jù)，這可以通過調(diào)用 WinPcap 豐富的接口函數(shù)實(shí)現(xiàn)。 獲取網(wǎng)卡信息 include void main() { pcap_if_t *alldevs。 /*未獲取網(wǎng)卡，返回網(wǎng)卡列表， alldevs 指向表頭 */ if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL, amp。d。 } if(i==0) { printf(\nNo interfaces found! Make sure WinPcap is installed.\n)。 19 return 0。 udp_header *uh。 u_short totallen。 strftime( timestr, sizeof timestr, %H:%M:%S, ltime)。 totallen = ntohs(ihtlen)。 strcpy(pkttimestr, timestr)。 memcpy(amp。(pktTcpHead), th, sizeof(tcp_header))。 } } 分析數(shù)據(jù)包 這里列舉 UDP 包的分析實(shí)現(xiàn)代碼： char ip_len[8] = 。 //分段偏移， 12bits char live[8] = 。 //源 IP， 16bits char desIP[16] = 。 //UDP 長度， 16bits char crc[16] = 。 pDCTextOut(7*width, height, 4)。 pDCTextOut(7*width, 2*height, ip_len)。 sprintf(szLen, %d, ntohs(mypacket[mycon].)+18)。 pDCTextOut(7*width, 5*height, identifier)。 pDCTextOut(7*width, 6*height, offset)。 pDCTextOut(0, 8*height, 協(xié)議： )。 pDCTextOut(0, 9*height, 頭校驗(yàn)和： )。 sprintf(srcIP, %d.%d.%d.%d, 22 mypacket[mycon]., mypacket[mycon]., mypacket[mycon]., mypacket[mycon].)。 pDCTextOut(7*width, 11*height, desIP)。 pDCTextOut(7*width, 14*height, srcport)。 pDCTextOut(0, 16*height, UDP 長度： )。 sprintf(crc, %d, ntohs(mypacket[mycon].))。 問題的解決 上網(wǎng)查找資料后才得知， winpcap 開發(fā)包在 vc++6 環(huán)境下編譯會出現(xiàn)這兩個錯誤，原因是 vc++ c++99標(biāo)準(zhǔn)，在 64位 cpu中編譯會有問題，將 winpcap開發(fā)包換到 版本及以下錯誤消失，試著找了 版本的 winpcap 的開發(fā)庫，覆蓋原來的 Include 和 Lib 文件夾后重新編譯，錯誤提示不再出現(xiàn)。 2）包過濾器 點(diǎn)擊工具欄 上的 ,彈出如圖 46窗口 ： 圖 46 包過濾器選擇界面 程序會抓取勾選的數(shù)據(jù)包，可復(fù)選。運(yùn)行結(jié)果如圖 47所示： 圖 47 程序運(yùn)行后的界面 圖 47 所示的包的數(shù)據(jù)，一個數(shù)字相當(dāng)于 4個比特，一對數(shù)字就是一個字節(jié)。 28 5 總結(jié)和展望 本文主要工作 這次課題 針對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲和協(xié)議分析進(jìn)行了設(shè)計(jì)并實(shí)現(xiàn)。通過研究這方面的課題，可以更深刻地理解網(wǎng)絡(luò)各層通訊協(xié)議的機(jī)理，也加強(qiáng)了網(wǎng)絡(luò)編程的技巧。 畢業(yè)設(shè)計(jì)是一次綜合性的訓(xùn)練，是對大學(xué)里過去四年學(xué)習(xí)的總結(jié)、應(yīng)用以及檢驗(yàn)。 30 參考文獻(xiàn) [1]劉文濤 .網(wǎng)絡(luò)安全開發(fā)包詳解 [M].北京電子工業(yè)出版社 .2020年． [2 [3 [4 [5 [6 [7]胡曉元 ,史 浩山 .WinPcap包截獲系統(tǒng)的分析及其應(yīng)用 .西北工業(yè)大學(xué)電子信息學(xué)院 .2020年 1月 [8] :The Protocals[M].機(jī)械工業(yè)出版社 [9]許愛軍 ,謝娟 ,張華 .基于 WinPcap 的網(wǎng)絡(luò)數(shù)據(jù)解析及其實(shí)現(xiàn) .廣州鐵路職業(yè)技術(shù)學(xué)院 .2020年 。是我今后學(xué)習(xí)的榜樣。我的畢業(yè)論文是在鄒復(fù)民老師的指導(dǎo)幫助下完成的。 這次課題取得的工作如下： 1） 基于 WinPcap 捕獲網(wǎng)絡(luò)數(shù)據(jù)包； 2） 對捕獲取的數(shù)據(jù)包進(jìn)行具體的分析，如本文中例舉的對 UDP 數(shù)據(jù)包的分析； 3）對網(wǎng)絡(luò)安全或者網(wǎng)絡(luò)流量有個初步