【正文】 1。生存時間：8位，生存時間字段常用的的英文縮寫是TTL（Time To Live），表明是數(shù)據(jù)報在網(wǎng)絡(luò)中的壽命。只有當DF=0時才允許分片，具體定義如下：1） 保留位： 1位 ；2） DF字段：1位，取值：0（允許數(shù)據(jù)報分段）、1（數(shù)據(jù)報不能分段）；3） MF字段：1位，取值：0（數(shù)據(jù)包后面沒有包，該包為最后的包）、1（數(shù)據(jù)包后面有更多的包）。標志字段中的最低位記為MF（More Fragment）。當數(shù)據(jù)報由于長度超過網(wǎng)絡(luò)的MTU而必須分片時，這個標識字段的值就被復(fù)制到所有的數(shù)據(jù)報的標識字段中。標識：16位，唯一地標識主機發(fā)送的每一份數(shù)據(jù)報。未使用：1位，必須置0。由上面也可知IP首部最小長度為20字節(jié)，最大長度為（2的4次方1）*32/8＝60字節(jié)。我們目前所用的IP協(xié)議基本都是IPv4版本。根據(jù)以太網(wǎng)數(shù)據(jù)鏈路層的幀格式，網(wǎng)絡(luò)適配器的驅(qū)動程序會自動計算校驗和，并取走幀中的前同步碼和校驗和字段，因此WinPcap 接收的數(shù)據(jù)包僅僅是其中的幀頭和載荷部分，即捕獲到的是幀結(jié)構(gòu)中的“目標MAC地址”、“源MAC地址”、“幀類型”、“幀中數(shù)據(jù)”這四部分。并且可能被轉(zhuǎn)換成若干個NPF系統(tǒng)調(diào)用。3）高級動態(tài)鏈接庫。該模塊提供了抓取數(shù)據(jù)包以及發(fā)送數(shù)據(jù)包的基本功能，此外還提供了一些高級功能，如數(shù)據(jù)包過濾系統(tǒng)和檢測引擎。1） 網(wǎng)絡(luò)組包過濾器。著名軟件tcpdump及ids snort都是基于libpcap編寫的，此外Nmap掃描器也是基于libpcap來捕獲目標主機返回的數(shù)據(jù)包的。目前，WinPcap開發(fā)的主要對象是windows NT/2000/XP，這主要是因為在使用WinPcap的用戶中只有一小部分是僅使用Windows 95/98/Me，并且微軟也已經(jīng)放棄了對win9x的開發(fā)?？梢栽谄渲黜撋舷螺d這個軟件及其源代碼，更重要的是，網(wǎng)站上還有很多開發(fā)文檔，對于利用WinPcap作為工具開發(fā)網(wǎng)絡(luò)安全軟件的編程人員有很大幫助。JPcap是一個Java類集合，它為網(wǎng)絡(luò)數(shù)據(jù)包的捕獲提供接口和系統(tǒng)支持。它提供以下四項功能：1） 捕獲原始數(shù)據(jù)報,包括共享網(wǎng)絡(luò)上各主機發(fā)送/接收的以及相互之間交換的數(shù)據(jù)報；2） 在數(shù)據(jù)報發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報過濾掉；3） 在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報；4） 收集網(wǎng)絡(luò)通信過程中的統(tǒng)計信息。它的應(yīng)用包括網(wǎng)絡(luò)統(tǒng)計集合,安全監(jiān)聽,網(wǎng)絡(luò)調(diào)試等。原始套接字的作用主要有三個方面：1）接收發(fā)向本機的ICMP,IGMP協(xié)議包,或者發(fā)送這些協(xié)議包；2）接收發(fā)向本機的IP包；3）發(fā)送自定義的IP包。有時候需要自己生成一些定制的數(shù)據(jù)包或者功能并希望繞開套接字的功能,原始套接字（Raw Socket）就滿足了這樣的要求。這樣一來，針對特定操作系統(tǒng)的捕獲機制對用戶透明，使用戶程序有比較好的可移植性。數(shù)據(jù)包常規(guī)的傳輸路徑依次為網(wǎng)卡、設(shè)備驅(qū)動層、數(shù)據(jù)鏈路層、IP層、傳輸層、最后到達應(yīng)用程序。正是這種基于CSMS/CD的廣播機制，這就給連接在網(wǎng)絡(luò)上的計算機捕獲來自于其他主機的數(shù)據(jù)帶來了可能，即通過對網(wǎng)絡(luò)接口的設(shè)置可以使網(wǎng)卡能夠接收到所有經(jīng)過該機器的數(shù)據(jù)，然后將這些數(shù)據(jù)做相應(yīng)處理并實時分析這些數(shù)據(jù)的內(nèi)容，進而分析網(wǎng)絡(luò)當前狀態(tài)和整體布局。比如在能上網(wǎng)的情況下，把鼠標移動到任務(wù)欄右下角的網(wǎng)卡圖標上單擊就會彈出一個窗口，如圖21，就可以看到“發(fā)送：包，收到：包”的提示。用一個形象一些的例子對數(shù)據(jù)包的概念加以說明：我們在郵局郵寄產(chǎn)品時，雖然產(chǎn)品本身帶有自己的包裝盒，但是在郵寄的時候只用產(chǎn)品原包裝盒來包裝顯然是不行的。這些技術(shù)中，數(shù)據(jù)包的捕獲和分析是最首要的手段，它是諸多網(wǎng)絡(luò)安全技術(shù)實現(xiàn)的基礎(chǔ)。例如：冒充域名服務(wù)器的攻擊，也就是DNS欺騙。受攻擊者包括268個站點，如麻省理工學(xué)院、美國海軍和空軍、SUN微系統(tǒng)公司、IBM、NASA、CERFNET和加拿大、以色列、荷蘭、比利時的一些大學(xué)的機器。例如目前使用最廣泛的TCP/IP協(xié)議就存在很多安全缺陷，而FTP、POP和Telnet協(xié)議在本質(zhì)上也是不安全的，從而很多網(wǎng)絡(luò)的攻擊就是針對這些不安全協(xié)議進行的。目前美國75％一85％的網(wǎng)站都抵擋不住黑客的攻擊，約有75％的企業(yè)網(wǎng)上信息失竊，其中25％的企業(yè)損失在25萬美元以上．因此了解網(wǎng)絡(luò)面臨的各種威脅，防范和消除這些威脅，實現(xiàn)真正的網(wǎng)絡(luò)安全已經(jīng)成了網(wǎng)絡(luò)發(fā)展中最重要的事情。如何更有效地保護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計算機網(wǎng)絡(luò)應(yīng)用必須考慮和必須解決的一個重要問題。關(guān)鍵字：數(shù)據(jù)包捕獲，數(shù)據(jù)包，WinPcapDesign and development a packet capture and protocol analysis software Abstract：Network packet capture is the precondition for network analysis，through the analysis of the models of network data packet capture in Windows，the structure and function of WinPcap based on NDIS is analyzed and introduced in detail，and how to program on the network adapter and how to capture and analyze the network data packets through WinPcap are realized under the environment of VC ++，the applications of network data capture for network analysis is narrated in detail.Key words：packet capture，data packet，WinPcap1 緒論 課題來源隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和網(wǎng)絡(luò)時代的到來，互聯(lián)網(wǎng)的影響已經(jīng)滲透到國民經(jīng)濟的各個領(lǐng)域和人民生活的各個方面，全社會對網(wǎng)絡(luò)的依賴程度越來越大，整個世界通過網(wǎng)絡(luò)正在迅速地融為一體，但由于計算機網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使網(wǎng)絡(luò)易受黑客、惡意軟件和其他不軌的攻擊。 作者簽名： 指導(dǎo)教師簽名： 日期： 日期： 注 意 事 項（論文）的內(nèi)容包括：1）封面（按教務(wù)處制定的標準封面格式制作）2）原創(chuàng)性聲明3）中文摘要（300字左右）、關(guān)鍵詞4）外文摘要、關(guān)鍵詞 5）目次頁（附件不統(tǒng)一編入）6）論文主體部分：引言（或緒論）、正文、結(jié)論7）參考文獻8）致謝9）附錄（對論文支持必要時）：理工類設(shè)計（論文）正文字數(shù)不少于1萬字（不包括圖紙、程序清單等）。有權(quán)將論文（設(shè)計）用于非贏利目的的少量復(fù)制并允許論文（設(shè)計）進入學(xué)校圖書館被查閱。 畢業(yè)設(shè)計（論文）題 目：網(wǎng)絡(luò)抓包與協(xié)議分析軟件的設(shè)計與開發(fā)30畢業(yè)論文（設(shè)計）原創(chuàng)性聲明本人所呈交的畢業(yè)論文（設(shè)計）是我在導(dǎo)師的指導(dǎo)下進行的研究工作及取得的研究成果。 作者簽名： 日期： 畢業(yè)論文（設(shè)計）授權(quán)使用說明本論文（設(shè)計）作者完全了解**學(xué)院有關(guān)保留、使用畢業(yè)論文（設(shè)計）的規(guī)定，學(xué)校有權(quán)保留論文（設(shè)計）并向相關(guān)部門送交論文（設(shè)計）的電子版和紙質(zhì)版。 圖表整潔，布局合理，文字注釋必須使用工程字書寫，不準用徒手畫3）畢業(yè)論文須用A4單面打印，論文50頁以上的雙面打印4）圖表應(yīng)繪制于無格子的頁面上5）軟件工程類課題應(yīng)有程序清單，并提供電子文檔1）設(shè)計（論文）2）附件：按照任務(wù)書、開題報告、外文譯文、譯文原文（復(fù)印件）次序裝訂目 錄1 緒論 1 課題來源 1 當今網(wǎng)絡(luò)數(shù)據(jù)安全現(xiàn)狀 1 網(wǎng)絡(luò)數(shù)據(jù)安全的技術(shù)研究 22 主要技術(shù)介紹 3 數(shù)據(jù)包的介紹 3 網(wǎng)絡(luò)數(shù)據(jù)包捕獲原理 4 網(wǎng)絡(luò)數(shù)據(jù)包的捕獲方法 5 原始套接字 5 LibPcap 5 WinPcap 5 JPcap 6 WinPcap研究 6 WinPcap內(nèi)部結(jié)構(gòu) 7 WinPcap的主要函數(shù)庫 83 系統(tǒng)設(shè)計 10 捕獲數(shù)據(jù)的分析與還原 10 10 IP報文的分析與還原 10 UDP數(shù)據(jù)包的封裝 12 TCP數(shù)據(jù)包的封裝 14 ICMP數(shù)據(jù)包的封裝 154 實現(xiàn)與分析 16 WinPcap環(huán)境配置 16 WinPcap下載 16 WinPcap配置 16 程序的實現(xiàn) 16 網(wǎng)絡(luò)數(shù)據(jù)捕獲的基本流程 16 17 18 20 程序編譯中出現(xiàn)的問題 23 問題的解決 23 程序功能 23 程序主界面 23 工具欄 24 265 總結(jié)和展望 28 本文主要工作 28 展望 28致謝語 29參考文獻 30網(wǎng)絡(luò)抓包與協(xié)議分析軟件的設(shè)計與開發(fā)摘要：網(wǎng)絡(luò)數(shù)據(jù)包捕獲是進行網(wǎng)絡(luò)分析的基