【正文】 stCIpmonDlg *(p) 。 設置 SOCK_RAW 為 SIO_RCVALL，以便接收所有的 IP 包： WSAIoctl( m_s, SIO_RCVALL , amp。 return 。 else { dwErr = WSAGetLastError() 。 } if(SOCKET_ERROR!=WSAIoctl(m_s,SIO_RCVALL , amp。 sprintf( szErr , Error bind() = %ld , dwErr ) 。 //inter 協(xié)議簇 = htons(7000)。 AfxMessageBox( szErr ) 。 } int rcvtimeo = 5000 。 sprintf( szErr , Error socket() = %ld , dwErr ) 。 DWORD dwBufferInLen= 1 。 SetDlgItemText(IDC_LOOKUP,開始捕獲 !)。//獲取主機名 m_iphostsource = m_ipsource 。 在捕獲數(shù)據(jù)包前，首先對原始套接字進行設置，代碼如下： void CIpmonDlg::OnLookUp() { char szErr [ 50 ] , szHostName[MAX_PATH]。 //16 位 IP 首部校驗和 unsigned int sourceIP。 // 16 位標識符 unsigned short flags。 //4 位首部長度 unsigned char version:4。 //16 位校驗和 WORD UrgPtr。 //32 位確認號 BYTE HLen。 而 TCP 數(shù)據(jù)頭則比較復雜，以 20 個固定字節(jié)開始，在固定頭后面還可以有一些長度不固定的可選項， 圖 44給出 TCP 數(shù)據(jù)段頭的格式組成： 16 位 16 位 源端口 目的端口 順序號 確認號 TCP頭長 （保留）7 位 URG ACK PSH RST SYN FIN 窗口大小 校 驗和 緊急指針 可選項（ 0 或更多的 32 位字） 數(shù)據(jù)（可選項） 圖 44 TCP數(shù)據(jù)段頭格式 對于此 TCP 數(shù)據(jù)段頭的分析在編程實現(xiàn)中可通過數(shù)據(jù)結構 TCPPacketHead來定義： struct TCPPacketHead { WORD SourPort。 //16 位源端口 WORD DestPort。通過對這些在低層傳輸?shù)脑夹畔⒌姆治隹梢缘玫接嘘P網(wǎng)絡的一些信息。在創(chuàng)建了原始套接字后，需要通過 setsockopt()函數(shù)來設置 IP頭操作選項，然后再通過 bind()函數(shù)將原始套接字綁定到本地網(wǎng)卡。 嗅探器的具體實現(xiàn)原理 嗅探器作為一種網(wǎng)絡通訊程序，是通過對網(wǎng)卡的編程來實現(xiàn)網(wǎng)絡通訊的，對網(wǎng)卡的編程是使用通常的套接字（ socket）方式來進行。Value)來實現(xiàn)混雜模式接收數(shù)據(jù)包。此外如果在 一個子網(wǎng)內(nèi)部進行嗅探，而子網(wǎng)頂部存在著諸如交換機這類設備，由于它能夠阻止廣播，所以就不能夠對子網(wǎng)內(nèi)其他的機器進行監(jiān)聽，若想要對此子網(wǎng)進行監(jiān)聽，就必須處于與此交換機同級的包交換網(wǎng)絡中。 入侵檢測的 實現(xiàn) 與嗅探器的關系 數(shù)據(jù)包嗅探技術是實現(xiàn)入侵檢測的基礎，將數(shù)據(jù)包從共享網(wǎng)絡線路中捕獲，并將其提取到應用程序中，這個過程要依賴于網(wǎng)絡物理層到應用層以及操作 系 統(tǒng)本身各方面進行協(xié)調、設置，下面通過實例來看一下以太網(wǎng)絡中數(shù)據(jù)包的流程： 1. 物理層，在一個以太局域網(wǎng)，數(shù)據(jù)在共享的網(wǎng)絡介質（網(wǎng)線、 HUB）中以廣播的形式到達局域網(wǎng)每一個節(jié)點； 2. 數(shù)據(jù)鏈路層，節(jié)點的網(wǎng)絡適配器（網(wǎng)卡 NIC）查看到來的數(shù)據(jù)幀（ Frame），通過一系列的檢驗，將到來的大量的數(shù)據(jù)幀中屬于自己且正 確合法的數(shù)據(jù)幀重構成數(shù)據(jù)包（ Packet）送入操作系統(tǒng)的協(xié)議棧； 3. 網(wǎng)絡層至運輸層，操作系統(tǒng)的協(xié)議棧通過這兩層中的 IP、 TCP、 UDP 等協(xié)議判斷到來的數(shù)據(jù)包是否屬于本操作系統(tǒng)的接收范圍（根據(jù) IP 地址），是否屬于本操作系統(tǒng)上的應用程序的接收范圍（根據(jù) Port 端口號），如果所屬范圍正確并且數(shù)據(jù)包合法，操作系統(tǒng)通過端口將數(shù)據(jù)包重構成報文（ Segment）送入應用程序 。 上述三種方法均建立在數(shù)據(jù)包捕獲的基礎上 。 在檢測的技術上，主要分為三類：靜態(tài)分析、異常檢測、誤用檢測。 為了提高入侵檢測系統(tǒng)（ IDS）產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作 性，美國國防高級研究計劃署（ DARPA）和互聯(lián)網(wǎng)工程任務組（ IETF）的入侵檢測工作組（ IDWG）發(fā)起制定了一系列建議草案，從體系結構、 API、通信機制、語言格式等 方 面規(guī)范 IDS的標準 。新的網(wǎng)絡安全技術的研究方向正集中于網(wǎng)絡嗅探技術上，這種方式隱蔽，不會對正常的網(wǎng)絡傳輸造成任何影響，同時數(shù)據(jù)收集也十分豐富。入侵者甚至可以利用該主機為基礎入侵整個網(wǎng)絡并留下后門，掩蓋痕跡，完成一次入侵。 對底層的協(xié)議信息記錄，如兩臺主機之間的網(wǎng)絡接口地址，遠程網(wǎng)絡接口 IP地址， IP路由信息和 TCP連接的字節(jié)順序號碼等，這 些信息由非法入侵者掌握后將對網(wǎng)絡的安全構成極大的危害。通過使用網(wǎng)絡嗅探器可以實現(xiàn)對網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包的捕獲與分析。如果 backlog的只為 3，有 4個客戶機同時發(fā)出連接請求，則前 3個會放在等待連接隊列中，最后一個將被忽略。只有進入了監(jiān)聽模式，才能接受來自客戶機的連接。 bind()將本地 socket地址 (包括本地主機地址和本地端口 )與所創(chuàng)建的socket號聯(lián)系起來，即將本地 socket地址賦予 socket，以指定本地半相關。 函數(shù) socket()可以創(chuàng)建一個 socket對象， socket()函數(shù)的原型如下： SOCKET socket(int af, int type, int protocol)。 最重要的是， socket是面向客戶 —— 服務器模型而設計出來的，針對客戶和服務器程序提供不同的 socket系統(tǒng)調用。 socket實質上是提供了進程通信的端點。 在 Windows NT下 WinPcap包捕獲驅動和網(wǎng)卡設備驅動的交互是通過NDIS(Network Device Interface Specification)來實現(xiàn)的。 WinPcap包含了一系列以前系統(tǒng)所沒有的創(chuàng)新特性。從性能上看， Sock Packet最弱。 數(shù)據(jù) 包 捕獲機制的研究 縱觀國內(nèi)外在網(wǎng)絡嗅探技術中所使用的包捕獲機制的方法，大致可歸納為兩類 ： 一類是由操作系統(tǒng)內(nèi)核提供的捕獲機制 ； 另一類是由應用軟件或系統(tǒng)開發(fā)包通過安裝包捕獲驅動程序提供的捕獲機制 ， 該機制主要用于 Win32平臺下的開發(fā)。 在 Linux下監(jiān)聽的基本實現(xiàn)過程是通過 Socket來實現(xiàn)的 。比較知名的被廣泛用于調試網(wǎng)絡故障的免費 sniff工具 有 :tcpdump(運行在 FreeBSD、 linux、 SunOS等系統(tǒng)下 )。因此，正常模式下主機僅處理以本機 為目的的數(shù)據(jù)包，網(wǎng)卡如果工作在混雜模式，則可以接收本網(wǎng)段內(nèi)傳輸?shù)乃袛?shù)據(jù)包。當一個幀送到組地址時，組內(nèi)的所有站點都會收到該幀。例如 ,假設網(wǎng)絡的某一段運行得不是很好 ,報文的發(fā)送比較慢 ,而我們又不知道問題出在什么地方 ,此時就可以 用嗅探器 截獲網(wǎng)絡中的數(shù)據(jù)包，分析問題的所在。 ，得出結論。 ， 入侵檢測的實現(xiàn)由四部分組成：數(shù)據(jù)包嗅探解析部分、數(shù)據(jù)行為檢測部分、算法部分和掃描檢測部分。因此， 對網(wǎng)絡嗅探器的研究具有重要意義 。而網(wǎng)絡嗅探器的目的恰恰在于從網(wǎng)卡接收所有經(jīng)過它的數(shù)據(jù)包，這些數(shù)據(jù)包即可以是發(fā)給它的也可以是發(fā)往別處的。但與此同時，計算機犯罪、黑客攻擊、病毒入侵等惡性事件也頻頻發(fā)生。鑒別技術是指只有經(jīng)過網(wǎng)絡系統(tǒng)授權和登記的合法用戶才能進入網(wǎng)絡。面向網(wǎng)絡的加密技術是指通信協(xié)議加密，它是在通信過程中對包中的數(shù)據(jù)進行加密，包括完整性檢測、數(shù)字簽名等，這些安全協(xié)議大多采用了諸如 RSA 公鑰密碼算法、 DES 分組密碼、 MD 系列 Hash 函數(shù)及其它一些序列密碼算法實現(xiàn)信息安全功能，用于防止黑客對信息進行偽造、冒充和篡改，從而保證網(wǎng)絡的連通性和可用性不受損害。面向服務的加密技術即通常所說的信息加密 。 計算機病毒的防范既是一個技術問題，也是一個管理問題，它采取以“預防為主，治療為輔”的防范策略將計算機病毒的危害降到最小限度。 Inter 的安全已經(jīng)成為亟待解決的問題。 analyze data capture。 文 中 首先分析了嗅探的原理和危害 ,并介紹了幾種常見的嗅探器 ，然后研究了 入侵檢測系統(tǒng)中使用 的 包捕獲技術。 畢業(yè)設計 ( 論文 ) 網(wǎng)絡嗅探器的設計與實現(xiàn) 論文作者姓名： 申請學位專業(yè)： 申請學位類別： 指導教師姓名（職稱）： 論文提交日期： 網(wǎng)絡嗅探器的設計與實現(xiàn) 摘 要 隨著網(wǎng)絡技術的發(fā)展和網(wǎng)絡應用的普及 ， 越來越多的信息資源放在了互聯(lián)網(wǎng)上 ， 網(wǎng)絡的安全性和可靠性顯得越發(fā)重要 。 本文對 網(wǎng)絡嗅探技 術進行了簡要 分析 ，研究了網(wǎng)絡數(shù)據(jù)包的捕獲機制， 如winpcap、原始套接字。 capture data packet。計算機網(wǎng)絡安全問題越來越嚴重，網(wǎng)絡破壞所造成的損失越來越大。 對純數(shù)據(jù)的加密，加密機制是對你不愿意讓他人看到的這些數(shù)據(jù)（數(shù)據(jù)的明文）用可靠的加密算法，只要破解者不知道被加密數(shù)據(jù)的密碼，他就不可解讀這些數(shù)據(jù)。 （ 3） 加密技術 用于網(wǎng)絡安全的加密技術通常有兩種形式： (a)面向服務的加密技術。 (b)面向網(wǎng)絡的加密技術。 （ 4） 其它安全措施 包括鑒別技術、數(shù)字簽名技術、入侵檢測技術、審計監(jiān)控、防病毒技術、備份和恢復技術等。 計算機網(wǎng)絡技術的飛速發(fā)展，極大的改變了人們傳統(tǒng)的生活和工作模式 ，越來越多的社會經(jīng)濟活動開始依賴網(wǎng)絡來完成，可以說計算機網(wǎng)絡的發(fā)展已經(jīng)成為現(xiàn)代社會進步的一個重要標志。但是，通常的套接字程序只能響應 與自己硬件地址相匹配的或是以廣播形式發(fā)出的數(shù)據(jù)幀，對于其他形式的數(shù)據(jù)幀比如已到達網(wǎng)絡接口但卻不是發(fā)給此地址的數(shù)據(jù)幀，網(wǎng)絡接口在驗證投遞地址并非自身地址之 后將不引起響應，也就是說應用程序無法收取到達的數(shù)據(jù)包。通過 網(wǎng)絡嗅探器對網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包 進行 捕獲 和 分析 ，獲取所需要的信息， 利用 對這些信息 進行網(wǎng)絡安全分析。主要包括網(wǎng)絡嗅探器的概念、網(wǎng)絡嗅探器的工作原理及常見網(wǎng)絡嗅探器的實現(xiàn)原理等。主要工作包括：給出了一個網(wǎng)絡嗅探程序的系統(tǒng)框架、數(shù)據(jù)包捕獲程序的設計、數(shù)據(jù)包的解析、數(shù)據(jù)的顯示等。 Sniffer 的正當用處主要是分析網(wǎng)絡的流量 ,以便找出所關心的網(wǎng)絡中潛在的問題。以太網(wǎng)幀格式符合 標準，幀中包含目的地址和源地址，目的地址最高位為 0是普通地址，為 1時是組地址。在正常模式下，網(wǎng)卡每接收到一個到達的數(shù)據(jù)包，就會檢查該數(shù)據(jù)包的目的地址，如果是本機地址和廣播地址 ,則將接收數(shù)據(jù)包放入緩沖區(qū)，其他目的地址的數(shù)據(jù)包則直接丟掉。而基于各個平臺的很多普通的網(wǎng)絡監(jiān)聽軟件則在網(wǎng)上可以自由下載。 Ipman, therload， Gobbler(運行在 DOS、Windows)。因此，需要將網(wǎng)卡的工作模式設定為混雜模式，這樣系統(tǒng)內(nèi)核就可以讀到網(wǎng)卡監(jiān)聽到的所有報文，從而監(jiān)聽器應用程序也可以讀到這些報文。 DLPI是 Solaris(和其它System V Unix)系統(tǒng)的內(nèi)嵌子系統(tǒng)。 WinPcap(Windows Packet Capture)是 Win32上的第一個用來捕獲數(shù)據(jù)包的開放系統(tǒng)軟件包，它是一種新提出的強有力并且可擴展的框架結構。 它提供了以下的各項功能： Network Lever Aplication Kernl Lever Packets User code Call Winpcap User code Call Winpcap User code Monitoring Userbuffer1 Userbuffer2 User code Direct access to the NPF calls Statistical Filter1 Filter2 Filter3 Kernel Buffer2 Kernel Buffer2 NIC Driver(NDIS or higher) Other Protocl Stacks User Netgroup Packer filter NPF ，包括在共享網(wǎng)絡上各主機發(fā)送 /接收以及相互之間交換的數(shù)據(jù)報 ； ，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報過濾掉 ； ； 。 Socket 給程序員提供了一