【正文】 了解，如某主機(jī)在短時(shí)間內(nèi) 發(fā)送了大量數(shù)據(jù)包，可能這主機(jī)感染了病毒；捕獲的數(shù)據(jù)包無法正確解讀或者在數(shù)據(jù)內(nèi)容的固定位置出現(xiàn)迅雷、 BT、電驢等數(shù)據(jù)包的特征碼，管理員可以采取相應(yīng)的手段進(jìn)行控制。根據(jù)前面介紹的 IP數(shù)據(jù)報(bào)的格式及各種協(xié)議數(shù)據(jù)報(bào)的格式，對(duì)余下的數(shù)字進(jìn)行分析。 3）開始抓包 點(diǎn)擊工具欄 上的 按鈕，就可以開始抓包了，點(diǎn)擊 可以停止抓包 。 工具 欄 1）網(wǎng)卡接口列表 點(diǎn)擊工具欄 上的 按鈕，彈出如圖 45所示窗口 ： 25 圖 45 獲取網(wǎng)卡列表界面 圖 45 窗口中的“ Network adapter 39。 } 23 如此就完成 UDP包的分析并顯示在程序界面上了。 pDCTextOut(7*width, 16*height, dramlen)。 sprintf(desport, %d, ntohs(mypacket[mycon].))。 pDCTextOut(0, 14*height, 源端口： )。 pDCTextOut(0, 11*height, 目的地址： )。 pDCTextOut(7*width, 9*height, checksum)。 pDCTextOut(7*width, 8*height, proto)。 sprintf(live, %d, int(mypacket[mycon].))。 sprintf(offset, %d, (char)(ntohs(mypacket[mycon].)) amp。 pDCTextOut(0, 5*height, 標(biāo)識(shí)： )。 pDCTextOut(7*width, 3*height, mypacket[mycon].)。 sprintf(ip_len, %d, (mypacket[mycon]. amp。 //讀取存放在向量中的包頭的信息，解開包的 IP 頭 pDCTextOut(0, 0, IP 頭 )。 //UDP 源端口， 16bits char desport[16] = 。 //協(xié)議， 8bits char checksum[16] = 。 //總長， 8bits char identifier[16] = 。 memcpy(amp。 } if(int(ihproto) == 6) //如果是 TCP 包就從解開 TCP 頭并將其賦給 th 20 { th = (tcp_header *)((u_char*)ih + ip_len)。(pktIpHead), ih, sizeof(ip_header))。 (totallen)。 //從包中解開 IP 頭并將其賦給 ih ip_len = (ihver_ihl amp。 //把收到的包放到一個(gè)向量 myvector 里面 ltime=localtime(amp。 icmp_header *ich。 char timestr[16]。 } /*不需要網(wǎng)卡列表，釋放空間 */ pcap_freealldevs(alldevs)。 if (ddescription) printf( (%s)\n, ddescription)。 exit(1)。 int i=0。實(shí)現(xiàn)流程如圖 41所示。至此 WinPcap 的環(huán)境配置完成。 圖 38 ICMP報(bào)文的格式 其中類型字段表示 ICMP 報(bào)文的類型；代碼字段是為了進(jìn)一步區(qū)分某種類型的幾種不同情況；校驗(yàn)和字段用來檢驗(yàn)整個(gè) ICMP 報(bào)文，接著的 4個(gè)字節(jié)的內(nèi)容與 ICMP 的類型有關(guān)，再后面是數(shù)據(jù)字段，其長度取決于 ICMP 的類型。在網(wǎng)絡(luò)中， ICMP 報(bào)文將作為 IP 層數(shù)據(jù)報(bào)的數(shù)據(jù)，封裝在 IP 數(shù)據(jù)報(bào)中進(jìn)行傳輸，如圖 37所示 ,但 ICMP 并不是高層協(xié)議，而仍被視為網(wǎng)絡(luò)層協(xié)議。偽首部包含 IP首部一 些字段，其目的是讓 UDP 兩次檢查數(shù)據(jù)是否已經(jīng)正確到達(dá)目的地（例如， IP 有沒有接受地址不是本主機(jī)的數(shù)據(jù)報(bào)，以及 IP有沒有把應(yīng)傳給另一高層的數(shù)據(jù)報(bào)傳送給 UDP）。 檢驗(yàn)和（ Checksum）： 2字節(jié)，用于校驗(yàn) UDP數(shù)據(jù)報(bào)的數(shù)字段和包含 UDP 數(shù)據(jù)報(bào)首部的“偽首部”。 UDP 數(shù)據(jù)包的封裝 UDP 是一個(gè)簡單的面向數(shù)據(jù)報(bào)的運(yùn)輸層協(xié)議 [8]，進(jìn)程的每個(gè)輸出操作都正好產(chǎn)生一個(gè) UDP 數(shù)據(jù)報(bào)，并組裝成一份待發(fā)送的 IP 數(shù)據(jù)報(bào)。當(dāng)收到一份 IP 數(shù)據(jù)報(bào)后，同樣對(duì)首部中每個(gè) 16 bit 進(jìn)行二進(jìn)制反碼的求和。協(xié)議可包括 TCP、 UDP、TELNET 等， 1=ICMP,6=TCP,17=UDP。當(dāng) TTL 值為 0時(shí)，就丟棄這個(gè)數(shù)據(jù)報(bào)。由發(fā)出數(shù)據(jù)報(bào)的源點(diǎn)設(shè)置這個(gè)字段，其目的是防止無法交付的數(shù)據(jù)報(bào)無限制地在因特網(wǎng)中兜圈子，因而白白消耗網(wǎng)絡(luò)資源。 片偏移： 13 位。MF=1 即表示后面“還有分片”的數(shù)據(jù)報(bào)； MF=0 表示這已是若干數(shù)據(jù)報(bào)片中的最后一個(gè)。相同的標(biāo)識(shí)字段的值使分片后的各數(shù)據(jù)報(bào)片最后能正確地重裝成為原來的數(shù)據(jù)報(bào)。通常每發(fā)送一份報(bào)文它的值就會(huì)加 1。 總長度： 16 位，總長度指首部和數(shù)據(jù)之和的長度，以字節(jié)為單位。 服務(wù)類型： 8 位，其中： 優(yōu)先權(quán)： 3位，設(shè)置了數(shù)據(jù)包的重要性，取值越大數(shù)據(jù)越重要，取值范圍為： 0（正常） 7（網(wǎng)絡(luò)控制）。 11 首部長度： 4 位，度指的是首部占 32bit 字的數(shù)目，包括任何選項(xiàng)。在這種情況下，要實(shí)現(xiàn)對(duì)數(shù)據(jù)幀的還原，只需要將捕獲的數(shù)據(jù)幀的前 12 個(gè)字節(jié)分別轉(zhuǎn)換為十六進(jìn)制數(shù)據(jù)，就可以清楚地看到 MAC 地址，并通過對(duì)比本機(jī)的 MAC地址，還可以初步判斷出該數(shù)據(jù)幀是本機(jī)發(fā)送的或是接 收到的。 WinPcap 的主要函數(shù)庫 Winpcap 函數(shù)庫主要有如下函數(shù) : 1） int pcap_findalldevs (pcap_if_t **,char *) 用來獲得網(wǎng)卡的列表 2） void pcap_freealldevs (pcap_if_t *) 與 int pcap_findalldevs (pcap_if_t **,char *)配套使用 ,當(dāng)不需要網(wǎng)卡列表時(shí) ,用此函數(shù)釋放空間 3） pcap_t *pcap_open_live(const char *, int, int, int, char *) 用來得到一個(gè)包抓取得描述符 4） Int pcap_loop(pcap_t *, int, pcap_handler, u_char *) 捕獲數(shù)據(jù)包 ,不會(huì)響應(yīng) pcap_open_live()中設(shè)置的超時(shí)時(shí)間 5） int pcap_dispatch(pcap_t *, int, pcap_handler, u_char *) 捕獲數(shù)據(jù)包。它提供了一組功能強(qiáng)大且跨平臺(tái)的函數(shù)，利用這些函數(shù)可以不去關(guān)心適配器和操作系統(tǒng)的類型?；? 開發(fā)的數(shù)據(jù)包截獲程序可以運(yùn)行于不同的 Win32 平臺(tái)而不必重新進(jìn)行編譯。該模塊提供了抓取數(shù)據(jù)包以及發(fā)送數(shù)據(jù)包的基本功能，此外還提供了一些高級(jí)功 8 能，如數(shù)據(jù)包過濾系統(tǒng)和檢測(cè)引擎。 1） 網(wǎng)絡(luò)組包過濾器。著名軟件 tcpdump 及 ids snort 都是基于 libpcap 編寫的，此外 Nmap 掃描器也是基于 libpcap 來捕獲目標(biāo)主機(jī)返回的數(shù)據(jù)包的。目前，WinPcap 開發(fā)的主要對(duì)象是 windows NT/2020/XP，這主要是因?yàn)樵谑褂?WinPcap 的用戶中只有一小部分是僅使用 Windows 95/98/Me，并且微軟也已經(jīng)放棄了對(duì) win9x 的開發(fā)。 WinPcap 的官方主頁是，可以在其主頁上下載這個(gè)軟件及其源代碼，更重要 的是，網(wǎng)站上還有很多開發(fā)文檔，對(duì)于利用 WinPcap 作為工具開發(fā)網(wǎng)絡(luò)安全軟件的編程人員有很大幫助。最初版本是 2020 年 6 月發(fā)布的 版，此后幾經(jīng)修改，到現(xiàn)在最新的 版。 JPcap JPcap[6]是一個(gè)能夠捕獲，發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包的 Java 類庫包。 WinPcap WinPcap[5]是 LibPcap 的 Windows 版本 ,它是一個(gè)基于 Win32 的捕獲數(shù)據(jù)包和網(wǎng)絡(luò)分析的體系結(jié)構(gòu) ,它包括一個(gè)內(nèi)核級(jí)的包過濾器 ,一個(gè)底層的動(dòng)態(tài)鏈接庫（ ） ,一個(gè)高層并且與系統(tǒng)無關(guān)的庫（ ,基于 版本）。 LibPcap LibPcap[4]是一個(gè)廣泛應(yīng)用的系統(tǒng)抓包庫。原始套接字能夠生成自己的數(shù)據(jù)報(bào)文 ,包括報(bào)送和數(shù)據(jù)報(bào)本身的內(nèi)容。包過濾機(jī)制是對(duì)所捕獲到的數(shù)據(jù) 包根據(jù)用戶的要求進(jìn)行篩選，最終只把滿足過濾條件的數(shù)據(jù)包傳遞給用戶程序。而包捕獲機(jī)制是在數(shù)據(jù)鏈路層增加一個(gè)旁路處理，對(duì)發(fā)送和接收到的數(shù)據(jù)包做過濾 /緩沖等相關(guān)處理，最后直接傳遞到應(yīng)用程序。這里，通過設(shè)置硬路由器的監(jiān)聽端口來捕獲數(shù)據(jù)包的方式不再本文討論范圍內(nèi)。 圖 21 網(wǎng)絡(luò)連接狀態(tài) 我們上網(wǎng)打開網(wǎng)頁，這個(gè)簡單的動(dòng)作，就是我們先發(fā)送數(shù)據(jù)包給網(wǎng)站，網(wǎng)站接收到 4 了之后，根據(jù)發(fā)送的數(shù)據(jù)包的 IP 地址，返回網(wǎng)頁的數(shù)據(jù)包，也就是說，網(wǎng)頁的瀏覽，實(shí)際上就是數(shù)據(jù)包的交換。必須把內(nèi)裝產(chǎn)品的包裝盒放到一個(gè)郵局指定的專用紙箱里，這樣才能夠郵寄。 3 2 主要技術(shù)介紹 數(shù)據(jù)包的介紹 “包”（ Packet）是 TCP/IP 協(xié)議通信傳輸中的數(shù)據(jù)單元，一般也稱“數(shù)據(jù)包”。它是攻擊者冒充域名服務(wù)器的一種欺騙行為，它主要用于向主機(jī)提供錯(cuò)誤 DNS 信息，當(dāng)用戶嘗試瀏覽網(wǎng)頁，例如 IP 地址為 ，網(wǎng)址為 ，而實(shí)際上登錄的確實(shí) IP地址 上的 ，用戶上網(wǎng)就只能看到攻擊者的主頁，而不是用戶想要取得的網(wǎng)站的主頁了，這個(gè)網(wǎng)址是攻擊者用以竊取網(wǎng)上銀行登錄證書以及帳號(hào)信息的假冒網(wǎng)址。 協(xié)議的安全驗(yàn)證方式也是有弱點(diǎn)的，就是很容易受到“中間服務(wù)器”方式的攻擊。 1994 年一個(gè)最大的嗅探器 (Sniffer，網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽器 )攻擊被發(fā)現(xiàn)，這次攻擊被人們普遍認(rèn)為是記載中最為嚴(yán)重的一次，攻擊者處于 ，使許多以 FTP、 Tel 或遠(yuǎn)程登陸的主機(jī)系統(tǒng)都受到了危害。 當(dāng)今網(wǎng)絡(luò)數(shù)據(jù)安全現(xiàn)狀 計(jì)算機(jī)網(wǎng)絡(luò)的核心是網(wǎng)絡(luò)協(xié)議，所以研究協(xié)議與網(wǎng)絡(luò)安全的關(guān)系就是至關(guān)重要的。 可以這樣來定義網(wǎng)絡(luò)數(shù)據(jù)安全：所謂網(wǎng)絡(luò)數(shù)據(jù)安全，指的是網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和數(shù)據(jù)信息能夠受到保護(hù)，不會(huì)因?yàn)榕既换驉阂獾脑蚨獾狡茐?、更改、泄露，同時(shí)系統(tǒng)能夠連續(xù)、可靠地運(yùn)行，網(wǎng)絡(luò)服務(wù)不被中斷。廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。 ：任務(wù)書、開題報(bào)告、外文譯文、譯文原文（復(fù)印件）。有權(quán)將論文（設(shè)計(jì)）用于非贏利目的的少量復(fù)制并允許論文（設(shè)計(jì)）進(jìn)入學(xué)校圖書館被查閱。 畢業(yè)設(shè)計(jì)（論文） 題 目： 網(wǎng)絡(luò)抓包與協(xié)議分析軟件 的設(shè)計(jì)與開發(fā) 0 畢業(yè)論文（設(shè)計(jì)）原創(chuàng)性聲明 本人所呈交的畢業(yè)論文（設(shè)計(jì)） 是我在導(dǎo)師的指導(dǎo)下進(jìn)行的研究工作及取得的研究成果。 作者簽名： 日期： 畢業(yè)論文（設(shè)計(jì)）授權(quán)使用說明 本論文（設(shè)計(jì)）作者完全了解 **學(xué)院有關(guān)保留、使用畢業(yè)論文（設(shè)計(jì)）的規(guī)定，學(xué)校有權(quán)保留論文（設(shè)計(jì)）并向相關(guān)部門送交論文（設(shè)計(jì)）的電子版和紙質(zhì)版。 作者簽名： 指導(dǎo)教師簽名： 日期： 日期： 1 注 意 事 項(xiàng) （論文）的內(nèi)容包括： 1）封面（按教務(wù)處制定的標(biāo)準(zhǔn)封面格式制作） 2）原創(chuàng)性聲明 3）中文摘要（ 300 字左右）、關(guān)鍵詞 4）外文摘要、關(guān)鍵詞 5）目次頁（附件不統(tǒng)一編入） 6）論文主體部分：引言（或緒論）、正文、結(jié)論 7）參考文獻(xiàn) 8）致謝 9）附錄（對(duì)論文支持必要時(shí)） ：理工類設(shè)計(jì)（論文）正文字?jǐn)?shù)不少于 1 萬字（不包括圖紙、程序清單等），文科類論文正文字?jǐn)?shù)不少于 萬字。 關(guān)鍵字 ： 數(shù)據(jù)包捕獲，數(shù)據(jù)包， WinPcap 6 Design and