【正文】 stCIpmonDlg *(p) 。 設(shè)置 SOCK_RAW 為 SIO_RCVALL，以便接收所有的 IP 包： WSAIoctl( m_s, SIO_RCVALL , amp。 return 。 else { dwErr = WSAGetLastError() 。 } if(SOCKET_ERROR!=WSAIoctl(m_s,SIO_RCVALL , amp。 sprintf( szErr , Error bind() = %ld , dwErr ) 。 //inter 協(xié)議簇 = htons(7000)。 AfxMessageBox( szErr ) 。 } int rcvtimeo = 5000 。 sprintf( szErr , Error socket() = %ld , dwErr ) 。 DWORD dwBufferInLen= 1 。 SetDlgItemText(IDC_LOOKUP,開始捕獲 !)。//獲取主機(jī)名 m_iphostsource = m_ipsource 。 在捕獲數(shù)據(jù)包前，首先對(duì)原始套接字進(jìn)行設(shè)置，代碼如下： void CIpmonDlg::OnLookUp() { char szErr [ 50 ] , szHostName[MAX_PATH]。 //16 位 IP 首部校驗(yàn)和 unsigned int sourceIP。 // 16 位標(biāo)識(shí)符 unsigned short flags。 //4 位首部長(zhǎng)度 unsigned char version:4。 //16 位校驗(yàn)和 WORD UrgPtr。 //32 位確認(rèn)號(hào) BYTE HLen。 而 TCP 數(shù)據(jù)頭則比較復(fù)雜，以 20 個(gè)固定字節(jié)開始，在固定頭后面還可以有一些長(zhǎng)度不固定的可選項(xiàng)， 圖 44給出 TCP 數(shù)據(jù)段頭的格式組成： 16 位 16 位 源端口 目的端口 順序號(hào) 確認(rèn)號(hào) TCP頭長(zhǎng) （保留）7 位 URG ACK PSH RST SYN FIN 窗口大小 校 驗(yàn)和 緊急指針 可選項(xiàng)（ 0 或更多的 32 位字） 數(shù)據(jù)（可選項(xiàng)） 圖 44 TCP數(shù)據(jù)段頭格式 對(duì)于此 TCP 數(shù)據(jù)段頭的分析在編程實(shí)現(xiàn)中可通過數(shù)據(jù)結(jié)構(gòu) TCPPacketHead來定義： struct TCPPacketHead { WORD SourPort。 //16 位源端口 WORD DestPort。通過對(duì)這些在低層傳輸?shù)脑夹畔⒌姆治隹梢缘玫接嘘P(guān)網(wǎng)絡(luò)的一些信息。在創(chuàng)建了原始套接字后，需要通過 setsockopt()函數(shù)來設(shè)置 IP頭操作選項(xiàng)，然后再通過 bind()函數(shù)將原始套接字綁定到本地網(wǎng)卡。 嗅探器的具體實(shí)現(xiàn)原理 嗅探器作為一種網(wǎng)絡(luò)通訊程序，是通過對(duì)網(wǎng)卡的編程來實(shí)現(xiàn)網(wǎng)絡(luò)通訊的，對(duì)網(wǎng)卡的編程是使用通常的套接字（ socket）方式來進(jìn)行。Value)來實(shí)現(xiàn)混雜模式接收數(shù)據(jù)包。此外如果在 一個(gè)子網(wǎng)內(nèi)部進(jìn)行嗅探，而子網(wǎng)頂部存在著諸如交換機(jī)這類設(shè)備，由于它能夠阻止廣播，所以就不能夠?qū)ψ泳W(wǎng)內(nèi)其他的機(jī)器進(jìn)行監(jiān)聽，若想要對(duì)此子網(wǎng)進(jìn)行監(jiān)聽，就必須處于與此交換機(jī)同級(jí)的包交換網(wǎng)絡(luò)中。 入侵檢測(cè)的 實(shí)現(xiàn) 與嗅探器的關(guān)系 數(shù)據(jù)包嗅探技術(shù)是實(shí)現(xiàn)入侵檢測(cè)的基礎(chǔ)，將數(shù)據(jù)包從共享網(wǎng)絡(luò)線路中捕獲，并將其提取到應(yīng)用程序中，這個(gè)過程要依賴于網(wǎng)絡(luò)物理層到應(yīng)用層以及操作 系 統(tǒng)本身各方面進(jìn)行協(xié)調(diào)、設(shè)置，下面通過實(shí)例來看一下以太網(wǎng)絡(luò)中數(shù)據(jù)包的流程： 1. 物理層，在一個(gè)以太局域網(wǎng)，數(shù)據(jù)在共享的網(wǎng)絡(luò)介質(zhì)（網(wǎng)線、 HUB）中以廣播的形式到達(dá)局域網(wǎng)每一個(gè)節(jié)點(diǎn)； 2. 數(shù)據(jù)鏈路層，節(jié)點(diǎn)的網(wǎng)絡(luò)適配器（網(wǎng)卡 NIC）查看到來的數(shù)據(jù)幀（ Frame），通過一系列的檢驗(yàn)，將到來的大量的數(shù)據(jù)幀中屬于自己且正 確合法的數(shù)據(jù)幀重構(gòu)成數(shù)據(jù)包（ Packet）送入操作系統(tǒng)的協(xié)議棧； 3. 網(wǎng)絡(luò)層至運(yùn)輸層，操作系統(tǒng)的協(xié)議棧通過這兩層中的 IP、 TCP、 UDP 等協(xié)議判斷到來的數(shù)據(jù)包是否屬于本操作系統(tǒng)的接收范圍（根據(jù) IP 地址），是否屬于本操作系統(tǒng)上的應(yīng)用程序的接收范圍（根據(jù) Port 端口號(hào)），如果所屬范圍正確并且數(shù)據(jù)包合法，操作系統(tǒng)通過端口將數(shù)據(jù)包重構(gòu)成報(bào)文（ Segment）送入應(yīng)用程序 。 上述三種方法均建立在數(shù)據(jù)包捕獲的基礎(chǔ)上 。 在檢測(cè)的技術(shù)上，主要分為三類：靜態(tài)分析、異常檢測(cè)、誤用檢測(cè)。 為了提高入侵檢測(cè)系統(tǒng)（ IDS）產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作 性，美國(guó)國(guó)防高級(jí)研究計(jì)劃署（ DARPA）和互聯(lián)網(wǎng)工程任務(wù)組（ IETF）的入侵檢測(cè)工作組（ IDWG）發(fā)起制定了一系列建議草案，從體系結(jié)構(gòu)、 API、通信機(jī)制、語言格式等 方 面規(guī)范 IDS的標(biāo)準(zhǔn) 。新的網(wǎng)絡(luò)安全技術(shù)的研究方向正集中于網(wǎng)絡(luò)嗅探技術(shù)上，這種方式隱蔽，不會(huì)對(duì)正常的網(wǎng)絡(luò)傳輸造成任何影響，同時(shí)數(shù)據(jù)收集也十分豐富。入侵者甚至可以利用該主機(jī)為基礎(chǔ)入侵整個(gè)網(wǎng)絡(luò)并留下后門，掩蓋痕跡，完成一次入侵。 對(duì)底層的協(xié)議信息記錄，如兩臺(tái)主機(jī)之間的網(wǎng)絡(luò)接口地址，遠(yuǎn)程網(wǎng)絡(luò)接口 IP地址， IP路由信息和 TCP連接的字節(jié)順序號(hào)碼等，這 些信息由非法入侵者掌握后將對(duì)網(wǎng)絡(luò)的安全構(gòu)成極大的危害。通過使用網(wǎng)絡(luò)嗅探器可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包的捕獲與分析。如果 backlog的只為 3，有 4個(gè)客戶機(jī)同時(shí)發(fā)出連接請(qǐng)求，則前 3個(gè)會(huì)放在等待連接隊(duì)列中，最后一個(gè)將被忽略。只有進(jìn)入了監(jiān)聽模式，才能接受來自客戶機(jī)的連接。 bind()將本地 socket地址 (包括本地主機(jī)地址和本地端口 )與所創(chuàng)建的socket號(hào)聯(lián)系起來，即將本地 socket地址賦予 socket，以指定本地半相關(guān)。 函數(shù) socket()可以創(chuàng)建一個(gè) socket對(duì)象， socket()函數(shù)的原型如下： SOCKET socket(int af, int type, int protocol)。 最重要的是， socket是面向客戶 —— 服務(wù)器模型而設(shè)計(jì)出來的，針對(duì)客戶和服務(wù)器程序提供不同的 socket系統(tǒng)調(diào)用。 socket實(shí)質(zhì)上是提供了進(jìn)程通信的端點(diǎn)。 在 Windows NT下 WinPcap包捕獲驅(qū)動(dòng)和網(wǎng)卡設(shè)備驅(qū)動(dòng)的交互是通過NDIS(Network Device Interface Specification)來實(shí)現(xiàn)的。 WinPcap包含了一系列以前系統(tǒng)所沒有的創(chuàng)新特性。從性能上看， Sock Packet最弱。 數(shù)據(jù) 包 捕獲機(jī)制的研究 縱觀國(guó)內(nèi)外在網(wǎng)絡(luò)嗅探技術(shù)中所使用的包捕獲機(jī)制的方法，大致可歸納為兩類 ： 一類是由操作系統(tǒng)內(nèi)核提供的捕獲機(jī)制 ； 另一類是由應(yīng)用軟件或系統(tǒng)開發(fā)包通過安裝包捕獲驅(qū)動(dòng)程序提供的捕獲機(jī)制 ， 該機(jī)制主要用于 Win32平臺(tái)下的開發(fā)。 在 Linux下監(jiān)聽的基本實(shí)現(xiàn)過程是通過 Socket來實(shí)現(xiàn)的 。比較知名的被廣泛用于調(diào)試網(wǎng)絡(luò)故障的免費(fèi) sniff工具 有 :tcpdump(運(yùn)行在 FreeBSD、 linux、 SunOS等系統(tǒng)下 )。因此，正常模式下主機(jī)僅處理以本機(jī) 為目的的數(shù)據(jù)包，網(wǎng)卡如果工作在混雜模式，則可以接收本網(wǎng)段內(nèi)傳輸?shù)乃袛?shù)據(jù)包。當(dāng)一個(gè)幀送到組地址時(shí)，組內(nèi)的所有站點(diǎn)都會(huì)收到該幀。例如 ,假設(shè)網(wǎng)絡(luò)的某一段運(yùn)行得不是很好 ,報(bào)文的發(fā)送比較慢 ,而我們又不知道問題出在什么地方 ,此時(shí)就可以 用嗅探器 截獲網(wǎng)絡(luò)中的數(shù)據(jù)包，分析問題的所在。 ，得出結(jié)論。 ， 入侵檢測(cè)的實(shí)現(xiàn)由四部分組成：數(shù)據(jù)包嗅探解析部分、數(shù)據(jù)行為檢測(cè)部分、算法部分和掃描檢測(cè)部分。因此， 對(duì)網(wǎng)絡(luò)嗅探器的研究具有重要意義 。而網(wǎng)絡(luò)嗅探器的目的恰恰在于從網(wǎng)卡接收所有經(jīng)過它的數(shù)據(jù)包，這些數(shù)據(jù)包即可以是發(fā)給它的也可以是發(fā)往別處的。但與此同時(shí)，計(jì)算機(jī)犯罪、黑客攻擊、病毒入侵等惡性事件也頻頻發(fā)生。鑒別技術(shù)是指只有經(jīng)過網(wǎng)絡(luò)系統(tǒng)授權(quán)和登記的合法用戶才能進(jìn)入網(wǎng)絡(luò)。面向網(wǎng)絡(luò)的加密技術(shù)是指通信協(xié)議加密，它是在通信過程中對(duì)包中的數(shù)據(jù)進(jìn)行加密，包括完整性檢測(cè)、數(shù)字簽名等，這些安全協(xié)議大多采用了諸如 RSA 公鑰密碼算法、 DES 分組密碼、 MD 系列 Hash 函數(shù)及其它一些序列密碼算法實(shí)現(xiàn)信息安全功能，用于防止黑客對(duì)信息進(jìn)行偽造、冒充和篡改，從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。面向服務(wù)的加密技術(shù)即通常所說的信息加密 。 計(jì)算機(jī)病毒的防范既是一個(gè)技術(shù)問題，也是一個(gè)管理問題，它采取以“預(yù)防為主，治療為輔”的防范策略將計(jì)算機(jī)病毒的危害降到最小限度。 Inter 的安全已經(jīng)成為亟待解決的問題。 analyze data capture。 文 中 首先分析了嗅探的原理和危害 ,并介紹了幾種常見的嗅探器 ，然后研究了 入侵檢測(cè)系統(tǒng)中使用 的 包捕獲技術(shù)。 畢業(yè)設(shè)計(jì) ( 論文 ) 網(wǎng)絡(luò)嗅探器的設(shè)計(jì)與實(shí)現(xiàn) 論文作者姓名： 申請(qǐng)學(xué)位專業(yè)： 申請(qǐng)學(xué)位類別： 指導(dǎo)教師姓名（職稱）： 論文提交日期： 網(wǎng)絡(luò)嗅探器的設(shè)計(jì)與實(shí)現(xiàn) 摘 要 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的普及 ， 越來越多的信息資源放在了互聯(lián)網(wǎng)上 ， 網(wǎng)絡(luò)的安全性和可靠性顯得越發(fā)重要 。 本文對(duì) 網(wǎng)絡(luò)嗅探技 術(shù)進(jìn)行了簡(jiǎn)要 分析 ，研究了網(wǎng)絡(luò)數(shù)據(jù)包的捕獲機(jī)制， 如winpcap、原始套接字。 capture data packet。計(jì)算機(jī)網(wǎng)絡(luò)安全問題越來越嚴(yán)重，網(wǎng)絡(luò)破壞所造成的損失越來越大。 對(duì)純數(shù)據(jù)的加密，加密機(jī)制是對(duì)你不愿意讓他人看到的這些數(shù)據(jù)（數(shù)據(jù)的明文）用可靠的加密算法，只要破解者不知道被加密數(shù)據(jù)的密碼，他就不可解讀這些數(shù)據(jù)。 （ 3） 加密技術(shù) 用于網(wǎng)絡(luò)安全的加密技術(shù)通常有兩種形式： (a)面向服務(wù)的加密技術(shù)。 (b)面向網(wǎng)絡(luò)的加密技術(shù)。 （ 4） 其它安全措施 包括鑒別技術(shù)、數(shù)字簽名技術(shù)、入侵檢測(cè)技術(shù)、審計(jì)監(jiān)控、防病毒技術(shù)、備份和恢復(fù)技術(shù)等。 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，極大的改變了人們傳統(tǒng)的生活和工作模式 ，越來越多的社會(huì)經(jīng)濟(jì)活動(dòng)開始依賴網(wǎng)絡(luò)來完成，可以說計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展已經(jīng)成為現(xiàn)代社會(huì)進(jìn)步的一個(gè)重要標(biāo)志。但是，通常的套接字程序只能響應(yīng) 與自己硬件地址相匹配的或是以廣播形式發(fā)出的數(shù)據(jù)幀，對(duì)于其他形式的數(shù)據(jù)幀比如已到達(dá)網(wǎng)絡(luò)接口但卻不是發(fā)給此地址的數(shù)據(jù)幀，網(wǎng)絡(luò)接口在驗(yàn)證投遞地址并非自身地址之 后將不引起響應(yīng)，也就是說應(yīng)用程序無法收取到達(dá)的數(shù)據(jù)包。通過 網(wǎng)絡(luò)嗅探器對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包 進(jìn)行 捕獲 和 分析 ，獲取所需要的信息， 利用 對(duì)這些信息 進(jìn)行網(wǎng)絡(luò)安全分析。主要包括網(wǎng)絡(luò)嗅探器的概念、網(wǎng)絡(luò)嗅探器的工作原理及常見網(wǎng)絡(luò)嗅探器的實(shí)現(xiàn)原理等。主要工作包括：給出了一個(gè)網(wǎng)絡(luò)嗅探程序的系統(tǒng)框架、數(shù)據(jù)包捕獲程序的設(shè)計(jì)、數(shù)據(jù)包的解析、數(shù)據(jù)的顯示等。 Sniffer 的正當(dāng)用處主要是分析網(wǎng)絡(luò)的流量 ,以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。以太網(wǎng)幀格式符合 標(biāo)準(zhǔn)，幀中包含目的地址和源地址，目的地址最高位為 0是普通地址，為 1時(shí)是組地址。在正常模式下，網(wǎng)卡每接收到一個(gè)到達(dá)的數(shù)據(jù)包，就會(huì)檢查該數(shù)據(jù)包的目的地址，如果是本機(jī)地址和廣播地址 ,則將接收數(shù)據(jù)包放入緩沖區(qū)，其他目的地址的數(shù)據(jù)包則直接丟掉。而基于各個(gè)平臺(tái)的很多普通的網(wǎng)絡(luò)監(jiān)聽軟件則在網(wǎng)上可以自由下載。 Ipman, therload， Gobbler(運(yùn)行在 DOS、Windows)。因此，需要將網(wǎng)卡的工作模式設(shè)定為混雜模式，這樣系統(tǒng)內(nèi)核就可以讀到網(wǎng)卡監(jiān)聽到的所有報(bào)文，從而監(jiān)聽器應(yīng)用程序也可以讀到這些報(bào)文。 DLPI是 Solaris(和其它System V Unix)系統(tǒng)的內(nèi)嵌子系統(tǒng)。 WinPcap(Windows Packet Capture)是 Win32上的第一個(gè)用來捕獲數(shù)據(jù)包的開放系統(tǒng)軟件包，它是一種新提出的強(qiáng)有力并且可擴(kuò)展的框架結(jié)構(gòu)。 它提供了以下的各項(xiàng)功能： Network Lever Aplication Kernl Lever Packets User code Call Winpcap User code Call Winpcap User code Monitoring Userbuffer1 Userbuffer2 User code Direct access to the NPF calls Statistical Filter1 Filter2 Filter3 Kernel Buffer2 Kernel Buffer2 NIC Driver(NDIS or higher) Other Protocl Stacks User Netgroup Packer filter NPF ，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送 /接收以及相互之間交換的數(shù)據(jù)報(bào) ； ，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過濾掉 ； ； 。 Socket 給程序員提供了一